Перейти к содержимому


Фотография

Gmail - двухфакторная авторизация под вопросом

gmail

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 18

#1 Garrett

Garrett

    Модератор

  • Модераторы
  • PipPipPip
  • 2025 сообщений
  • ГородСанкт-Петербург

Отправлено 24 November 2014 - 21:24

У Gmail есть двухфакторная авторизация, но по сути она бесполезна, если злоумышленник перехватил сессию. Он безо всяких преград и оповещений удаляет ваш номер телефона и меняет пароль.

Логика подсказывает, если вы зарегистрировали свой номер телефона в качестве второго фактора авторизации, то что бы изменить его(удалить) нужно ввести код, который будет выслан в СМС на этот же номер. Но у Gmail это не так. Таким образом двухфакторная авторизация у Гугл аккаунтов половинчатое решение: она вроде есть, но ее как бы нет. Потому что ее можно отключить не прибегая к ней же!

 

Вы можете убедиться в этом прямо сейчас, зайдя в настройки Google Accounts - google.com/settings/security и удалить свой номер телефона.

 

Насколько легко будет отключить аппаратный токен, я пока не знаю. Гугль требует новомодный ybkey за 50$ ключик и купить его можно только за бугром. 

 

У Яндекса такой номер не пройдет, чтоб удалить телефон нужно подтверждать это кодом из СМС - отправленной на этот же номер. 

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Конечно, можно предположить, что хакер вооружен GSM-грабером и находится у вас под дверью в той же соте мобильного оператора что и вы, но это уже на порядок более трудоемкий способ. 

 

Таким образом, на данный момент, почта Яндекса наиболее безопасная.


Сообщение отредактировал Garrett: 24 November 2014 - 21:26

  • 0

EmerCoin - распределенные сервисы на базе blockchain


#2 Lion74

Lion74

    Кусатель флудеров

  • Супермодераторы
  • 7099 сообщений

Отправлено 24 November 2014 - 21:30

Про Яд-подтверждаю.. както пытались попасть в свой же ящик в организации, после чистки Клинером забыли пароль... Ни в какую саппорт не дал вход. Требовал паспортные данные того человека, что ящик заводил хрен знает когда..Пришлось заводить новый..


  • 0
Универсальный ответ на все вопросы-необходимо разработать адекватные меры..которые будут эффективны
ПРАВИЛА ФОРУМА прочти, а потом пиши..но вдумчиво..https://forum.bits.m...§ion=boardrules

#3 Garrett

Garrett

    Модератор

  • Модераторы
  • PipPipPip
  • 2025 сообщений
  • ГородСанкт-Петербург

Отправлено 24 November 2014 - 22:54

Lion74, И это нормально. Так же нормально, что всегда можно пойти в компанию и восстановить сим-карту. В любом случае, белый телефонный номер завязан на ФИО, договором.

 

Т.о. нужно, чтоб любые изменения в настройках аккаунта сопровождались запросом на первый телефон + был абсолютный приоритет старого телефона перед новым, на 30 дней например.

 

Все остальное - полумеры. А если честно - введение в заблуждение на счет безопасности аккаунта. 


  • 1

EmerCoin - распределенные сервисы на базе blockchain


#4 subw

subw

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2124 сообщений

Отправлено 25 November 2014 - 04:02

А чего с gmail? Пол часа уже не работает, только у меня так?


  • 0

#5 polym0rph

polym0rph

    Администратор

  • Администраторы
  • 6206 сообщений

Отправлено 25 November 2014 - 04:45

subw, у меня работает. А вообще есть сервисы типа этого: http://downforeveryone.com/


  • 0

Правила форума.  Тема для вопросов новичков, если не нашли подходящую ветку форума.

Участвуйте в жизни сообщества, участвуйте в краудньюсинге!
Bitcoin адрес для пожертвований на развитие Bits.media: 1BQ9qza7fn9snSCyJQB3ZcN46biBtkt4ee


#6 tvv

tvv

    Боевой форк

  • Пользователи
  • PipPip
  • 496 сообщений

Отправлено 25 November 2014 - 07:22

1.  А если потеряешь телефон?..

   Или еще вариант - номер тел по неактивности?..

