Author

Topic: ‎Google Authenticator app - opasnost od krađe kodova (Read 409 times)

legendary
Activity: 2730
Merit: 7065
Mozda ti je bolje onaj backup code na papir, i u neki sef
S tim zapisanim kodom ne moraš onda ni vodit brigu šta će ti biti sa telefonom. Ako se kojim slučajem pokvari, pogledaš u svoju evidenciju i vadiš kodove koji ti u tom trenutku trebaju Smiley
Negdje sam čitao, ne mogu se sad sjetiti gdje, da datoteka koju Google Auth. app kreira nije šifrirana niti zastićena. Ako ko dođe do nje ima pristup svim aktivinim kodovima.    
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Da su “popravili” bug, bi se vjerojatno i pohvalili, tako da sumnjam da jesu (to svakako vrijedi za android usere)
Nisam uspio pronacii taj info, tako da ova novost je svakako prednost, ali eyes open ostaje na snazi  Cool

Ali nije mi jasno zašto su išli ažurirati aplikaciju prvi put nakon ne znam ni sam koliko godina i onda ne poprave taj bug. Ako ništa drugo, drago mi je da su konačno ažurirali aplikaciju. Dok nisam vidio info o ovom bugu, nisam pojmao imao da ju Google uopće ne ažurira.

Azuzirali sz samo android app
iOS app jos nema funkcoju exporta sa “šiljur” kodom
Ali ne cudi me, iOS aplikacije imaju uvijek delay zbor raznih provjera
legendary
Activity: 2632
Merit: 1239
Da su “popravili” bug, bi se vjerojatno i pohvalili, tako da sumnjam da jesu (to svakako vrijedi za android usere)
Nisam uspio pronacii taj info, tako da ova novost je svakako prednost, ali eyes open ostaje na snazi  Cool

Ali nije mi jasno zašto su išli ažurirati aplikaciju prvi put nakon ne znam ni sam koliko godina i onda ne poprave taj bug. Ako ništa drugo, drago mi je da su konačno ažurirali aplikaciju. Dok nisam vidio info o ovom bugu, nisam pojmao imao da ju Google uopće ne ažurira.
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Da su “popravili” bug, bi se vjerojatno i pohvalili, tako da sumnjam da jesu (to svakako vrijedi za android usere)
Nisam uspio pronacii taj info, tako da ova novost je svakako prednost, ali eyes open ostaje na snazi  Cool
legendary
Activity: 2632
Merit: 1239

Pada mi na pamet sad da si na neki stari mob odradim backup svih 2FA kodova kako su sad omogucili export accounta

A gle, i stari mob moze krepat, da mu nemos doc do diska vise.
Mozda ti je bolje onaj backup code na papir, i u neki sef

To imam da, sve sta moze ici na papir ide na sigurno cuvanje Smiley
Ovo je dodatni backup


Vidio sam da se Google Authenticator aplikacija napokon nadogradila na novu verziju. Je li time popravljen ova opasnost zbog koje je pokrenut topic? To mi je važnije nego prijenos 2FA kodova na drugi mobitel. A što se tiče backup kodova, sranje je što njih možeš vidjeti samo prvi put kad generiraš 2FA kod na nekoj stranici. Nakon što je kod generiran, više ga ne možeš dobiti. Eventualno se može onemogućiti 2FA na stranici (ali je potrebno upisati 2FA kod) i onda opet omogućiti pa stranica izbaci novi kod. Također, kod jedne stranice uopće nije pisao taj backup kod nego samo onaj QR koji sam skenirao i omogućio 2FA.
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol

Pada mi na pamet sad da si na neki stari mob odradim backup svih 2FA kodova kako su sad omogucili export accounta

A gle, i stari mob moze krepat, da mu nemos doc do diska vise.
Mozda ti je bolje onaj backup code na papir, i u neki sef

To imam da, sve sta moze ici na papir ide na sigurno cuvanje Smiley
Ovo je dodatni backup
hero member
Activity: 2086
Merit: 761
To boldly go where no rabbit has gone before...

Pada mi na pamet sad da si na neki stari mob odradim backup svih 2FA kodova kako su sad omogucili export accounta

A gle, i stari mob moze krepat, da mu nemos doc do diska vise.
Mozda ti je bolje onaj backup code na papir, i u neki sef
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Novost u google authenticatoru je ta da su dodali opciju exporta 2FA accounta na drugi mobitel, sta je komotna opcija kod prelaska na novi uredjaj, ali koliko je sigurna  Roll Eyes nadam se da je

Vise puta mi se pojavio upit u glavi “sta ako izgubim mobitel?” Koja to tlaka mora biti sa dokazivanjem da si stvarno izgubio mobitel

Pada mi na pamet sad da si na neki stari mob odradim backup svih 2FA kodova kako su sad omogucili export accounta
legendary
Activity: 1260
Merit: 1029
Mislim da nitko ne može hakirati bazu 2FA kodova jer ona ne postoji. Postoji algoritam koji temeljem početnog koda (kojeg moraš zapisati kad se prijaviš za 2FA) generira šesteroznamenkasti 2FA kod. Ali čak i da netko provali kako taj algoritam funkcionira, opet mora znati taj početni kod koji ti je dao npr. Binance kad si kod njih upalio 2FA.

Ma na algoritam sam i mislio. Neka poveznica negdje mora biti zapisana, čim on tebi te kodove generira i bez pristupa internetu znači da su oni negdje već unaprijed definirani.

Mislim da ne bi trebali biti unaprijed definirani nego da to radi po sličnom principu kao i generiranje public i private keyeva iz seed phrase. U tom slučaju public key je adresa walleta, a private key je ono s čime dokazuješ da si vlasnik walleta i na taj način pristupaš sredstvima na walletu. Tako vjerojatno i 2FA kodovi rade - iz tog prvog koda kojeg generira Binance se po nekom principu generiraju 2FA kodovi.

Tako je. Zato se restore može napraviti samo putem podataka koje dobiješ od Binance-a.
legendary
Activity: 2632
Merit: 1239
Mislim da nitko ne može hakirati bazu 2FA kodova jer ona ne postoji. Postoji algoritam koji temeljem početnog koda (kojeg moraš zapisati kad se prijaviš za 2FA) generira šesteroznamenkasti 2FA kod. Ali čak i da netko provali kako taj algoritam funkcionira, opet mora znati taj početni kod koji ti je dao npr. Binance kad si kod njih upalio 2FA.

Ma na algoritam sam i mislio. Neka poveznica negdje mora biti zapisana, čim on tebi te kodove generira i bez pristupa internetu znači da su oni negdje već unaprijed definirani.

Mislim da ne bi trebali biti unaprijed definirani nego da to radi po sličnom principu kao i generiranje public i private keyeva iz seed phrase. U tom slučaju public key je adresa walleta, a private key je ono s čime dokazuješ da si vlasnik walleta i na taj način pristupaš sredstvima na walletu. Tako vjerojatno i 2FA kodovi rade - iz tog prvog koda kojeg generira Binance se po nekom principu generiraju 2FA kodovi.
legendary
Activity: 2226
Merit: 1571
Join the world-leading crypto sportsbook NOW!
Ovdje se ne radi o tome da autentifikator ima rupu, već se kroz sistem dolazi do podataka kad je upaljen. To je nešto kao kad u sef uđu lopovi, ne dok je zaključan, nego u trenutku kad ga otvori zaposlenik banke. Da li je sef nesiguran? Nije. On je i dalje jednako siguran, samo ga se mora koristiti na siguran način. Isto tako i sa autentifikatorom. Ako imaš sranje na mobu, onda apsolutno sve što je gore je u banani.

Ako je u tome stvar, to je već malo bolje. Znači da bi offline stara krntija od mobitela trebala biti okej.

Mislim da nitko ne može hakirati bazu 2FA kodova jer ona ne postoji. Postoji algoritam koji temeljem početnog koda (kojeg moraš zapisati kad se prijaviš za 2FA) generira šesteroznamenkasti 2FA kod. Ali čak i da netko provali kako taj algoritam funkcionira, opet mora znati taj početni kod koji ti je dao npr. Binance kad si kod njih upalio 2FA.

Ma na algoritam sam i mislio. Neka poveznica negdje mora biti zapisana, čim on tebi te kodove generira i bez pristupa internetu znači da su oni negdje već unaprijed definirani.
legendary
Activity: 2632
Merit: 1239

Prema ovim uputama, izgleda da radi s Google Authenticator aplikacijom, odnosno možeš ga koristiti za generiranje Google Authenticator 2FA kodova. Meni je možda overkill jer skoro ništa ne držim na burzama. Ali nekome tko trejda sa značajnijom lovom i drži kripto na burzama je možda bolje kupiti YubiKey nego Ledger. Cijena im je otprilike ista. Jedino, ako koristite mobitel za prijavu na burzu, onda bi trebali uzeti YubiKey s NFC podrškom (ako mobitel također podržava NFC) jer ovi ostali se spajaju na komp preko USB-a pa onda morate biti na kompu da bi generirali 2FA kod.

Ne radi se samo o burzama...ima dosta drugih servisa gdje bi se terbali koristiti 2fa auth.

Naravno. Ja sam burze uzeo kao primjer jer ipak većina nas tamo koristi te kodove. Osim toga, da aktivno trejdam, puno bi mi bilo gore da mi netko provali Binance račun nego Facebook račun.
legendary
Activity: 1260
Merit: 1029

Prema ovim uputama, izgleda da radi s Google Authenticator aplikacijom, odnosno možeš ga koristiti za generiranje Google Authenticator 2FA kodova. Meni je možda overkill jer skoro ništa ne držim na burzama. Ali nekome tko trejda sa značajnijom lovom i drži kripto na burzama je možda bolje kupiti YubiKey nego Ledger. Cijena im je otprilike ista. Jedino, ako koristite mobitel za prijavu na burzu, onda bi trebali uzeti YubiKey s NFC podrškom (ako mobitel također podržava NFC) jer ovi ostali se spajaju na komp preko USB-a pa onda morate biti na kompu da bi generirali 2FA kod.

Ne radi se samo o burzama...ima dosta drugih servisa gdje bi se terbali koristiti 2fa auth.
legendary
Activity: 1260
Merit: 1029
Ovdje se ne radi o tome da autentifikator ima rupu, već se kroz sistem dolazi do podataka kad je upaljen. To je nešto kao kad u sef uđu lopovi, ne dok je zaključan, nego u trenutku kad ga otvori zaposlenik banke. Da li je sef nesiguran? Nije. On je i dalje jednako siguran, samo ga se mora koristiti na siguran način. Isto tako i sa autentifikatorom. Ako imaš sranje na mobu, onda apsolutno sve što je gore je u banani.
legendary
Activity: 2632
Merit: 1239
[...] postoji li dedicirani 2fa hardware?

Mislis na ovako nesto...?

E viš, čuo sam ga to davno davno prije, no nikada nisam tražio ništa više od auth app-a. Ako je kompatibilno sa auth app-om, skroz ok alterantiva. Ako nije, onda je pretvaranje starog mobitela u offline 2fa uređaj najbolja opcija.

Prema ovim uputama, izgleda da radi s Google Authenticator aplikacijom, odnosno možeš ga koristiti za generiranje Google Authenticator 2FA kodova. Meni je možda overkill jer skoro ništa ne držim na burzama. Ali nekome tko trejda sa značajnijom lovom i drži kripto na burzama je možda bolje kupiti YubiKey nego Ledger. Cijena im je otprilike ista. Jedino, ako koristite mobitel za prijavu na burzu, onda bi trebali uzeti YubiKey s NFC podrškom (ako mobitel također podržava NFC) jer ovi ostali se spajaju na komp preko USB-a pa onda morate biti na kompu da bi generirali 2FA kod.
legendary
Activity: 2632
Merit: 1239
Ma ja kužim da ti netko hakira komp. Ali ne kužim kako se hakira 2FA aplikacija, hakiraju li tvoj uređaj ili samu 2FA bazu kodova? Jer ako se i osiguraš na najbolji mogući način (čisti mobitel bez interneta) a netko provali u 2FA bazu koja generira te kodove, opet će ti uspjeti ući u sve račune jer su hakirali source informacija.

Možda najbolje ni ne razmišljati o tome - jednog dana ako ćemo imati previše para ne tome jednostavno podijeliti na 10 računa i zaštititi na 5 različitih načina.

Mislim da nitko ne može hakirati bazu 2FA kodova jer ona ne postoji. Postoji algoritam koji temeljem početnog koda (kojeg moraš zapisati kad se prijaviš za 2FA) generira šesteroznamenkasti 2FA kod. Ali čak i da netko provali kako taj algoritam funkcionira, opet mora znati taj početni kod koji ti je dao npr. Binance kad si kod njih upalio 2FA.
legendary
Activity: 2212
Merit: 7064
Odavno sam govorio da google 2FA nije siguran koliko ljudi misle, ali izgleda da je trebalo da se desi ovako nešto...
Alternativa bi možda mogao biti d2FA - Decentralized Two Factor Authentication ili nešto slično.
https://zel.network/project/zelid/
legendary
Activity: 1260
Merit: 1029
[...] postoji li dedicirani 2fa hardware?

Mislis na ovako nesto...?

E viš, čuo sam ga to davno davno prije, no nikada nisam tražio ništa više od auth app-a. Ako je kompatibilno sa auth app-om, skroz ok alterantiva. Ako nije, onda je pretvaranje starog mobitela u offline 2fa uređaj najbolja opcija.
legendary
Activity: 1260
Merit: 1029
Quote
"When the [Authenticator] app is running, the Trojan can get the content of the interface and can send it to the [command-and-control] server," they added.

Praktički, dovoljno je odspojiti mobitel sa neta u trenutku upisivanja 2fa, te ga spojiti na net kad se kodovi refreshaju i ugasi auth app (obavezno ugasiti app i pričekati jedan ciklus redreshanja kodova koji je nekih...30-60 sec ili tako nešto). Ako vam je mogitel i zarašen, poslat će napadačima stare kodove koji više ne vrijede.
legendary
Activity: 2744
Merit: 1193
I don't believe in denial.
[...] postoji li dedicirani 2fa hardware?

Mislis na ovako nesto...?
legendary
Activity: 1260
Merit: 1029
Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.

Ako ne spajaš taj mob na WIFI i/ili mobile net (pošto nemaš karticu, ovo drugo niti ne možeš), onda je to i te kako sigurno jer google auth radi offline a hack ne možeš popušiti na taj način.  Praktički, pretvorio si taj mobitel u dedicirani 2fa hardware.
Kad smo kod toga, postoji li dedicirani 2fa hardware?
legendary
Activity: 2226
Merit: 1571
Join the world-leading crypto sportsbook NOW!
Ma ja kužim da ti netko hakira komp. Ali ne kužim kako se hakira 2FA aplikacija, hakiraju li tvoj uređaj ili samu 2FA bazu kodova? Jer ako se i osiguraš na najbolji mogući način (čisti mobitel bez interneta) a netko provali u 2FA bazu koja generira te kodove, opet će ti uspjeti ući u sve račune jer su hakirali source informacija.

Možda najbolje ni ne razmišljati o tome - jednog dana ako ćemo imati previše para ne tome jednostavno podijeliti na 10 računa i zaštititi na 5 različitih načina.
legendary
Activity: 2646
Merit: 2691
Join the world-leading crypto sportsbook NOW!
Uvijek se vraćamo na istu priču. Svatko treba naći kompromis između sigurnosti i praktičnosti koji njemu osobno odgovara. Valjda je svima jasno ako bilo što držiš na uređaju koji ima pristup internetu da uvijek postoji mogućnost nekakvog hakiranja. Jedino sigurno rješenje je uređaj koji se ni na koji način ne može spojiti na mreže i koji nitko drugi ne zna da imaš. To jest ne može ti ga otuđiti. Naravno da takva varijanta nije praktična.

Meni osobno paše varijanta skoro bez ikakve sigurnosti za male iznose i relativno sigurna varijanta s hardverskim novčanikom za veće. Ako ikada budem imao stvarno značajne iznose onda slijedi neko moje osobno računalo bez pristupa na internet sastavljeno od starijih provjerenih komponenti (pogotovo matična ploča iz doba prije nego su na nju počeli trpati sve i svašta) s open source operativnim sustavom i zaštićeno svime što mi padne na pamet.
legendary
Activity: 2632
Merit: 1239
Mene najviše brine to što je zapravo 2FA jedina zaštita kojoj sam vjerovao. Što sada?

Za 2FA ne moraš imati niti internet vezu. Kako netko to hakira pobogu?

Ne znam koliko si upućen ali postoje programi koji se zovu Remote Access Tool (RAT) koji vlasniku omogućavaju potpuni pristup zaraženom uređaju. Na taj način mogu prikupljati korisničke podatke, a od sad očito i 2FA kodove. Naravno, ako sve to koristiš na mobitelu koji nije povezan s Internetom onda si bez brige. Ali ionako si bez brige jer ako se ne spajaš na Internet, onda ne možeš dobiti virus, odnosno taj RAT.
legendary
Activity: 2226
Merit: 1571
Join the world-leading crypto sportsbook NOW!
Mene najviše brine to što je zapravo 2FA jedina zaštita kojoj sam vjerovao. Što sada?

Za 2FA ne moraš imati niti internet vezu. Kako netko to hakira pobogu?
legendary
Activity: 2632
Merit: 1239
Nisam nikad pristupao burzama koje koristim za trejdanje preko mobitela. Imam odvojene računare za različite potrebe. Posao i finansije mi ne idu sa zabavom i ležernijim stvarima.

Ne tako davno se je pojavio korisnik koji je u temi od FortuneJack-a u gambling sekciji pisao da može pristupiti bilo kojem FJ nalogu iako ima aktivirana 2FA zaštita. Naravno treba imati korisničke podatke (email + lozinku). Čak je zamolio nekog da napravi novi nalog, aktivira 2FA, i pošalje mu te podatke ali na tome je sve stalo i niko se nije javio.

Mislim da programu koji prikupi 2FA kodove nije problem otkriti i poslati korisničko ime i lozinku koje korisnik upisuje kad se prijavljuje na burzu.

Mene i dalje zanima i ne mogu nikako otkriti je li ugrožena samo Google Authenticator aplikacija ili bilo koja 2FA aplikacija.
legendary
Activity: 2730
Merit: 7065
Nisam nikad pristupao burzama koje koristim za trejdanje preko mobitela. Imam odvojene računare za različite potrebe. Posao i finansije mi ne idu sa zabavom i ležernijim stvarima.

Ne tako davno se je pojavio korisnik koji je u temi od FortuneJack-a u gambling sekciji pisao da može pristupiti bilo kojem FJ nalogu iako ima aktivirana 2FA zaštita. Naravno treba imati korisničke podatke (email + lozinku). Čak je zamolio nekog da napravi novi nalog, aktivira 2FA, i pošalje mu te podatke ali na tome je sve stalo i niko se nije javio.
jr. member
Activity: 56
Merit: 4

Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.

Ovo ima smisla ako burzama pristupaš s jednog računala od doma. Slažem se da je dobro rješenje ali ja na žalost na burzu idem bilo gdje ako mi je panika napraviti neki order.
Nekako sam mislio da mi je ovo s 2FA authenticatorom sigurno, čini se da nije ni to 100%.


Trgujem na burzama od svuda, ali s drugog mobitela i samo preko apija. Puni pristup burzi ostavljam samo za pc doma jer u pc imam više povjerenja.
legendary
Activity: 2744
Merit: 1193
I don't believe in denial.
[...] Nekako sam mislio da mi je ovo s 2FA authenticatorom sigurno, čini se da nije ni to 100%.

Jedino smrt je 100% sigurna...  Lips sealed
legendary
Activity: 2632
Merit: 1239
Huh... Srećom da sam odustao od trejdanja pa mi ništa ne mogu uzeti sa burzi. Ali što sad? Kako se zaštititi? U svim člancima piše samo kakva je opasnost, ali nigdje ne piše kako se zaštititi. Osim toga, je li u opasnosti samo Google Authenticator ili i ostali 2FA programi? Recimo, dobra alternatica Google Authenticatoru je Authy. Nisam ga koristio, ali prema ovom članku ispada da je čak i bolji od Google Authenticatora. Je li ga netko koristio?

Zapravo me najviše muči što sad moram vjerovati nekoj novoj aplikaciji da mi generira 2FA kodove i da ih neće dijeliti okolo. Prema ovome što sam na brzinu pročitao o Authy aplikaciji, čini mi se da ću se prebaciti na nju. Iskreno, nisam imao pojma da Google Authenticator nije ažuriran od 2017. godine. To me stvarno šokiralo.
legendary
Activity: 2226
Merit: 1571
Join the world-leading crypto sportsbook NOW!
Da, za sad mi koji smo na iOS-u smo po pitanju gore navedenog trojanca mirni

Ajde, barem nešto. Hvala za info.

Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.

Ovo ima smisla ako burzama pristupaš s jednog računala od doma. Slažem se da je dobro rješenje ali ja na žalost na burzu idem bilo gdje ako mi je panika napraviti neki order.
Nekako sam mislio da mi je ovo s 2FA authenticatorom sigurno, čini se da nije ni to 100%.
jr. member
Activity: 56
Merit: 4
Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Oprez svim Android korisnicima koji koriste 2FA ‎Google Authenticator aplikaciju

Shit, što sada? Koristim ga doslovno za sve, ima neka sigurna alternativa tome?

Imam ga na iOS-u - spašava li me to?

Da, za sad mi koji smo na iOS-u smo po pitanju gore navedenog trojanca mirni
legendary
Activity: 2226
Merit: 1571
Join the world-leading crypto sportsbook NOW!
Oprez svim Android korisnicima koji koriste 2FA ‎Google Authenticator aplikaciju

Shit, što sada? Koristim ga doslovno za sve, ima neka sigurna alternativa tome?

Imam ga na iOS-u - spašava li me to?
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
hero member
Activity: 1680
Merit: 583
xUSD - The PRIVATE stable coin - Haven Protocol
Jump to: