Topic: Защита аккаунта bitcointalk (старый и новый форум) - page 3. (Read 1590 times)
Вы здесь о двухфакторку заговорил, думаю если бы ее ввели это было бы не лишним, дополнительная защита никому не помешает!
В чем принципиальная разница?
Видимо аккаунты для всяких ICO угонять начали часто
Хаос двухфакторной аутентификации
Самая уязвимая точка двухфакторной аутентификации – мобильные операторы. Если вы можете взломать аккаунт оператора, который поддерживает номер телефона человека, вы можете перехватить любой звонок или текст, отправленный ему.
Кто ж отправляет дфухфакторку через оператора. Всегда есть вайфай для этого. У меня тело воообще используется как запасной вариант. Вернее я его практически не использую. Поставил на комп WinAuth и отправляю только через комп.
Двухфакторка будет введена на новом движке форума. На старом это сделать невозможно. Зеймос давно объявил об этом. Поэтому обсасывать здесь возможность ее введения на форуме считаю вообще не уместным, она просто будет.
А в принципе да, двухфакторка не панацея. Но защиты много не бывает.
WinAuth - зло (только если не стоит на изолированном от сети компьютере).
Какой-такой вай-фай? Вы о чём вообще? - вай-фай - вселенское зло!
На новом движке форума скорее всего будет введена не 2фа, а многофакторка (если админ не идиот конечно).
Вы из моего поста не поняли ничего, совсем (перечитайте пожалуйста внимательнее).
Исправил свой пост про 2фа и добавил ссылок:
Хаос двухфакторной аутентификации
https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.html (был только заголовок, без ссылки на источник).
Чем уязвимость в протоколе шифрования Wi-Fi угрожает криптовалютным кошелькам
https://bits.media/news/chem-uyazvimost-v-protokole-shifrovaniya-wi-fi-ugrozhaet-kriptovalyutnym-koshelkam/
Двухфакторная аутентификация, которой удобно пользоваться
Quote
Алгоритм простой: человек ошибся с вводом кода, всё, надо ждать следующего. Натуральным образом (при ttl 30с) это даёт всего 2880 попыток в сутки. А дальше простой алгоритм, который увеличивает задержку после каждой следующей попытки.
Вы учитываете, что злоумышленник может открыть одновременно много сессий?
То, что не следуете RFC — плохо.
Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
https://habrahabr.ru/company/yandex/blog/249547/Вы учитываете, что злоумышленник может открыть одновременно много сессий?
То, что не следуете RFC — плохо.
Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
Обзор, как включить 2фа на некоторых криптовалютных биржах.
http://hyipstat.top/blog.php?id_n=2066
Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex
Подробнее: https://www.securitylab.ru/news/487958.php
Один, два… много
На самом деле термин «двухфакторная аутентификация» уже устарел.
Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ:
с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.
Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью.
Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.
https://www.kaspersky.ru/blog/multi-factor-authentication/8705/
Четыре новых проекта Google: Soli, Jacquard, Vault и Abacus. Что это и зачем?
https://www.kaspersky.ru/blog/google-projects-soli-jacquard-vault/8175/
Идентификация, аутентификация и авторизация - в чём разница?
идентификация - определение (кто там?)
аутентификации - проверка (чем докажешь?)
авторизация - доступ (открываю!)
http://it-uroki.ru/uroki/bezopasnost/identifikaciya-autentifikaciya-avtorizaciya.html
В чем разница между двухэтапной и двухфакторной аутентификацией:
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда.
Граница между этими понятиями очень тонкая, поэтому их часто и не различают.
Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете.
Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.
Читать дальше: http://www.outsidethebox.ms/18372/
Всего есть 4 фактора:
1 - то, что ты знаешь, 2 - то, что имеешь, 3 - кем являешься и 4 - где находишься.
http://www.outsidethebox.ms/18372/
Соответственно: пароль, одноразовый пароль сгенерированый на устройстве, сканер отпечатка/сетчатки/и т.п. и гео-локация.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс:
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
.
.
.
Microsoft
У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды.
На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
(Машу кое-кому ручкой
) https://bitcointalksearch.org/topic/m.22433240
Читать дальше:http://www.outsidethebox.ms/18372/
Небезопасность 2FA по SMS
Нужно отметить, что 2FA по SMS уже официально признана небезопасным методом аутентификации из-за неустранимых уязвимостей в сигнальной системе Signaling System 7 (SS7), которая используется сотовыми сетями для взаимодействия между собой.
