Перейти к содержимому
vorobeyspb

Безопасность на Биржах

Рекомендуемые сообщения

Добрый день дорогие участники.

Подскажите плз пионеру, на сколько безопасна является двукратная аутентификация с генерацией паролей через Google Authenticator при авторизации?

Буду благодарен за советы по безопасности. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо  :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ломаю все. Воруют везде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ставить обязательно всегда и все что возможно!  :D 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Практически везде сейчас есть 2FA. Как думаете, почему? Наверное из-за своей простоты и эффективности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@moneymaker,Ну т.е де факто работает но сломать можно при желании? Вот просто думаю что надежнее одноразовые коды или двухфакторная.

Народ кто в теме - напишите два слова пожалуйста )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vorobeyspb, Нормальная штука, и сломать невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Изменено пользователем bullettrain

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет абсолютного технического средства защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Google Authenticator при авторизации

Вконтакте его используют. Хорошая защита

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Познавательно. Благодарю

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

и сломать невозможно.
вот даже не смешно...

 

..а, сорян, уже все объяснили
От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

вот даже не смешно... ..а, сорян, уже все объяснили От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

 

Все варианты взлома гугловского аутентификатора сводятся либо к наличию закладки на смартфоне, либо к подсматриванию кода итп. В любом случае, этот способ гораздо надежнее 2fa через смс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а ты собрался на биржах какие суммы хранить ? Храни на биржах столько сколько не жалко потерять , все остальное локально и самое главное это стерильно содержи комп на котором хранится инфа (не каких порно сайтов и нажимание на разные ссылки в момент поиска нужной информации в интернете)

 

Вы не поверите но у меня нокия 6230i , и пока не одного сервиса где я бы поставил себе двукратную аутентификацию это бесполезно, во первых захотят тебя взломать взломают какой бы ты метод не выбрал , во вторых самая большая дырка в безопасности , это прокладка между стульчиком и компом , делайте выводы . У меня все просто пароли все в голове а их много и разные под разные ресурсы (да иногда забываю их бывает но быстро вспоминаю) . Работать только за своим компом , юзать ВПН в общедоступных сетях WIFI , и никогда и не кому не разрешайте работать за своим писюком , иначе жопа ) Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) Ну и юзайте Маки как никак , большинство атак направленно на бреши популярных форточек , так проще и публики побольше с такими си-ми работает, я не говорю что Мак заразить невозможно , но сложнее чем форточки . Но за какой бы вы системой не работали всегда старайтесь держать операционку на последних апдейтах , у форточек по разному бывает , а вот яблочники четко относятся к апдейтам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо парни всем за отзывы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах?

https://www.reddit.com/r/Bitcoin/comments/5vuih9/internet_psa_cloudbleed_cloudflare_leaked/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах? https://www.reddit.c...udflare_leaked/

Ты в скольких темах собрался это спрашивать? Даже если вероятность утечки конкретно твоих данных крайне мала, то в чем проблема поменять пароль то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я бы больше за честность самих бирж беспокоился) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Везде и всюду взломы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

 .. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

Изменено пользователем r2d2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

 

 


От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.


Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

@Lexis77,Заранее Спасибо!,а то как то стремно после последних новостей о взломах Изменено пользователем OZR
overposting

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

.. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

 

Нет никакого смысла что-то доказывать или опровергать, можно заблуждаться во всём, как хочется. Просто сообщение под руку попалось.

Весь этот слоёный пирожок из абстракций компьютерной безопасности больше похож на дуршлаг. Насколько глубока кроличья нора, лучше не копать, там дна нет.

 

Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.

 

Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.   Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

Обычно запрещают пользоваться личным смартфоном для служебных дел, при этом выдают корпоративный iphone, blackberry или что-либо на андроиде с определенными политиками безопасности.

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Для этого обычно предлагается распечатать код и спрятать его под матрас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

@OZR,Спасибо за ответ

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.

Я для торгов на бирже пользуюсь IOS и кроме бирж стараюсь не на какие сайты не заходить,разве что на wisdom,2ФА на вход в аккаунт тоже на iPhone закачал,но им пользуюсь по полной.Я так понимаю нужно покупать дешёвый андроид и туда переносить 2ФА???,или старый смартфон очистить или перепрошить и туда,отдельный Iphone жирновато будет))).

 

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

На этот случай я сделал backup QR-кодов на флешку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

99% так называемых "взломов" о которых тут речь, целиком и полностью основаны на соц инженерии,а не на 0-day уязвимостях или митм атаках на сс7. Иными словами на стрёме надо быть когда сиськи захотелось посмотреть с компа/смартфона где биржа со 100500 битками или 2fa от неё... Так шта главное головой думать больше и не вестись на уловки всякие.... и можно даже 2FA не юзать.
Всё ИМХО, никого ни за что не аггитирую!
 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.


Не соглашусь, ПК на винде всё таки гораздо более уязвим, куча экплойтов в открытом доступе на старые версии флэш, явы и тд - зашёл на страничку и заразился без каких либо дополнительных действий. На андройде только развод на установку приложения и никак иначе(мож и есть уже сплойты, но не в массах)... Ну либо установка "легитимного" левого приложения и потом мальварная обнова.

Изменено пользователем AlexShmalex

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×