Безопасность на Биржах

[vorobeyspb]

Добрый день дорогие участники.

Подскажите плз пионеру, на сколько безопасна является двукратная аутентификация с генерацией паролей через Google Authenticator при авторизации?

Буду благодарен за советы по безопасности. 

 

[vorobeyspb]

Спасибо  :P

[Lexis77]

Ломаю все. Воруют везде.

[TraderFX]

Ставить обязательно всегда и все что возможно!  :D 

[moneymaker]

Практически везде сейчас есть 2FA. Как думаете, почему? Наверное из-за своей простоты и эффективности.

[vorobeyspb]

@moneymaker,Ну т.е де факто работает но сломать можно при желании? Вот просто думаю что надежнее одноразовые коды или двухфакторная.

Народ кто в теме - напишите два слова пожалуйста )

[Neotex]

@vorobeyspb, Нормальная штука, и сломать невозможно.

[bullettrain]

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Edited 20 Jan 2017, 14:06 by bullettrain

[moneymaker]

Нет абсолютного технического средства защиты.

[dikoobraz]

 

 

Google Authenticator при авторизации

Вконтакте его используют. Хорошая защита

[vorobeyspb]

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Познавательно. Благодарю

[Lexis77]

 

 

и сломать невозможно.

вот даже не смешно...

 

..а, сорян, уже все объяснили
От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

[Neotex]

 

 

вот даже не смешно... ..а, сорян, уже все объяснили От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

 

Все варианты взлома гугловского аутентификатора сводятся либо к наличию закладки на смартфоне, либо к подсматриванию кода итп. В любом случае, этот способ гораздо надежнее 2fa через смс.

[1qaz]

а ты собрался на биржах какие суммы хранить ? Храни на биржах столько сколько не жалко потерять , все остальное локально и самое главное это стерильно содержи комп на котором хранится инфа (не каких порно сайтов и нажимание на разные ссылки в момент поиска нужной информации в интернете)

 

Вы не поверите но у меня нокия 6230i , и пока не одного сервиса где я бы поставил себе двукратную аутентификацию это бесполезно, во первых захотят тебя взломать взломают какой бы ты метод не выбрал , во вторых самая большая дырка в безопасности , это прокладка между стульчиком и компом , делайте выводы . У меня все просто пароли все в голове а их много и разные под разные ресурсы (да иногда забываю их бывает но быстро вспоминаю) . Работать только за своим компом , юзать ВПН в общедоступных сетях WIFI , и никогда и не кому не разрешайте работать за своим писюком , иначе жопа ) Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) Ну и юзайте Маки как никак , большинство атак направленно на бреши популярных форточек , так проще и публики побольше с такими си-ми работает, я не говорю что Мак заразить невозможно , но сложнее чем форточки . Но за какой бы вы системой не работали всегда старайтесь держать операционку на последних апдейтах , у форточек по разному бывает , а вот яблочники четко относятся к апдейтам.

[vorobeyspb]

Спасибо парни всем за отзывы

[ivan1235]

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах?

https://www.reddit.com/r/Bitcoin/comments/5vuih9/internet_psa_cloudbleed_cloudflare_leaked/

[bullettrain]

 

 

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах? https://www.reddit.c...udflare_leaked/

Ты в скольких темах собрался это спрашивать? Даже если вероятность утечки конкретно твоих данных крайне мала, то в чем проблема поменять пароль то?

[elektronik198]

я бы больше за честность самих бирж беспокоился) 

[DenisM]

Везде и всюду взломы

[r2d2]

 .. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

Edited 12 Mar 2017, 10:13 by r2d2

[Zheka86]

 

 

От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

@Lexis77,Заранее Спасибо!,а то как то стремно после последних новостей о взломах Edited 24 Apr 2017, 03:12 by OZR
overposting

[Oz]

.. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

 

Нет никакого смысла что-то доказывать или опровергать, можно заблуждаться во всём, как хочется. Просто сообщение под руку попалось.

Весь этот слоёный пирожок из абстракций компьютерной безопасности больше похож на дуршлаг. Насколько глубока кроличья нора, лучше не копать, там дна нет.

 

Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.

 

Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

[bullettrain]

 

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.   Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

Обычно запрещают пользоваться личным смартфоном для служебных дел, при этом выдают корпоративный iphone, blackberry или что-либо на андроиде с определенными политиками безопасности.

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Для этого обычно предлагается распечатать код и спрятать его под матрас.

[Zheka86]

 

@OZR,Спасибо за ответ

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.

Я для торгов на бирже пользуюсь IOS и кроме бирж стараюсь не на какие сайты не заходить,разве что на wisdom,2ФА на вход в аккаунт тоже на iPhone закачал,но им пользуюсь по полной.Я так понимаю нужно покупать дешёвый андроид и туда переносить 2ФА???,или старый смартфон очистить или перепрошить и туда,отдельный Iphone жирновато будет))).

 

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

На этот случай я сделал backup QR-кодов на флешку

[AlexShmalex]

99% так называемых "взломов" о которых тут речь, целиком и полностью основаны на соц инженерии,а не на 0-day уязвимостях или митм атаках на сс7. Иными словами на стрёме надо быть когда сиськи захотелось посмотреть с компа/смартфона где биржа со 100500 битками или 2fa от неё... Так шта главное головой думать больше и не вестись на уловки всякие.... и можно даже 2FA не юзать.
Всё ИМХО, никого ни за что не аггитирую!
 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.

Не соглашусь, ПК на винде всё таки гораздо более уязвим, куча экплойтов в открытом доступе на старые версии флэш, явы и тд - зашёл на страничку и заразился без каких либо дополнительных действий. На андройде только развод на установку приложения и никак иначе(мож и есть уже сплойты, но не в массах)... Ну либо установка "легитимного" левого приложения и потом мальварная обнова.

Edited 24 Apr 2017, 17:59 by AlexShmalex