Специалисты компании Positive Technologies ещё несколько лет назад показали, как происходит перехват SMS. Если вкратце, то атака представляет собой процедуру регистрации абонента в зоне действия «фальшивого» MSC/VLR. Исходными данными являются IMSI абонента и адрес текущего MSC/VLR, что можно получить с помощью соответствующего запроса в сети SS7. После регистрации абонента в зоне «фальшивого» MSC/VLR он перестанет получать входящие вызовы и SMS, а все его SMS будут приходить на узел атакующего.
https://habrahabr.ru/company/globalsign/blog/348124/
Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
https://xakep.ru/2017/07/17/google-2sv/
Хаос двухфакторной аутентификации
https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.htm
Самая уязвимая точка двухфакторной аутентификации – мобильные операторы. Если вы можете взломать аккаунт оператора, который поддерживает номер телефона человека, вы можете перехватить любой звонок или текст, отправленный ему. Для мобильных приложений, вроде Signal, полностью привязанных к номеру телефона, этого может быть достаточно, чтобы похитить целый аккаунт.
twofactorauth.org
Сервис может сказать вам, какие сайты предлагают больше, чем просто вход через пароль, а также позволяет вам легко написать твит о компаниях, не предоставляющих такой возможности.
The TwoFactorAuth website should then be accessible from http://localhost:4000
https://github.com/2factorauth/twofactorauth
Кампания сработала: почти каждая компания теперь предлагает свою форму двухфакторной аутентификации.
Но победа оказалась странной. Сейчас существуют десятки различных вариантов двухфакторной аутентификации, выходящих за возможности простого перечисления. Некоторые присылают коды через СМС, другие используют email или приложения, такие как Duo и Google Auth.
Читать дальше: https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.html
Добавил ссылок:
Чем уязвимость в протоколе шифрования Wi-Fi угрожает криптовалютным кошелькам
https://bits.media/news/chem-uyazvimost-v-protokole-shifrovaniya-wi-fi-ugrozhaet-kriptovalyutnym-koshelkam/
Двухфакторная аутентификация, которой удобно пользоваться
Обзор, как включить 2фа на некоторых криптовалютных биржах.
http://hyipstat.top/blog.php?id_n=2066
Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex
Подробнее: https://www.securitylab.ru/news/487958.php
На самом деле термин «двухфакторная аутентификация» уже устарел.
Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ:
с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.
Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью.
Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.
https://www.kaspersky.ru/blog/multi-factor-authentication/8705/
Четыре новых проекта Google: Soli, Jacquard, Vault и Abacus. Что это и зачем?
https://www.kaspersky.ru/blog/google-projects-soli-jacquard-vault/8175/
Идентификация, аутентификация и авторизация - в чём разница?
идентификация - определение (кто там?)
аутентификации - проверка (чем докажешь?)
авторизация - доступ (открываю!)
http://it-uroki.ru/uroki/bezopasnost/identifikaciya-autentifikaciya-avtorizaciya.html
В чем разница между двухэтапной и двухфакторной аутентификацией:
Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда.
Граница между этими понятиями очень тонкая, поэтому их часто и не различают.
Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).
Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа. Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете.
Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.
Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.
Читать дальше: http://www.outsidethebox.ms/18372/
Всего есть 4 фактора:
1 - то, что ты знаешь, 2 - то, что имеешь, 3 - кем являешься и 4 - где находишься.
http://www.outsidethebox.ms/18372/
Соответственно: пароль, одноразовый пароль сгенерированый на устройстве, сканер отпечатка/сетчатки/и т.п. и гео-локация.
Реализация 2FA и 2SV у Google, Microsoft и Яндекс:
Давайте посмотрим, какую защиту учетной записи предлагают некоторые крупные игроки с миллионами пользователей.
.
.
.
Microsoft
У Microsoft все очень похоже на Google (см. настройки аккаунта) поэтому я сфокусируюсь на любопытных различиях. Компания не поддерживает аппаратные токены, но можно обеспечить 2FA, генерируя OTP фирменным приложением Authenticator.
Приложения для аутентификации
На мобильной Windows и iOS приложения Microsoft работают одинаково – просто генерируют коды.
На Android ситуация интереснее, потому что у приложения Microsoft Account два режима работы – двухэтапный и двухфакторный.
(Машу кое-кому ручкой
) https://bitcointalksearch.org/topic/m.22433240Читать дальше:http://www.outsidethebox.ms/18372/
Небезопасность 2FA по SMS
Нужно отметить, что 2FA по SMS уже официально признана небезопасным методом аутентификации из-за неустранимых уязвимостей в сигнальной системе Signaling System 7 (SS7), которая используется сотовыми сетями для взаимодействия между собой.
