Topic: Seguridad en Cuenta de Bitcointalk (Read 352 times)
Pues son cosas que, si eres nuevo, ok, pero cuando se tiene algún tiempo, no solo la usas porque sí, sino que reflexionas del porqué hasta ahora, te hace pensar que el hermano "clonado" del foro cada vez pierde ADN, una vez más el código genético del nuevo foro se siente indescifrable.
<…>
Pues mira que hacía años que quería ver la habilitación del 2FA en Bitcointalk, y ahora que ha llegado estoy tardando en probarlo ...Por un lado quería esperar a ver si los usuarios tempraneros destapaban algunos errores, y prefería probarlo ya sobre algo estabilizado. Por otro lado, mi caso tiene alguna casuística que lo hace un tanto más complicado, dado que tengo procesos de raspado y meritaje contra el foro, con intentos de conexión reiterativos en caso de ruptura de la conexión, y tengo que ver qué sucede en esos casos si activo el 2FA.
Nota:
Buenas fiestas también para ti y los tuyos, así como buena entrada 2024.
<…> Abro este hilo porque desde hace tiempo he visto muchos casos de cuentas de bitcointalk hackeadas, y hoy día existen muchos métodos para asegurar las cuentas, en los Exchanges hay muchas maneras, como la de iniciar sesión y luego confirmarla por correo electrónico o tal vez la seguridad 2FA, entonces me pregunto, esta no es una manera excelente de poder establecer como método de seguridad a nuestras cuentas de bitcointalk? <…>
… 4 años más tarde (respecto de la pregunta del OP), llegó el 2FA al foro … (pero llegó, que es lo que cuenta).No me he lanzado a probarlo todavía, pero en Meta hay un hilo anunciando su puesta en marcha en Bitcointalk. Pensaba que era coña, una suerte de broma de día de los inocentes adelantada, pero no, es cierto.
Si miramos en nuestro perfil, dentro del apartado "Account Related Settings" encontraremos los campos de configuración del 2FA, debajo del apartado de la contraseña. Si refrescáis la página, veréis como el código va cambiando.
Habría que leer bien los comentarios acerca de los posibles problemas que surjan, y como estoy en medio de actualizar datos, dejaré las pruebas para otro momento posterior.
Ver:
2FA added
A concise 2FA/TOTP implementation (SMF patch) (autor de la proactividad y de la mayor parte de la solución).
Grande DdmrDdmr,
Ya lo hice y me parece perfecto, algo asi era como melo había imaginado, claro con la salvedad que apareciera de otra manera, pero si, básicamente es si el usario lo quiere adquirir, creo que las cosas con un poco más de seguridad para nuestras cuentas pues no está de más, siempre es bueno hacer algo como esto, yo creo fielmente que el factor 2FA siempre será una capa adicional de seguridad, y como el foro está en este formato pues encaja perfectamente, me gusta que theymos tome esa iniciativa y aunque hay muchos que no les gusta este tipo de seguridad pues está en ellos si lo quieren o no.
Muchas gracias,
En otro aspecto y algo off topic, espero que la haya pasado muy bien en estas fiestas navideñas ysu familia e igual feliz navidad paa usted y para todos los usuarios de aquí en nuestro foro local, un gran abrazo y que este 2024 que viene sea lleno de Bendiciones y éxitos para todos.
<…> Abro este hilo porque desde hace tiempo he visto muchos casos de cuentas de bitcointalk hackeadas, y hoy día existen muchos métodos para asegurar las cuentas, en los Exchanges hay muchas maneras, como la de iniciar sesión y luego confirmarla por correo electrónico o tal vez la seguridad 2FA, entonces me pregunto, esta no es una manera excelente de poder establecer como método de seguridad a nuestras cuentas de bitcointalk? <…>
… 4 años más tarde (respecto de la pregunta del OP), llegó el 2FA al foro … (pero llegó, que es lo que cuenta).No me he lanzado a probarlo todavía, pero en Meta hay un hilo anunciando su puesta en marcha en Bitcointalk. Pensaba que era coña, una suerte de broma de día de los inocentes adelantada, pero no, es cierto.
Si miramos en nuestro perfil, dentro del apartado "Account Related Settings" encontraremos los campos de configuración del 2FA, debajo del apartado de la contraseña. Si refrescáis la página, veréis como el código va cambiando.
Habría que leer bien los comentarios acerca de los posibles problemas que surjan, y como estoy en medio de actualizar datos, dejaré las pruebas para otro momento posterior.
Ver:
2FA added
A concise 2FA/TOTP implementation (SMF patch) (autor de la proactividad y de la mayor parte de la solución).
A mi no me gusta mucho el 2fa, no reemplaza una buena clave y un sistema operativo seguro. Hay gente que se fía demasiado del 2fa y usa claves tontas o repetidas y sobretodo sistemas operativos inseguros. El 2fa no es invulnerable, basta con tener un malware haciendo de las suyas y ciertos sistemas operativos inseguros facilitan mucho el asunto.
Vamos que si es por mi, no se debería permitir gente con Windows en internet. Es una tremenda locura, aunque Android, y OSX/iOS no se quedan muy lejos.
El hilo aquel del mensaje firmado me parece una herramienta de recuperación bastante interesante. Hacerlo es muy fácil con Electrum al menos.
2fa tiene básicamente 2 vulnerabilidades: Al momento de crear el 2fa, aparece un código de 16 caracteres y usualmente un qrcode. Esto es equivalente a la llave privada, si se tiene un malware capturando la pantalla, pueden decir adiós.
La otra es atacar al propio gestor de 2fa, como el mencionado ataque a Google Authenticator, bien sea porque no protege bien esas llaves o porque hay un malware interceptando/capturando la pantalla.
En fin que para mi lo mas importante es una clave decente, preferiblemente larga y complicada. Apóyense en un gestor de claves (que sea software libre) porque a la hora de la verdad es imposible recordar cientos de claves especialmente cuando son generadas aleatoreamente. Pero para eso es vital un sistema operativo seguro porque les pueden capturar la clave del gestor al momento de abrirlo o la pantalla al momento de usarlo (de nuevo, sistemas operativos inseguros).
Vamos que si es por mi, no se debería permitir gente con Windows en internet. Es una tremenda locura, aunque Android, y OSX/iOS no se quedan muy lejos.
El hilo aquel del mensaje firmado me parece una herramienta de recuperación bastante interesante. Hacerlo es muy fácil con Electrum al menos.
2fa tiene básicamente 2 vulnerabilidades: Al momento de crear el 2fa, aparece un código de 16 caracteres y usualmente un qrcode. Esto es equivalente a la llave privada, si se tiene un malware capturando la pantalla, pueden decir adiós.
La otra es atacar al propio gestor de 2fa, como el mencionado ataque a Google Authenticator, bien sea porque no protege bien esas llaves o porque hay un malware interceptando/capturando la pantalla.
En fin que para mi lo mas importante es una clave decente, preferiblemente larga y complicada. Apóyense en un gestor de claves (que sea software libre) porque a la hora de la verdad es imposible recordar cientos de claves especialmente cuando son generadas aleatoreamente. Pero para eso es vital un sistema operativo seguro porque les pueden capturar la clave del gestor al momento de abrirlo o la pantalla al momento de usarlo (de nuevo, sistemas operativos inseguros).
<...>
Del 2FA hay variantes como las que citas, siendo las habituales una App con códigos que duran 30 segundos, SMS y correo. De las tres, la App es a priori el elemento más seguro, y aunque encontremos información de alguna vulnerabilidad y casos donde se supone el 2FA de una app (/servicio) ha sido franqueada, los casos, de ser ciertos, son muy pocos (o poco ruidosos).El 2FA implementado por un SMS está potencialmente expuesta al SIM Swapping: alguien tiene tu número de móvil, va a una tienda de la compañía telefónica, consigue un duplicado (inhabilitando tu terminal de paso), y los SMSs del 2FA le llegan a su terminal. De esto hay casos sonoros y de menos ruido, y es un peligro latente.
El 2FA con un email tiene el riesgo de que alguien se haga con tus claves de acceso al correo, y por tanto pueda validar la parte 2FA de una operación. Yo tengo 2FA (con App) en mis cuentas de correo para mitigar este riesgo.
Aunque los métodos dos y tres son más débiles que el primero, sus vulnerabilidades no es que vayan a ser explotadas cada día, y la probabilidad de que te suceda es más bien baja (pero no nula). Es más importante activarlo que otra cosa, y si puede ser con App mejor (por cierto, que se ha de saber gestionar en términos de copia de seguridad).
La seguridad siempre será un factoa a tomar muy en cuenta, aunque ésta semana leí (no recuerdo en que sitio) de una posible debilidad encontrada en el factor de autenticación de Google (cuando consiga el enlace lo publico). La seguridad de Binance me parece muy buena, porque además del factor 2FA dan otras opciones que podemos seleccionar, como por ejemplo recibir un código por correo o un SMS al teléfono. Ésta última opción me parece muy buena porque hay mucha gente que no utiliza teléfonos inteligentes, o no puede adquirir uno, especialmente en países pobres. Entonces creo que Binance es un buen ejemplo porque da otras alternativas de seguridad no sólo el factor 2FA.
@vb1001 creó un hilo al respecto en enero de este año (Firmar Mensaje con la dirección de Bitcoin). En el hilo en cuestión citaba:
En mi caso, no seguí el procedimiento de firma de mensaje BTC hasta pasado cuatro meses desde que me di de alta en el foro, supongo que coincidiendo con el momento en el cual mi cuenta se tornó Full Member. Hasta ese momento, no le di un valor personal a mi cuenta, a la vez que la información sobre cuentas hackeadas no me inquietaban lo más mínimo.
Mucha gente que se da de alta en el foro desconoce esta cuestión (entre muchas otras). Si bien es cierto que hay información por doquier, no lo es menos que no está superestructurada en un lugar fácil de consultar (hay mucha información relevante que no está en los stickies, y más aún en inglés sin su equivalente en los idiomas de los foros locales).
Visto con perspectiva uno debería recibir una guía oficial en el momento de crear su cuenta por parte del foro (sea un pdf o un link a un sitio para visualizarlo o proceder a su descarga), que cubriese todos los aspectos de mayor interés relativos a la operativa, normativa y seguridad en el foro (de la cuenta, de comerciar, etc.). Aún mejor si estuviese en el idioma seleccionado por el usuario (de entre un conjunto limitado claro está).
Parece a priori algo raro que un foro requiera elaborar una guía (leches, es "sólo un foro"), pero este no es un foro cualquiera, entremezclándose muchas motivaciones e intereses para estar en él, que van en muchos casos más allá del mero intercambio de opiniones e información.
Tampoco estaría mal añadir dicha guía al perfil propio, de manera que estuviese siempre accesible sin tener que buscarla en el email de alta. A mí por lo menos me suena mucho mejor tener dicha hipotética guía que el procedimiento actual de stickies+búsqueda de contenidos.
Suscribo lo que indicaba en su momento, y debería ser algo más del dominio público por empuje informativo y no un acontecimiento encontrado de manera casual.Mucha gente que se da de alta en el foro desconoce esta cuestión (entre muchas otras). Si bien es cierto que hay información por doquier, no lo es menos que no está superestructurada en un lugar fácil de consultar (hay mucha información relevante que no está en los stickies, y más aún en inglés sin su equivalente en los idiomas de los foros locales).
Visto con perspectiva uno debería recibir una guía oficial en el momento de crear su cuenta por parte del foro (sea un pdf o un link a un sitio para visualizarlo o proceder a su descarga), que cubriese todos los aspectos de mayor interés relativos a la operativa, normativa y seguridad en el foro (de la cuenta, de comerciar, etc.). Aún mejor si estuviese en el idioma seleccionado por el usuario (de entre un conjunto limitado claro está).
Parece a priori algo raro que un foro requiera elaborar una guía (leches, es "sólo un foro"), pero este no es un foro cualquiera, entremezclándose muchas motivaciones e intereses para estar en él, que van en muchos casos más allá del mero intercambio de opiniones e información.
Tampoco estaría mal añadir dicha guía al perfil propio, de manera que estuviese siempre accesible sin tener que buscarla en el email de alta. A mí por lo menos me suena mucho mejor tener dicha hipotética guía que el procedimiento actual de stickies+búsqueda de contenidos.
Bueno en vista de esto, tomé mis previsiones de tener la seguridad en mi cuenta, del hilo que colocó @DdmrDdmr hice mi mensaje firmado, verificado y archivado: https://bitcointalksearch.org/topic/m.52984108, la verdad no tenía idea de cómo hacer un mensaje firmado, en YouTube explican muy bien los métodos, y no es algo para nada difícil, exhorto a aquellos que no lo hayan hecho que aseguren su cuenta, no está de más tener estas capas de seguridad, y más cuando tenemos cierto tiempo en el foro, algunos han perdido sus cuentas sin poder recuperarlas, pienso que es el deber ser hacerlo. Si grandes corporaciones, empresas de gran renombre han sido hackeadas, debemos tener la mayor de las precauciones en este mundillo.
Exhortado por tu comentario
he realizado la firma del mensaje y lo he subido al post de firmas. https://bitcointalksearch.org/topic/m.52988970La verdad que lo lei hace tiempo y por pereza y también porque estoy seguro que no me van a robar la cuenta pues nunca lo hice. Mas vale prevenir
<...>
Quizás debería haber referenciado el siguiente hilo que explica cómo firmar un mensaje BTC, el cual utilicé yo en su momento como guía: How to sign a message?!. Aunque el hilo fue creado en Marzo 2015, su última edición es de hace un año, por lo que debería estar esencialmente al día. Lo único a indicar quizás es que ahora veo que mucha gente firma con direcciones SegWit (ver este hilo), cuando antes era complicado que fuesen validables (las Legacy en principio no dan problemas).
Bueno en vista de esto, tomé mis previsiones de tener la seguridad en mi cuenta, del hilo que colocó @DdmrDdmr hice mi mensaje firmado, verificado y archivado: https://bitcointalksearch.org/topic/m.52984108, la verdad no tenía idea de cómo hacer un mensaje firmado, en YouTube explican muy bien los métodos, y no es algo para nada difícil, exhorto a aquellos que no lo hayan hecho que aseguren su cuenta, no está de más tener estas capas de seguridad, y más cuando tenemos cierto tiempo en el foro, algunos han perdido sus cuentas sin poder recuperarlas, pienso que es el deber ser hacerlo. Si grandes corporaciones, empresas de gran renombre han sido hackeadas, debemos tener la mayor de las precauciones en este mundillo.
...
Wow será que los desarrolladores ya contemplarían está información colega? Sería muy bueno que pudieran implementarlo desde ya, otra de las causas que creo que pueden incidir es que muchas veces los navegadores dan la opción de guardar contraseñas cuando se entra en diversos servicios, ahí también es un potencial blanco de ataque, de hecho recientemente ví un vídeo que lo último era que ya hasta por medio de mouse con USB tienen una memoria pequeña que tiene acceso vía física teniendo todo a disposición, se enfocaban que algunos jefes de empresas les regalan a sus empleados este tipo de dispositivos para vigilarlos.
Tienes razón el hecho de guardar las contraseñas en el navegador a de ser otra de las principales vulnerabilidades. Pero no creo que represente un gran % de los hackeos en el foro. Los desarrolladores están conscientes de que eso existe pero como nos comenta Ddmr es difícil ver cambios ya que el otro foro se encuentra en desarrollo.
Seguro que la nueva versión del foro vendrá con 2Fa, así que a esperar.
<...>
Diría que coinciden varios factores. Por un lado, el hecho de tener un software desfasado en términos de versión, hace que las soluciones actuales probablemente ya no sean compatibles, y requieran estar en una versión determinada que dista de la actual. Por otro, seguro que hay todo un desarrollo del foro sobre la versión actual que adolece de lo mismo. Es decir, que usa librerías que, para actualizarse, no es un proceso sencillo e incluso puede que no existan versiones actuales equivalentes. No obstante, por encima de todo, el sistema tiene que ser de la confianza plena del Administrador, y esto probablemente sea algo que escrutine detenidamente e, históricamente, haya rechazado soluciones existentes por no de su pleno agrado.
Como bien supones, no veremos 2FA sobre el foro actual, y deberemos esperar a Epochtalk, o lo que sea se utilice como sustitutivo de la implementación actual ... cuando sea que suceda. Lo de la firma es la mejor contingencia para proteger nuestra cuenta.
La decisión de no implementar 2FA en el foro vigente probablemente partió de no considerarse necesario, y ha evolucionado a no ser prioritario al haber un sistema alternativo aunque tosco, y bastante dependiente de haber firmado un mensaje BTC o PGP, cosa que a muchos les suena a chino, y más aún si entraña algo de complicación técnica.
Es muy probable que, como indicaba, al estar montado el foro sobre SMF 1.1.19 (que creo es del año 2013), intentar plantear añadir 2FA requeriría actualizar la versión de SMF, cosa que no es trivial ni mucho menos, y que no tiene pinta de que se haga por dificultades técnicas (cuanto más tiempo pasa sin actualizar, más complicado es hacerlo posteriormente por los cambios entre versiones). He visto también que, por cuestiones relativas a dudas en la seguridad del SMF, se determinó no pasar a las versiones 2.x, y probablemente allí se quedó el asunto (ver el enlace del siguiente párrafo).
En cuanto a las cuentas hackeadas del foro, una vez superado el gran hackeo del año 2013 (ver Bitcointalk history of hacks and vandalism), los vectores de ataque más habituales son probablemente los que indica @seoincorporation. No parece un tema muy frecuente en Meta hoy por hoy, por lo que, en términos de impacto, parece ser de alcance bastante reducido.
Es muy probable que, como indicaba, al estar montado el foro sobre SMF 1.1.19 (que creo es del año 2013), intentar plantear añadir 2FA requeriría actualizar la versión de SMF, cosa que no es trivial ni mucho menos, y que no tiene pinta de que se haga por dificultades técnicas (cuanto más tiempo pasa sin actualizar, más complicado es hacerlo posteriormente por los cambios entre versiones). He visto también que, por cuestiones relativas a dudas en la seguridad del SMF, se determinó no pasar a las versiones 2.x, y probablemente allí se quedó el asunto (ver el enlace del siguiente párrafo).
En cuanto a las cuentas hackeadas del foro, una vez superado el gran hackeo del año 2013 (ver Bitcointalk history of hacks and vandalism), los vectores de ataque más habituales son probablemente los que indica @seoincorporation. No parece un tema muy frecuente en Meta hoy por hoy, por lo que, en términos de impacto, parece ser de alcance bastante reducido.
Entonces podemos dar por sentado que no se va dar el sistema de 2FA para el foro por ahora, eso quiere decir que la versión SMF 1.1.19 resulta ser complicado a nivel técnico o por costo? Las dudas en seguridad del SMF en versiones más actualizadas por encima de 2.x creí que era mejores y con más seguridad, en algunos foros que he visto tienen la seguridad 2FA, y hoy día considero que es muy necesario, la verdad no he realizado nunca el método de seguridad por firma con mensaje BTC o PGP, pero en vista de esto no quisiera perder mi cuenta por alguna vulnerabilidad que pueda haber. Es mejor tener todo seguro y no pasar un mal rato.
La decisión de no implementar 2FA en el foro vigente probablemente partió de no considerarse necesario, y ha evolucionado a no ser prioritario al haber un sistema alternativo aunque tosco, y bastante dependiente de haber firmado un mensaje BTC o PGP, cosa que a muchos les suena a chino, y más aún si entraña algo de complicación técnica.
Es muy probable que, como indicaba, al estar montado el foro sobre SMF 1.1.19 (que creo es del año 2013), intentar plantear añadir 2FA requeriría actualizar la versión de SMF, cosa que no es trivial ni mucho menos, y que no tiene pinta de que se haga por dificultades técnicas (cuanto más tiempo pasa sin actualizar, más complicado es hacerlo posteriormente por los cambios entre versiones). He visto también que, por cuestiones relativas a dudas en la seguridad del SMF, se determinó no pasar a las versiones 2.x, y probablemente allí se quedó el asunto (ver el enlace del siguiente párrafo).
En cuanto a las cuentas hackeadas del foro, una vez superado el gran hackeo del año 2013 (ver Bitcointalk history of hacks and vandalism), los vectores de ataque más habituales son probablemente los que indica @seoincorporation. No parece un tema muy frecuente en Meta hoy por hoy, por lo que, en términos de impacto, parece ser de alcance bastante reducido.
Es muy probable que, como indicaba, al estar montado el foro sobre SMF 1.1.19 (que creo es del año 2013), intentar plantear añadir 2FA requeriría actualizar la versión de SMF, cosa que no es trivial ni mucho menos, y que no tiene pinta de que se haga por dificultades técnicas (cuanto más tiempo pasa sin actualizar, más complicado es hacerlo posteriormente por los cambios entre versiones). He visto también que, por cuestiones relativas a dudas en la seguridad del SMF, se determinó no pasar a las versiones 2.x, y probablemente allí se quedó el asunto (ver el enlace del siguiente párrafo).
En cuanto a las cuentas hackeadas del foro, una vez superado el gran hackeo del año 2013 (ver Bitcointalk history of hacks and vandalism), los vectores de ataque más habituales son probablemente los que indica @seoincorporation. No parece un tema muy frecuente en Meta hoy por hoy, por lo que, en términos de impacto, parece ser de alcance bastante reducido.
El software wut utiliza el foro es llamado SMF, y si googleamos un poco encontraremos que hay gente que ya ha desarrollado el 2FA para este software, creo que nada mas sería cosa de implementarlo, dejo algunas referencias.
https://www.smfpacks.com/2fa/
https://www.simplemachines.org/community/index.php?topic=530816.0
También es importante enfocarse en como es que las cuentas son hackeadas, y creo que hay 2 casos que son los principales vectores de ataque:
1.- Phishing. Personas ingresando sus datos en clones de el foro.
2.- Gente que usa la misma contraseña para diferentes servicios.
Así que si los usuarios tuvieran buena practicas de seguridad, sería mas difícil para los hackers.
https://www.smfpacks.com/2fa/
https://www.simplemachines.org/community/index.php?topic=530816.0
También es importante enfocarse en como es que las cuentas son hackeadas, y creo que hay 2 casos que son los principales vectores de ataque:
1.- Phishing. Personas ingresando sus datos en clones de el foro.
2.- Gente que usa la misma contraseña para diferentes servicios.
Así que si los usuarios tuvieran buena practicas de seguridad, sería mas difícil para los hackers.
Wow será que los desarrolladores ya contemplarían está información colega? Sería muy bueno que pudieran implementarlo desde ya, otra de las causas que creo que pueden incidir es que muchas veces los navegadores dan la opción de guardar contraseñas cuando se entra en diversos servicios, ahí también es un potencial blanco de ataque, de hecho recientemente ví un vídeo que lo último era que ya hasta por medio de mouse con USB tienen una memoria pequeña que tiene acceso vía física teniendo todo a disposición, se enfocaban que algunos jefes de empresas les regalan a sus empleados este tipo de dispositivos para vigilarlos.
El software wut utiliza el foro es llamado SMF, y si googleamos un poco encontraremos que hay gente que ya ha desarrollado el 2FA para este software, creo que nada mas sería cosa de implementarlo, dejo algunas referencias.
https://www.smfpacks.com/2fa/
https://www.simplemachines.org/community/index.php?topic=530816.0
También es importante enfocarse en como es que las cuentas son hackeadas, y creo que hay 2 casos que son los principales vectores de ataque:
1.- Phishing. Personas ingresando sus datos en clones de el foro.
2.- Gente que usa la misma contraseña para diferentes servicios.
Así que si los usuarios tuvieran buena practicas de seguridad, sería mas difícil para los hackers.
https://www.smfpacks.com/2fa/
https://www.simplemachines.org/community/index.php?topic=530816.0
También es importante enfocarse en como es que las cuentas son hackeadas, y creo que hay 2 casos que son los principales vectores de ataque:
1.- Phishing. Personas ingresando sus datos en clones de el foro.
2.- Gente que usa la misma contraseña para diferentes servicios.
Así que si los usuarios tuvieran buena practicas de seguridad, sería mas difícil para los hackers.
<…>
En Meta hay mínimo 6 posts al respecto, siendo relativamente recientes:Can bitcointalk.org get 2 factor authentication?
Why doesn't Bitcointalk support 2FA?
2FA on bitcoin talk
Isn't it time to introduce 2FA to enhance user account security ?
Bitcointalk.org 2FA option/feature
Should there be an option of adding 2fa for forum accounts?
De entre los hilos, destaco la siguiente respuesta:
<…>
Yo personalmente soy bastante fan del 2FA, y lo tengo activado allá donde puedo (claro que luego has de saber qué gestor 2FA usar, y porqué).@theymos, couldn't a lot of this be avoided if we had a 2FA system in place? I know you don't want to use the google system, and I don't blame you, but what about a decentralized system like using a PGP public key to generate single-use passwords, and send PGP encrypted password recovery links to the registered email?
I know we've discussed this numerous times, and it's always been shutdown. Forgive me if I'm beating a dead horse, but I think I would rather live the downsides of a 2FA system opposed to the downsides of farming out account recovery.
That wouldn't eliminate the need for manual recoveries; it might even increase it as people lose their second factor. 2FA would be nice, but IMO the email notifications provide many of the same benefits, so it's not high on my to-do list.I know we've discussed this numerous times, and it's always been shutdown. Forgive me if I'm beating a dead horse, but I think I would rather live the downsides of a 2FA system opposed to the downsides of farming out account recovery.
Por otro lado, intuyo que el nuevo software, basado en Epochtalk, lo va a contemplar (otra cosa es cuando estará el software). En la lista de "Planned Features" figura "2-Factor Authentication" (ver http://epochtalk.org/map.html).
Tengamos presente que el foro actual está desarrollado sobre una versión bastante antigua de SMF, y que posiblemente, habilitar 2FA sobre esta versión no sea tan sencillo (podría que requiriese que el foro actualizase la versión de SMF por ejemplo, lo cual no se va a hacer a estas alturas).
Por último, recuerdo aquí el procedimiento de recuperación de cuentas. De su lectura, se desprende que la mejor protección actual es tener quoteado y verificado un mensaje firmado, usando PGP o una dirección Bitcoin, y preferentemente reflejado en este hilo.
Recuperación: Recuperar cuentas hackeadas, perdidas...
Lo busqué con otros criterios como: Security, Accont, muchísimas gracias @DdmrDdmr es que me ha llamado la atención porque he visto que algunos foros tienen el 2FA, y tantas cuentas hackeadas que es alarmante, voy a ponerme a leer todo lo relacionado a ello.
Espero que Epochtalk no se tarde mucho, considero que es una medida urgente que se necesita implementar el 2FA... Las capas de seguridad las considero necesarias, aunque fué muy vulnerable en el Exchange Binance que la pudieron Hackear, pero es un plus que el foro la tenga.
<…>
En Meta hay mínimo 6 posts al respecto, siendo relativamente recientes:Can bitcointalk.org get 2 factor authentication?
Why doesn't Bitcointalk support 2FA?
2FA on bitcoin talk
Isn't it time to introduce 2FA to enhance user account security ?
Bitcointalk.org 2FA option/feature
Should there be an option of adding 2fa for forum accounts?
De entre los hilos, destaco la siguiente respuesta:
<…>
Yo personalmente soy bastante fan del 2FA, y lo tengo activado allá donde puedo (claro que luego has de saber qué gestor 2FA usar, y porqué).@theymos, couldn't a lot of this be avoided if we had a 2FA system in place? I know you don't want to use the google system, and I don't blame you, but what about a decentralized system like using a PGP public key to generate single-use passwords, and send PGP encrypted password recovery links to the registered email?
I know we've discussed this numerous times, and it's always been shutdown. Forgive me if I'm beating a dead horse, but I think I would rather live the downsides of a 2FA system opposed to the downsides of farming out account recovery.
That wouldn't eliminate the need for manual recoveries; it might even increase it as people lose their second factor. 2FA would be nice, but IMO the email notifications provide many of the same benefits, so it's not high on my to-do list.I know we've discussed this numerous times, and it's always been shutdown. Forgive me if I'm beating a dead horse, but I think I would rather live the downsides of a 2FA system opposed to the downsides of farming out account recovery.
Por otro lado, intuyo que el nuevo software, basado en Epochtalk, lo va a contemplar (otra cosa es cuando estará el software). En la lista de "Planned Features" figura "2-Factor Authentication" (ver http://epochtalk.org/map.html).
Tengamos presente que el foro actual está desarrollado sobre una versión bastante antigua de SMF, y que posiblemente, habilitar 2FA sobre esta versión no sea tan sencillo (podría que requiriese que el foro actualizase la versión de SMF por ejemplo, lo cual no se va a hacer a estas alturas).
Por último, recuerdo aquí el procedimiento de recuperación de cuentas. De su lectura, se desprende que la mejor protección actual es tener quoteado y verificado un mensaje firmado, usando PGP o una dirección Bitcoin, y preferentemente reflejado en este hilo.
Recuperación: Recuperar cuentas hackeadas, perdidas...
Hola a todos,
Abro este hilo porque desde hace tiempo he visto muchos casos de cuentas de bitcointalk hackeadas, y hoy día existen muchos métodos para asegurar las cuentas, en los Exchanges hay muchas maneras, como la de iniciar sesión y luego confirmarla por correo electrónico o tal vez la seguridad 2FA, entonces me pregunto, esta no es una manera excelente de poder establecer como método de seguridad a nuestras cuentas de bitcointalk? Claro, es libre, claro es para aquellos que la quieran tomar, no sé si el foro los desarrolladores no han tenido presente esta opción? Pienso que si, y no sé si no la incluyen por motivos de no perder la tradicionalidad del foro, pero pienso que es una capa más de seguridad que puede establecerse.
No sé que tan complicado sea a nivel de desarrollo, pero es una manera de evitar muchos robos de cuentas, hackeos, entre otros...
Qué opinan?
Busqué este tema o similar en el foro pero no encontré nada....
Abro este hilo porque desde hace tiempo he visto muchos casos de cuentas de bitcointalk hackeadas, y hoy día existen muchos métodos para asegurar las cuentas, en los Exchanges hay muchas maneras, como la de iniciar sesión y luego confirmarla por correo electrónico o tal vez la seguridad 2FA, entonces me pregunto, esta no es una manera excelente de poder establecer como método de seguridad a nuestras cuentas de bitcointalk? Claro, es libre, claro es para aquellos que la quieran tomar, no sé si el foro los desarrolladores no han tenido presente esta opción? Pienso que si, y no sé si no la incluyen por motivos de no perder la tradicionalidad del foro, pero pienso que es una capa más de seguridad que puede establecerse.
No sé que tan complicado sea a nivel de desarrollo, pero es una manera de evitar muchos robos de cuentas, hackeos, entre otros...
Qué opinan?
Busqué este tema o similar en el foro pero no encontré nada....
Jump to: