Jump to content
vorobeyspb

Безопасность на Биржах

Recommended Posts

Добрый день дорогие участники.

Подскажите плз пионеру, на сколько безопасна является двукратная аутентификация с генерацией паролей через Google Authenticator при авторизации?

Буду благодарен за советы по безопасности. 

 

Share this post


Link to post
Share on other sites

Ломаю все. Воруют везде.

Share this post


Link to post
Share on other sites

Ставить обязательно всегда и все что возможно!  :D 

Share this post


Link to post
Share on other sites

Практически везде сейчас есть 2FA. Как думаете, почему? Наверное из-за своей простоты и эффективности.

Share this post


Link to post
Share on other sites

@moneymaker,Ну т.е де факто работает но сломать можно при желании? Вот просто думаю что надежнее одноразовые коды или двухфакторная.

Народ кто в теме - напишите два слова пожалуйста )

Share this post


Link to post
Share on other sites

@vorobeyspb, Нормальная штука, и сломать невозможно.

Share this post


Link to post
Share on other sites

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Edited by bullettrain

Share this post


Link to post
Share on other sites

Нет абсолютного технического средства защиты.

Share this post


Link to post
Share on other sites

 

 

Google Authenticator при авторизации

Вконтакте его используют. Хорошая защита

Share this post


Link to post
Share on other sites

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Познавательно. Благодарю

Share this post


Link to post
Share on other sites

 

 

и сломать невозможно.
вот даже не смешно...

 

..а, сорян, уже все объяснили
От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

Share this post


Link to post
Share on other sites

 

 

вот даже не смешно... ..а, сорян, уже все объяснили От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

 

Все варианты взлома гугловского аутентификатора сводятся либо к наличию закладки на смартфоне, либо к подсматриванию кода итп. В любом случае, этот способ гораздо надежнее 2fa через смс.

Share this post


Link to post
Share on other sites

а ты собрался на биржах какие суммы хранить ? Храни на биржах столько сколько не жалко потерять , все остальное локально и самое главное это стерильно содержи комп на котором хранится инфа (не каких порно сайтов и нажимание на разные ссылки в момент поиска нужной информации в интернете)

 

Вы не поверите но у меня нокия 6230i , и пока не одного сервиса где я бы поставил себе двукратную аутентификацию это бесполезно, во первых захотят тебя взломать взломают какой бы ты метод не выбрал , во вторых самая большая дырка в безопасности , это прокладка между стульчиком и компом , делайте выводы . У меня все просто пароли все в голове а их много и разные под разные ресурсы (да иногда забываю их бывает но быстро вспоминаю) . Работать только за своим компом , юзать ВПН в общедоступных сетях WIFI , и никогда и не кому не разрешайте работать за своим писюком , иначе жопа ) Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) Ну и юзайте Маки как никак , большинство атак направленно на бреши популярных форточек , так проще и публики побольше с такими си-ми работает, я не говорю что Мак заразить невозможно , но сложнее чем форточки . Но за какой бы вы системой не работали всегда старайтесь держать операционку на последних апдейтах , у форточек по разному бывает , а вот яблочники четко относятся к апдейтам.

Share this post


Link to post
Share on other sites

 

 

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах? https://www.reddit.c...udflare_leaked/

Ты в скольких темах собрался это спрашивать? Даже если вероятность утечки конкретно твоих данных крайне мала, то в чем проблема поменять пароль то?

Share this post


Link to post
Share on other sites

я бы больше за честность самих бирж беспокоился) 

Share this post


Link to post
Share on other sites

 .. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

Edited by r2d2

Share this post


Link to post
Share on other sites

 

 


От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.


Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

@Lexis77,Заранее Спасибо!,а то как то стремно после последних новостей о взломах Edited by OZR
overposting

Share this post


Link to post
Share on other sites

.. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

 

Нет никакого смысла что-то доказывать или опровергать, можно заблуждаться во всём, как хочется. Просто сообщение под руку попалось.

Весь этот слоёный пирожок из абстракций компьютерной безопасности больше похож на дуршлаг. Насколько глубока кроличья нора, лучше не копать, там дна нет.

 

Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.

 

Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Share this post


Link to post
Share on other sites

 

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.   Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

Обычно запрещают пользоваться личным смартфоном для служебных дел, при этом выдают корпоративный iphone, blackberry или что-либо на андроиде с определенными политиками безопасности.

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Для этого обычно предлагается распечатать код и спрятать его под матрас.

Share this post


Link to post
Share on other sites

 

@OZR,Спасибо за ответ

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.

Я для торгов на бирже пользуюсь IOS и кроме бирж стараюсь не на какие сайты не заходить,разве что на wisdom,2ФА на вход в аккаунт тоже на iPhone закачал,но им пользуюсь по полной.Я так понимаю нужно покупать дешёвый андроид и туда переносить 2ФА???,или старый смартфон очистить или перепрошить и туда,отдельный Iphone жирновато будет))).

 

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

На этот случай я сделал backup QR-кодов на флешку

Share this post


Link to post
Share on other sites

99% так называемых "взломов" о которых тут речь, целиком и полностью основаны на соц инженерии,а не на 0-day уязвимостях или митм атаках на сс7. Иными словами на стрёме надо быть когда сиськи захотелось посмотреть с компа/смартфона где биржа со 100500 битками или 2fa от неё... Так шта главное головой думать больше и не вестись на уловки всякие.... и можно даже 2FA не юзать.
Всё ИМХО, никого ни за что не аггитирую!
 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.


Не соглашусь, ПК на винде всё таки гораздо более уязвим, куча экплойтов в открытом доступе на старые версии флэш, явы и тд - зашёл на страничку и заразился без каких либо дополнительных действий. На андройде только развод на установку приложения и никак иначе(мож и есть уже сплойты, но не в массах)... Ну либо установка "легитимного" левого приложения и потом мальварная обнова.

Edited by AlexShmalex

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...