Специалисты компании Positive Technologies ещё несколько лет назад показали, как происходит перехват SMS. Если вкратце, то атака представляет собой процедуру регистрации абонента в зоне действия «фальшивого» MSC/VLR. Исходными данными являются IMSI абонента и адрес текущего MSC/VLR, что можно получить с помощью соответствующего запроса в сети SS7. После регистрации абонента в зоне «фальшивого» MSC/VLR он перестанет получать входящие вызовы и SMS, а все его SMS будут приходить на узел атакующего.
https://habrahabr.ru/company/globalsign/blog/348124/
Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
https://xakep.ru/2017/07/17/google-2sv/
Хаос двухфакторной аутентификации
https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.htm
Самая уязвимая точка двухфакторной аутентификации – мобильные операторы. Если вы можете взломать аккаунт оператора, который поддерживает номер телефона человека, вы можете перехватить любой звонок или текст, отправленный ему. Для мобильных приложений, вроде Signal, полностью привязанных к номеру телефона, этого может быть достаточно, чтобы похитить целый аккаунт.
twofactorauth.org
Сервис может сказать вам, какие сайты предлагают больше, чем просто вход через пароль, а также позволяет вам легко написать твит о компаниях, не предоставляющих такой возможности.
The TwoFactorAuth website should then be accessible from http://localhost:4000
https://github.com/2factorauth/twofactorauth
Кампания сработала: почти каждая компания теперь предлагает свою форму двухфакторной аутентификации.
Но победа оказалась странной. Сейчас существуют десятки различных вариантов двухфакторной аутентификации, выходящих за возможности простого перечисления. Некоторые присылают коды через СМС, другие используют email или приложения, такие как Duo и Google Auth.
Читать дальше: https://apptractor.ru/info/articles/haos-dvuhfaktornoy-autentifikatsii.html
Добавил ссылок:
Чем уязвимость в протоколе шифрования Wi-Fi угрожает криптовалютным кошелькам
https://bits.media/news/chem-uyazvimost-v-protokole-shifrovaniya-wi-fi-ugrozhaet-kriptovalyutnym-koshelkam/
Двухфакторная аутентификация, которой удобно пользоваться
Quote
Алгоритм простой: человек ошибся с вводом кода, всё, надо ждать следующего. Натуральным образом (при ttl 30с) это даёт всего 2880 попыток в сутки. А дальше простой алгоритм, который увеличивает задержку после каждой следующей попытки.
Вы учитываете, что злоумышленник может открыть одновременно много сессий?
То, что не следуете RFC — плохо.
Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
https://habrahabr.ru/company/yandex/blog/249547/Вы учитываете, что злоумышленник может открыть одновременно много сессий?
То, что не следуете RFC — плохо.
Кажется, я объяснил логику, почему существующие RFC нас не удовлетворяют. Однако, если все сойдется хорошо, мы опубликуем нашу спецификацию в качестве RFC, когда она устаканится.
Обзор, как включить 2фа на некоторых криптовалютных биржах.
http://hyipstat.top/blog.php?id_n=2066
Исследователь заявил о продаже эксплоита для обхода двухфакторной аутентификации Poloniex
Подробнее: https://www.securitylab.ru/news/487958.php
защита в любом случаи какая-то нужна,мне уже один акк забанили не понятно из-за чего
... если Вы не привязывали аккаунт к кошельку).
Процесс сбора мнений, информации о новом и старом форуме почти не движется в этой теме, никто её не пинает. Очень слабая реакция у посетителей, как думаете почему?Вы про Вашу тему или про ту, что касается привязывания аккаунтов?
... если Вы не привязывали аккаунт к кошельку).
Процесс сбора мнений, информации о новом и старом форуме почти не движется в этой теме, никто её не пинает. Очень слабая реакция у посетителей, как думаете почему?Вы про Вашу тему или про ту, что касается привязывания аккаунтов?
... если Вы не привязывали аккаунт к кошельку).
Процесс сбора мнений, информации о новом и старом форуме почти не движется в этой теме, никто её не пинает. Очень слабая реакция у посетителей, как думаете почему?
Безусловно нужна хорошая 2fa ! Сейчас все что касается в большей степени темы криптовалют начинает приобретать ценность, особенно такой ресурс как bitcointalk . И еще думаю что скорость внедрения защиты от угона зависит от количества пострадавших ...
