Перейти к содержимому
Garrett

Gmail - двухфакторная авторизация под вопросом

Рекомендуемые сообщения

(изменено)

У Gmail есть двухфакторная авторизация, но по сути она бесполезна, если злоумышленник перехватил сессию. Он безо всяких преград и оповещений удаляет ваш номер телефона и меняет пароль.

Логика подсказывает, если вы зарегистрировали свой номер телефона в качестве второго фактора авторизации, то что бы изменить его(удалить) нужно ввести код, который будет выслан в СМС на этот же номер. Но у Gmail это не так. Таким образом двухфакторная авторизация у Гугл аккаунтов половинчатое решение: она вроде есть, но ее как бы нет. Потому что ее можно отключить не прибегая к ней же!

 

Вы можете убедиться в этом прямо сейчас, зайдя в настройки Google Accounts - google.com/settings/security и удалить свой номер телефона.

 

Насколько легко будет отключить аппаратный токен, я пока не знаю. Гугль требует новомодный ybkey за 50$ ключик и купить его можно только за бугром. 

 

У Яндекса такой номер не пройдет, чтоб удалить телефон нужно подтверждать это кодом из СМС - отправленной на этот же номер. 

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Конечно, можно предположить, что хакер вооружен GSM-грабером и находится у вас под дверью в той же соте мобильного оператора что и вы, но это уже на порядок более трудоемкий способ. 

 

Таким образом, на данный момент, почта Яндекса наиболее безопасная.

Изменено пользователем Garrett

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про Яд-подтверждаю.. както пытались попасть в свой же ящик в организации, после чистки Клинером забыли пароль... Ни в какую саппорт не дал вход. Требовал паспортные данные того человека, что ящик заводил хрен знает когда..Пришлось заводить новый..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Lion74, И это нормально. Так же нормально, что всегда можно пойти в компанию и восстановить сим-карту. В любом случае, белый телефонный номер завязан на ФИО, договором.

 

Т.о. нужно, чтоб любые изменения в настройках аккаунта сопровождались запросом на первый телефон + был абсолютный приоритет старого телефона перед новым, на 30 дней например.

 

Все остальное - полумеры. А если честно - введение в заблуждение на счет безопасности аккаунта. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чего с gmail? Пол часа уже не работает, только у меня так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@subw, у меня работает. А вообще есть сервисы типа этого: http://downforeveryone.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.  А если потеряешь телефон?..

   Или еще вариант - номер тел по неактивности?..

 

Даже у меня несколько симок так забрали, на некоторые даже было что-то в инете зарегино!  Кстати принимаю идеи скинуться и потаскать опсосов по судам или еще какую подлянку сделать...  

Времени конечно не было просто заниматься этой мелочью - я бы показал как со мной связываться ;)  

Нужны короче какие-то сервисы для автоматизации процесса мотания нервов опсосам...

 

 

2.  Думаешь спецслужбы (или грабители) не доберуться до вашего телефона или не смогут послать через коммутатор АТС смс-ки?..

 

Vladimir

PS  по этой причине большинство служб вроде микрософтовских шпионских поделей и попали у меня в blacklist...

Остается только пожелать удачи обарзевшим спецслужбам в их нелегком труде продвижения дырявых лохотронов с закладками ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@tvv

1) Если потеряешь, то восстановить свой номер  элементарно. По неактивности? - зачем указывать номер, которым не пользуешься. 

2) Если тебя физически взяли за жабры, не поможет даже тройной сейф из сплава реадерна :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Открытую сессия на телефоне под этим тоже понимается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@noice,конечно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@noice,конечно. 

ну допустим. удалил 2 фактор аунтификацию. Допустим знает пароль к бирже. А как он на бирже код (GoogAuntif) получит? Если он генерируеться на бирже? В которую вход требует GA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Код не генерируется на бирже, код ген в  гугле...Для того чтобы 2фа  не обошли , нужно иметь телефон  на контракте --чтобы исключить  дубль симки, номер не должен быть везде засвечен, и  не открывайте левые письма и сообщениях ..Не запоминайте пароли  где вам это предлагают...

Еще лучше на дубле  смс  2фа, это точно  не обойдут....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

@noice, Нет, он сменит пароль и на бирже, и переменный код, на свой GoogAuntif.

Но! Если это биржа нормальная, как btc-e, например. То при любых таких фортелях, безотносительно кто меняет учетку, ты сам или хакер за тебя - они ставят средства на холд (2 дня если пароль, 2 недели если меняешь GoogAuntif). 

Разумеется, если ты юзаешь почту/заходишь на биржу чаще, чем раз в два дня или две недели, ты увидишь проблему, поднимешь шум и хакеру останется только облизнуться.

 

 

GoogAuntif

 

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Изменено пользователем Garrett

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@noice, Нет, он сменит пароль и на бирже

 

 

 

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Это только  в случае гугл идент, я говорил про  общую проблему  взломов , как  получают  доступ  к телефону, и  как там оказывается вирус.

На крупных биржах стоит  2фа  через смс, и через гугл, плюс к этому,  и  подтверждение через почту, где тоже 2фа..

Без  физ доступа к вашей симке  такое не пройдешь  просто вирусом  через комп или телефон..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

@Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

 

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Изменено пользователем Garrett

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

YubiKey в усб вставлять надо в тефон то как его воткнешь?

Если сесию можно украть то смысл в YubiKey если он защишает вход в сессию а не ее саму?

 

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Изменено пользователем noice

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

 

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Да  абсолютно верное  замечание,это тоже имеет место.Общая тема просто про взломы жмаил , по этому я  акцент делаю на смс 2фа, которая там присутствует..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

YubiKey 

 

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Вы  перечисляете старые варианты , перехвата, взлома, это все сложно  и  не всегда работает..

Сейчас все  проще, вирусняк  уже на вашем компе, и заходит вместе с вами  во все учетки  ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или  без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу  снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации  вируса на компе и на телефоне, в случае  2фа через смарт...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы  перечисляете старые варианты , перехвата, взлома, это все сложно  и  не всегда работает..

Сейчас все  проще, вирусняк  уже на вашем компе, и заходит вместе с вами  во все учетки  ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или  без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу  снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации  вируса на компе и на телефоне, в случае  2фа через смарт...

интересно что за вирус такой. какому типу относиться? Не встречал генераторов таких штук. их еше в ручную пишут наверное

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Это ж как засветить свой телефон и ФИО надо, чтоб злоумышленник смог иннициировать восстановление сим?

Для деловых людей - сим карты  переводите на корпоративный тарифный план, и условие - восстановление замена сим - только личное присутствие руководителя организации и только в этом офисе обслуживания.

Коробку конфет операционисткам чтобы помнили ваше лицо.

Изменено пользователем Gromootvod

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×