Gmail - двухфакторная авторизация под вопросом

Garrett · 24 Nov 2014, 18:24

У Gmail есть двухфакторная авторизация, но по сути она бесполезна, если злоумышленник перехватил сессию. Он безо всяких преград и оповещений удаляет ваш номер телефона и меняет пароль.

Логика подсказывает, если вы зарегистрировали свой номер телефона в качестве второго фактора авторизации, то что бы изменить его(удалить) нужно ввести код, который будет выслан в СМС на этот же номер. Но у Gmail это не так. Таким образом двухфакторная авторизация у Гугл аккаунтов половинчатое решение: она вроде есть, но ее как бы нет. Потому что ее можно отключить не прибегая к ней же!

Вы можете убедиться в этом прямо сейчас, зайдя в настройки Google Accounts - google.com/settings/security и удалить свой номер телефона.

Насколько легко будет отключить аппаратный токен, я пока не знаю. Гугль требует новомодный ybkey за 50$ ключик и купить его можно только за бугром.

У Яндекса такой номер не пройдет, чтоб удалить телефон нужно подтверждать это кодом из СМС - отправленной на этот же номер.

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Конечно, можно предположить, что хакер вооружен GSM-грабером и находится ~~у вас под дверью~~ в той же соте мобильного оператора что и вы, но это уже на порядок более трудоемкий способ.

Таким образом, на данный момент, почта Яндекса наиболее безопасная.

Edited 24 Nov 2014, 18:26 by Garrett

Lion74 · 24 Nov 2014, 18:30

Про Яд-подтверждаю.. както пытались попасть в свой же ящик в организации, после чистки Клинером забыли пароль... Ни в какую саппорт не дал вход. Требовал паспортные данные того человека, что ящик заводил хрен знает когда..Пришлось заводить новый..

Garrett · 24 Nov 2014, 19:54

@Lion74, И это нормально. Так же нормально, что всегда можно пойти в компанию и восстановить сим-карту. В любом случае, белый телефонный номер завязан на ФИО, договором.

Т.о. нужно, чтоб любые изменения в настройках аккаунта сопровождались запросом на первый телефон + был абсолютный приоритет старого телефона перед новым, на 30 дней например.

Все остальное - полумеры. А если честно - введение в заблуждение на счет безопасности аккаунта.

subw · 25 Nov 2014, 01:02

А чего с gmail? Пол часа уже не работает, только у меня так?

polym0rph · 25 Nov 2014, 01:45

@subw, у меня работает. А вообще есть сервисы типа этого: http://downforeveryone.com/

tvv · 25 Nov 2014, 04:22

1. А если потеряешь телефон?..

Или еще вариант - номер тел по неактивности?..

Даже у меня несколько симок так забрали, на некоторые даже было что-то в инете зарегино! Кстати принимаю идеи скинуться и потаскать опсосов по судам или еще какую подлянку сделать...

Времени конечно не было просто заниматься этой мелочью - я бы показал как со мной связываться ;)

Нужны короче какие-то сервисы для автоматизации процесса мотания нервов опсосам...

2. Думаешь спецслужбы (или грабители) не доберуться до вашего телефона или не смогут послать через коммутатор АТС смс-ки?..

Vladimir

PS по этой причине большинство служб вроде микрософтовских шпионских поделей и попали у меня в blacklist...

Остается только пожелать удачи обарзевшим спецслужбам в их нелегком труде продвижения дырявых лохотронов с закладками ;)

Garrett · 25 Nov 2014, 07:05

@tvv,

1) Если потеряешь, то восстановить свой номер элементарно. По неактивности? - зачем указывать номер, которым не пользуешься.

2) Если тебя физически взяли за жабры, не поможет даже тройной сейф из сплава реадерна :)

noice · 2 Dec 2014, 13:33

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Открытую сессия на телефоне под этим тоже понимается?

Garrett · 2 Dec 2014, 14:39

@noice,конечно.

noice · 3 Dec 2014, 12:33

@noice,конечно.

ну допустим. удалил 2 фактор аунтификацию. Допустим знает пароль к бирже. А как он на бирже код (GoogAuntif) получит? Если он генерируеться на бирже? В которую вход требует GA?