Т.е. по Вашему нужно что бы сначала у сотни угнали акки, а потом администраторы зашевелятся о дополнительной защите сайта
если идет смена почты то эта информация как то отображается в трасте? читал в какой то теме что да отображается, но подтверждения этому не нашел
Да, отображается. Под заголовком "Trust summary for [вставьте свой ник]" появляется оранжевая надпись "This user's email address was changed recently". Вот пример взломанного аккаунта с таковой.
знатоки подскажите пж, если идет смена почты то эта информация как то отображается в трасте? читал в какой то теме что да отображается, но подтверждения этому не нашел, а проверять не очень хочется
Тема нормальная. А разве есть какая-то конкретная группа людей, которая управляет форумом? если есть, тогда надо писать им напрямую. У меня такой вопрос, может кто знает, когда вводишь секретный вопрос для повышения надежности аккаунта, появляется надпись- не рекомендовано. Интересно, почему?
Отвечу на первый вопрос. Да, есть группа людей, которая управляет форумом и донатами, может и ещё чем-то (мне не известно). Есть конкретные лица отвечающие за форум и его работу (админ и модераторы). На прямую нет смысла писать им пока:1) Нет полной картины, как люди из русской ветки относятся к изменениям. Хотят, не хотят, поддержат, не поддержат. Либо мимо пройдут и забудут.
2) Какие конкретно ожидают нас изменения (будет ли патч к старому форуму для 2FA или же будет ускорен переход на новый).
3) Что будет после изменений при переходе на новый форум (сбросятся ли ранги с меритами) и вообще будут ли работать старые учетки в стабильной версии форума (не бета версии).
4) Если есть место петиции, то текста на русском и английском пока нет. Мало информации о текущем состоянии разработки нового форума или патча к старому, поэтому будет глупо писать петицию о том, что уже сделано например или уже решили этот вопрос другим способом. Нужна исходная информация.
Из всех посетителей этой темы, активность проявил пока только esmanthra.
когда вводишь секретный вопрос для повышения надежности аккаунта, появляется надпись- не рекомендовано. Интересно, почему?
Там рядом и написано, почему (даю перевод сразу):
Quote
Использовать эту функцию не рекомендуется. Любой, кто угадает ответ на ваш секретный вопрос, получит доступ к аккаунту. Это все равно что завести второй пароль.
Кроме того, есть одна закавыка: если Вы в дальнейшем попытаетесь сбросить пароль, используя секретный вопрос, аккаунт автоматически заблокируется в целях безопасности и его придется восстанавливать через администрацию (что может занять месяцы и даже окончиться ничем, если Вы не привязывали аккаунт к кошельку).
Тема нормальная. А разве есть какая-то конкретная группа людей, которая управляет форумом? если есть, тогда надо писать им напрямую. У меня такой вопрос, может кто знает, когда вводишь секретный вопрос для повышения надежности аккаунта, появляется надпись- не рекомендовано. Интересно, почему?
в какоито степени вышепредложенные варианты хороши и выгодны но как всзгда в этих предложениях есттть и обратная сторона медали! нужно конечно все обдумать!
Обдумали? И какие стороны у этой медали?
в какоито степени вышепредложенные варианты хороши и выгодны но как всзгда в этих предложениях есттть и обратная сторона медали! нужно конечно все обдумать!
2фа - не панацея, существуют "обходные манёвры" (распространяться не буду, кому надо и так в курсе).
Это не просмотр порнухи с телефона на котором 2фа и тому подобнаячушь банальщина.
Конечно, речь не о любой 2фа
Это не просмотр порнухи с телефона на котором 2фа и тому подобная
Конечно, речь не о любой 2фа
Какую 2FA вы предлагаете? Или замену?
Для каждого случая очень индивидуально и учитывается много факторов.
2фа - не панацея, существуют "обходные манёвры" (распространяться не буду, кому надо и так в курсе).
Это не просмотр порнухи с телефона на котором 2фа и тому подобнаячушь банальщина.
Конечно, речь не о любой 2фа
Это не просмотр порнухи с телефона на котором 2фа и тому подобная
Конечно, речь не о любой 2фа
Какую 2FA вы предлагаете? Или замену?
2фа - не панацея, существуют "обходные манёвры" (распространяться не буду, кому надо и так в курсе).
Это не просмотр порнухи с телефона на котором 2фа и тому подобнаячушь банальщина.
Конечно, речь не о любой 2фа
Это не просмотр порнухи с телефона на котором 2фа и тому подобная
Конечно, речь не о любой 2фа
Jump to: