Перейти к содержанию

Gmail - двухфакторная авторизация под вопросом


Garrett

Рекомендуемые сообщения

У Gmail есть двухфакторная авторизация, но по сути она бесполезна, если злоумышленник перехватил сессию. Он безо всяких преград и оповещений удаляет ваш номер телефона и меняет пароль.

Логика подсказывает, если вы зарегистрировали свой номер телефона в качестве второго фактора авторизации, то что бы изменить его(удалить) нужно ввести код, который будет выслан в СМС на этот же номер. Но у Gmail это не так. Таким образом двухфакторная авторизация у Гугл аккаунтов половинчатое решение: она вроде есть, но ее как бы нет. Потому что ее можно отключить не прибегая к ней же!

 

Вы можете убедиться в этом прямо сейчас, зайдя в настройки Google Accounts - google.com/settings/security и удалить свой номер телефона.

 

Насколько легко будет отключить аппаратный токен, я пока не знаю. Гугль требует новомодный ybkey за 50$ ключик и купить его можно только за бугром. 

 

У Яндекса такой номер не пройдет, чтоб удалить телефон нужно подтверждать это кодом из СМС - отправленной на этот же номер. 

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Конечно, можно предположить, что хакер вооружен GSM-грабером и находится у вас под дверью в той же соте мобильного оператора что и вы, но это уже на порядок более трудоемкий способ. 

 

Таким образом, на данный момент, почта Яндекса наиболее безопасная.

Изменено пользователем Garrett
Ссылка на комментарий
Поделиться на другие сайты

Про Яд-подтверждаю.. както пытались попасть в свой же ящик в организации, после чистки Клинером забыли пароль... Ни в какую саппорт не дал вход. Требовал паспортные данные того человека, что ящик заводил хрен знает когда..Пришлось заводить новый..

Ссылка на комментарий
Поделиться на другие сайты

@Lion74, И это нормально. Так же нормально, что всегда можно пойти в компанию и восстановить сим-карту. В любом случае, белый телефонный номер завязан на ФИО, договором.

 

Т.о. нужно, чтоб любые изменения в настройках аккаунта сопровождались запросом на первый телефон + был абсолютный приоритет старого телефона перед новым, на 30 дней например.

 

Все остальное - полумеры. А если честно - введение в заблуждение на счет безопасности аккаунта. 

Ссылка на комментарий
Поделиться на другие сайты

@subw, у меня работает. А вообще есть сервисы типа этого: http://downforeveryone.com/

Ссылка на комментарий
Поделиться на другие сайты

1.  А если потеряешь телефон?..

   Или еще вариант - номер тел по неактивности?..

 

Даже у меня несколько симок так забрали, на некоторые даже было что-то в инете зарегино!  Кстати принимаю идеи скинуться и потаскать опсосов по судам или еще какую подлянку сделать...  

Времени конечно не было просто заниматься этой мелочью - я бы показал как со мной связываться ;)  

Нужны короче какие-то сервисы для автоматизации процесса мотания нервов опсосам...

 

 

2.  Думаешь спецслужбы (или грабители) не доберуться до вашего телефона или не смогут послать через коммутатор АТС смс-ки?..

 

Vladimir

PS  по этой причине большинство служб вроде микрософтовских шпионских поделей и попали у меня в blacklist...

Остается только пожелать удачи обарзевшим спецслужбам в их нелегком труде продвижения дырявых лохотронов с закладками ;)

Ссылка на комментарий
Поделиться на другие сайты

@tvv

1) Если потеряешь, то восстановить свой номер  элементарно. По неактивности? - зачем указывать номер, которым не пользуешься. 

2) Если тебя физически взяли за жабры, не поможет даже тройной сейф из сплава реадерна :)

Ссылка на комментарий
Поделиться на другие сайты

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Открытую сессия на телефоне под этим тоже понимается?

Ссылка на комментарий
Поделиться на другие сайты

@noice,конечно. 

ну допустим. удалил 2 фактор аунтификацию. Допустим знает пароль к бирже. А как он на бирже код (GoogAuntif) получит? Если он генерируеться на бирже? В которую вход требует GA?

Ссылка на комментарий
Поделиться на другие сайты

Код не генерируется на бирже, код ген в  гугле...Для того чтобы 2фа  не обошли , нужно иметь телефон  на контракте --чтобы исключить  дубль симки, номер не должен быть везде засвечен, и  не открывайте левые письма и сообщениях ..Не запоминайте пароли  где вам это предлагают...

Еще лучше на дубле  смс  2фа, это точно  не обойдут....

Ссылка на комментарий
Поделиться на другие сайты

@noice, Нет, он сменит пароль и на бирже, и переменный код, на свой GoogAuntif.

Но! Если это биржа нормальная, как btc-e, например. То при любых таких фортелях, безотносительно кто меняет учетку, ты сам или хакер за тебя - они ставят средства на холд (2 дня если пароль, 2 недели если меняешь GoogAuntif). 

Разумеется, если ты юзаешь почту/заходишь на биржу чаще, чем раз в два дня или две недели, ты увидишь проблему, поднимешь шум и хакеру останется только облизнуться.

 

 

GoogAuntif

 

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Изменено пользователем Garrett
Ссылка на комментарий
Поделиться на другие сайты

@noice, Нет, он сменит пароль и на бирже

 

 

 

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Это только  в случае гугл идент, я говорил про  общую проблему  взломов , как  получают  доступ  к телефону, и  как там оказывается вирус.

На крупных биржах стоит  2фа  через смс, и через гугл, плюс к этому,  и  подтверждение через почту, где тоже 2фа..

Без  физ доступа к вашей симке  такое не пройдешь  просто вирусом  через комп или телефон..

Ссылка на комментарий
Поделиться на другие сайты

@Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

 

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Изменено пользователем Garrett
Ссылка на комментарий
Поделиться на другие сайты

YubiKey в усб вставлять надо в тефон то как его воткнешь?

Если сесию можно украть то смысл в YubiKey если он защишает вход в сессию а не ее саму?

 

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Изменено пользователем noice
Ссылка на комментарий
Поделиться на другие сайты

@Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

 

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Да  абсолютно верное  замечание,это тоже имеет место.Общая тема просто про взломы жмаил , по этому я  акцент делаю на смс 2фа, которая там присутствует..

Ссылка на комментарий
Поделиться на другие сайты

YubiKey 

 

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Вы  перечисляете старые варианты , перехвата, взлома, это все сложно  и  не всегда работает..

Сейчас все  проще, вирусняк  уже на вашем компе, и заходит вместе с вами  во все учетки  ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или  без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу  снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации  вируса на компе и на телефоне, в случае  2фа через смарт...

Ссылка на комментарий
Поделиться на другие сайты

Вы  перечисляете старые варианты , перехвата, взлома, это все сложно  и  не всегда работает..

Сейчас все  проще, вирусняк  уже на вашем компе, и заходит вместе с вами  во все учетки  ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или  без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу  снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации  вируса на компе и на телефоне, в случае  2фа через смарт...

интересно что за вирус такой. какому типу относиться? Не встречал генераторов таких штук. их еше в ручную пишут наверное

Ссылка на комментарий
Поделиться на другие сайты

Это ж как засветить свой телефон и ФИО надо, чтоб злоумышленник смог иннициировать восстановление сим?

Для деловых людей - сим карты  переводите на корпоративный тарифный план, и условие - восстановление замена сим - только личное присутствие руководителя организации и только в этом офисе обслуживания.

Коробку конфет операционисткам чтобы помнили ваше лицо.

Изменено пользователем Gromootvod
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Gmail почта

      Кошелёк блокчейновский привязан к почте gmail . Ввожу пароль почты - неправильный , жму -забыл пароль - не приходит на телефон код. Сразу мысль про сохранность  битков , проверил через эксплоер - на месте. Конечно по сиду можно с электрумом , но с паролем gmail мягко говоря неприятно - какого ? Вроде бы пару лет назад у кого то были такие же доступы к почте и как то всё разрешилось , подозреваю что пароль сменён по попытке взлома и как и многие при фразе - кошелёк блокчейн с

      в Безопасность

    • Двухфакторная аутентификация на форуме

      На форуме появилась возможность использовать двухфакторную аутентификацию с помощью Google Authenticator. При его включении будет запрашиваться одноразовый код при входе на форум или попытке изменения email адреса. Это позволит сделать аккаунт более защищенным при помощи дополнительных подтверждений со смартфона, если вы опасаетесь, что пароль от форума может быть перехвачен злоумышленниками. Подобная защита может быть полезна представителям сервисов, торговцам, людям, совершающим обмены криптов

      в Предложения и замечания по работе форума

    • Gmail в свете блокировок от РКН

      Сегодня пошел слух, что после блокировки Роскомнадзором айпи адресов, у некоторых пользователей появились проблемы с доступом к гугл аккаунтам. Биржи привязаны к адресам, решил перестраховаться и зайти на плюшевую, резервную почту через тор. При входе Запросили телефон, поскольку он не привязан, решил посмотреть как будет вести себя гугл. Захожу на эту же почту без тора, требуют заменить пароль. Ладно меняю, хотя это плохо, пароль забэкапен и придется по всем нычкам редактировать его. Меняю паро

      в Безопасность

    • 2FA - Двухфакторная аутентификация

      Добрый день   Хотел узнать   У меня есть Гугл Аутентификатор в котором забиты 2fa разных контор   Чтобы перенести это на другой смартфон, что необходимо? иметь доступ к своей почте и к своему телефону? этого достаточно?

      в Безопасность

    • Bitfinex : Перестал работать API ключ !двухфакторная аутентификация google

      Помогите разобраться пожалуйста ! На Bitfinex включена двухфакторная аутентификация google ! Поменял айфон, в приложение гаутентификатор слетел вход, код API записан, QR код тоже имеется ввожу вручную или через сканер пишет -  Invalid barcode  Штрих-код ..........  не является действительным кодом маркера аутентификации.  На bitfinexe ничего не изменял, вообще давно не заходил. Недавно восстановил пароль на почте только.  Восстановить пока ничего не могу.  что

      в Биржи криптовалют

×
×
  • Создать...