Alex03 · 3 Dec 2014, 12:48

Код не генерируется на бирже, код ген в гугле...Для того чтобы 2фа не обошли , нужно иметь телефон на контракте --чтобы исключить дубль симки, номер не должен быть везде засвечен, и не открывайте левые письма и сообщениях ..Не запоминайте пароли где вам это предлагают...

Еще лучше на дубле смс 2фа, это точно не обойдут....

Garrett · 3 Dec 2014, 12:52

@noice, Нет, он сменит пароль и на бирже, и переменный код, на свой GoogAuntif.

Но! Если это биржа нормальная, как btc-e, например. То при любых таких фортелях, безотносительно кто меняет учетку, ты сам или хакер за тебя - они ставят средства на холд (2 дня если пароль, 2 недели если меняешь GoogAuntif).

Разумеется, если ты юзаешь почту/заходишь на биржу чаще, чем раз в два дня или две недели, ты увидишь проблему, поднимешь шум и хакеру останется только облизнуться.

GoogAuntif

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Edited 3 Dec 2014, 12:53 by Garrett

Alex03 · 3 Dec 2014, 13:09

@noice, Нет, он сменит пароль и на бирже

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Это только в случае гугл идент, я говорил про общую проблему взломов , как получают доступ к телефону, и как там оказывается вирус.

На крупных биржах стоит 2фа через смс, и через гугл, плюс к этому, и подтверждение через почту, где тоже 2фа..

Без физ доступа к вашей симке такое не пройдешь просто вирусом через комп или телефон..

Garrett · 3 Dec 2014, 13:17

@Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Edited 3 Dec 2014, 13:33 by Garrett

noice · 3 Dec 2014, 14:04

YubiKey в усб вставлять надо в тефон то как его воткнешь?

Если сесию можно украть то смысл в YubiKey если он защишает вход в сессию а не ее саму?

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Edited 3 Dec 2014, 14:59 by noice

Alex03 · 3 Dec 2014, 15:36

@Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Да абсолютно верное замечание,это тоже имеет место.Общая тема просто про взломы жмаил , по этому я акцент делаю на смс 2фа, которая там присутствует..

Alex03 · 3 Dec 2014, 15:45

YubiKey

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Вы перечисляете старые варианты , перехвата, взлома, это все сложно и не всегда работает..

Сейчас все проще, вирусняк уже на вашем компе, и заходит вместе с вами во все учетки ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации вируса на компе и на телефоне, в случае 2фа через смарт...

noice · 3 Dec 2014, 17:34

Вы перечисляете старые варианты , перехвата, взлома, это все сложно и не всегда работает..

Сейчас все проще, вирусняк уже на вашем компе, и заходит вместе с вами во все учетки ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации вируса на компе и на телефоне, в случае 2фа через смарт...

интересно что за вирус такой. какому типу относиться? Не встречал генераторов таких штук. их еше в ручную пишут наверное

Gromootvod · 3 Dec 2014, 18:58

Это ж как засветить свой телефон и ФИО надо, чтоб злоумышленник смог иннициировать восстановление сим?

Для деловых людей - сим карты переводите на корпоративный тарифный план, и условие - восстановление замена сим - только личное присутствие руководителя организации и только в этом офисе обслуживания.

Коробку конфет операционисткам чтобы помнили ваше лицо.

Edited 5 Dec 2014, 13:21 by Gromootvod

Sign In

Gmail - двухфакторная авторизация под вопросом

Recommended Posts

Garrett

Lion74

Garrett

subw

polym0rph

tvv

Garrett

noice

Garrett

noice

Alex03

Garrett

Alex03

Garrett

noice

Alex03

Alex03

noice

Gromootvod

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members

Similar Topics

Gmail почта

Двухфакторная аутентификация на форуме

Gmail в свете блокировок от РКН

2FA - Двухфакторная аутентификация

Bitfinex : Перестал работать API ключ !двухфакторная аутентификация google

Ресурсы

О Форуме

Соц.сети

Почта

Bits.media

Forum

Activity