 

Даже у меня несколько симок так забрали, на некоторые даже было что-то в инете зарегино!  Кстати принимаю идеи скинуться и потаскать опсосов по судам или еще какую подлянку сделать...  

Времени конечно не было просто заниматься этой мелочью - я бы показал как со мной связываться ;)  

Нужны короче какие-то сервисы для автоматизации процесса мотания нервов опсосам...

 

 

2.  Думаешь спецслужбы (или грабители) не доберуться до вашего телефона или не смогут послать через коммутатор АТС смс-ки?..

 

Vladimir

PS  по этой причине большинство служб вроде микрософтовских шпионских поделей и попали у меня в blacklist...

Остается только пожелать удачи обарзевшим спецслужбам в их нелегком труде продвижения дырявых лохотронов с закладками ;)


  • 0

#7 Garrett

Garrett

    Модератор

  • Модераторы
  • PipPipPip
  • 2025 сообщений
  • ГородСанкт-Петербург

Отправлено 25 November 2014 - 10:05

tvv

1) Если потеряешь, то восстановить свой номер  элементарно. По неактивности? - зачем указывать номер, которым не пользуешься. 

2) Если тебя физически взяли за жабры, не поможет даже тройной сейф из сплава реадерна :)


  • 2

EmerCoin - распределенные сервисы на базе blockchain


#8 noice

noice

    Новичок

  • Пользователи
  • Pip
  • 27 сообщений

Отправлено 02 December 2014 - 16:33

Хакер может войти в открытую сессию, но при попытке изменить что-либо получить отлуп - предложение ввести код из СМС.

Открытую сессия на телефоне под этим тоже понимается?


  • 0

#9 Garrett

Garrett

    Модератор

  • Модераторы
  • PipPipPip
  • 2025 сообщений
  • ГородСанкт-Петербург

Отправлено 02 December 2014 - 17:39

noice,конечно. 


  • 0

EmerCoin - распределенные сервисы на базе blockchain


#10 noice

noice

    Новичок

  • Пользователи
  • Pip
  • 27 сообщений

Отправлено 03 December 2014 - 15:33

noice,конечно. 

ну допустим. удалил 2 фактор аунтификацию. Допустим знает пароль к бирже. А как он на бирже код (GoogAuntif) получит? Если он генерируеться на бирже? В которую вход требует GA?


  • 0

#11 Alex03

Alex03

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2817 сообщений

Отправлено 03 December 2014 - 15:48

Код не генерируется на бирже, код ген в  гугле...Для того чтобы 2фа  не обошли , нужно иметь телефон  на контракте --чтобы исключить  дубль симки, номер не должен быть везде засвечен, и  не открывайте левые письма и сообщениях ..Не запоминайте пароли  где вам это предлагают...

Еще лучше на дубле  смс  2фа, это точно  не обойдут....


  • 0
19gosJGoq3nFwrSxbCpse7Mah66gGWiJmE

#12 Garrett

Garrett

    Модератор

  • Модераторы
  • PipPipPip
  • 2025 сообщений
  • ГородСанкт-Петербург

Отправлено 03 December 2014 - 15:52

noice, Нет, он сменит пароль и на бирже, и переменный код, на свой GoogAuntif.

Но! Если это биржа нормальная, как btc-e, например. То при любых таких фортелях, безотносительно кто меняет учетку, ты сам или хакер за тебя - они ставят средства на холд (2 дня если пароль, 2 недели если меняешь GoogAuntif). 

Разумеется, если ты юзаешь почту/заходишь на биржу чаще, чем раз в два дня или две недели, ты увидишь проблему, поднимешь шум и хакеру останется только облизнуться.

 

 

GoogAuntif

 

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.


Сообщение отредактировал Garrett: 03 December 2014 - 15:53

  • 0

EmerCoin - распределенные сервисы на базе blockchain


#13 Alex03

Alex03

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2817 сообщений

Отправлено 03 December 2014 - 16:09

noice, Нет, он сменит пароль и на бирже

 

 

 

Вообще то он вообще никак не связан с номером телефона, и работать может даже без симки и без подключения в интернет. Связан он только с Гугль аккаунтом, а уникальную информацию для генерации приватного ключа завязывает на аппаратные особенности телефона.

Это только  в случае гугл идент, я говорил про  общую проблему  взломов , как  получают  доступ  к телефону, и  как там оказывается вирус.

На крупных биржах стоит  2фа  через смс, и через гугл, плюс к этому,  и  подтверждение через почту, где тоже 2фа..

Без  физ доступа к вашей симке  такое не пройдешь  просто вирусом  через комп или телефон..


  • 0
19gosJGoq3nFwrSxbCpse7Mah66gGWiJmE

#14 Garrett

Garrett

    Модератор

  • Модераторы
  • PipPipPip
  • 2025 сообщений
  • ГородСанкт-Петербург

Отправлено 03 December 2014 - 16:17

Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Сообщение отредактировал Garrett: 03 December 2014 - 16:33

  • 2

EmerCoin - распределенные сервисы на базе blockchain


#15 noice

noice

    Новичок

  • Пользователи
  • Pip
  • 27 сообщений

Отправлено 03 December 2014 - 17:04

YubiKey в усб вставлять надо в тефон то как его воткнешь?

Если сесию можно украть то смысл в YubiKey если он защишает вход в сессию а не ее саму?

 

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно


Сообщение отредактировал noice: 03 December 2014 - 17:59

  • 0

#16 Alex03

Alex03

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2817 сообщений

Отправлено 03 December 2014 - 18:36

Alex03, Есть подозрение, что часть телефонов, уже с аппаратным бекдором идут. Китайские THL, Jiayu и прочая. Причем лейба РосТест, ничего не значит, ибо получают ее формально, за взятки (история про закладки - http://xakep.ru/58104/)

Поэтому самым класcным решением конечно является аппаратный YubiKey + холд средств при смене учетных данных.

Да  абсолютно верное  замечание,это тоже имеет место.Общая тема просто про взломы жмаил , по этому я  акцент делаю на смс 2фа, которая там присутствует..


  • 1
19gosJGoq3nFwrSxbCpse7Mah66gGWiJmE

#17 Alex03

Alex03

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2817 сообщений

Отправлено 03 December 2014 - 18:45

YubiKey 

 

Чтобы украсть сессию нужно перехватить трафик. Это возможно только если телефон через вайфай подключен. Нужно подключиться к вайфай сети и вклинеться между роутером и телефоном. Если ломануть роутер достаточно быть в сети провайдера то чтобы перехватить трафик телефона надо быть подключенным к роутеру. Я не представляю как это вобще возможно

Вы  перечисляете старые варианты , перехвата, взлома, это все сложно  и  не всегда работает..

Сейчас все  проще, вирусняк  уже на вашем компе, и заходит вместе с вами  во все учетки  ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или  без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу  снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации  вируса на компе и на телефоне, в случае  2фа через смарт...


  • 0
19gosJGoq3nFwrSxbCpse7Mah66gGWiJmE

#18 noice

noice

    Новичок

  • Пользователи
  • Pip
  • 27 сообщений

Отправлено 03 December 2014 - 20:34

Вы  перечисляете старые варианты , перехвата, взлома, это все сложно  и  не всегда работает..

Сейчас все  проще, вирусняк  уже на вашем компе, и заходит вместе с вами  во все учетки  ,все пароли вводите вы сами, подсказывая сами того не зная путь , потом или  без вас или с вами , проводятся операции без вашего участия.Особенно облегчает задачу  снятие 2фа на жмыле для своего компа, и т.д.

Трудность пока заключается в синхронизации  вируса на компе и на телефоне, в случае  2фа через смарт...

интересно что за вирус такой. какому типу относиться? Не встречал генераторов таких штук. их еше в ручную пишут наверное


  • 0

#19 Gromootvod

Gromootvod

    Пользователь

  • Пользователи
  • PipPip
  • 167 сообщений

Отправлено 03 December 2014 - 21:58

Это ж как засветить свой телефон и ФИО надо, чтоб злоумышленник смог иннициировать восстановление сим?

Для деловых людей - сим карты  переводите на корпоративный тарифный план, и условие - восстановление замена сим - только личное присутствие руководителя организации и только в этом офисе обслуживания.

Коробку конфет операционисткам чтобы помнили ваше лицо.


Сообщение отредактировал Gromootvod: 05 December 2014 - 16:21

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных