Перейти к содержанию

Безопасность на Биржах


vorobeyspb

Рекомендуемые сообщения

Добрый день дорогие участники.

Подскажите плз пионеру, на сколько безопасна является двукратная аутентификация с генерацией паролей через Google Authenticator при авторизации?

Буду благодарен за советы по безопасности. 

 

Ссылка на комментарий
Поделиться на другие сайты

Практически везде сейчас есть 2FA. Как думаете, почему? Наверное из-за своей простоты и эффективности.

Ссылка на комментарий
Поделиться на другие сайты

@moneymaker,Ну т.е де факто работает но сломать можно при желании? Вот просто думаю что надежнее одноразовые коды или двухфакторная.

Народ кто в теме - напишите два слова пожалуйста )

Ссылка на комментарий
Поделиться на другие сайты

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Изменено пользователем bullettrain
Ссылка на комментарий
Поделиться на другие сайты

Нет абсолютного технического средства защиты.

Ссылка на комментарий
Поделиться на другие сайты

 

 

Google Authenticator при авторизации

Вконтакте его используют. Хорошая защита

Ссылка на комментарий
Поделиться на другие сайты

@vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle. Этим методом например воспользовались спецслужбы и МТС для получения доступа к переписке в Telegram некоторых опозиционеров (немного подробнее). Для перехвата sms кстати не обязательно работать в спецслужбах, имея СОРМы\влияние\друзей в ОПСОСах, как оказалось достаточно и что-нибудь типа вот такого.

 

Генерирование кода на отдельном устройстве тоже не дает 100% гарантии безопасности, но нужно кого-то очень сильно обидеть или иметь что-то ДОСТАТОЧНО ценное, чтобы взлом окупил потраченные на него ресурсы. Здесь например приведены некоторые недостатки TOTP алгоритма, используемого в 2FA.

Познавательно. Благодарю

Ссылка на комментарий
Поделиться на другие сайты

 

 

и сломать невозможно.
вот даже не смешно...

 

..а, сорян, уже все объяснили
От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

Ссылка на комментарий
Поделиться на другие сайты

 

 

вот даже не смешно... ..а, сорян, уже все объяснили От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.

 

Все варианты взлома гугловского аутентификатора сводятся либо к наличию закладки на смартфоне, либо к подсматриванию кода итп. В любом случае, этот способ гораздо надежнее 2fa через смс.

Ссылка на комментарий
Поделиться на другие сайты

а ты собрался на биржах какие суммы хранить ? Храни на биржах столько сколько не жалко потерять , все остальное локально и самое главное это стерильно содержи комп на котором хранится инфа (не каких порно сайтов и нажимание на разные ссылки в момент поиска нужной информации в интернете)

 

Вы не поверите но у меня нокия 6230i , и пока не одного сервиса где я бы поставил себе двукратную аутентификацию это бесполезно, во первых захотят тебя взломать взломают какой бы ты метод не выбрал , во вторых самая большая дырка в безопасности , это прокладка между стульчиком и компом , делайте выводы . У меня все просто пароли все в голове а их много и разные под разные ресурсы (да иногда забываю их бывает но быстро вспоминаю) . Работать только за своим компом , юзать ВПН в общедоступных сетях WIFI , и никогда и не кому не разрешайте работать за своим писюком , иначе жопа ) Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) Ну и юзайте Маки как никак , большинство атак направленно на бреши популярных форточек , так проще и публики побольше с такими си-ми работает, я не говорю что Мак заразить невозможно , но сложнее чем форточки . Но за какой бы вы системой не работали всегда старайтесь держать операционку на последних апдейтах , у форточек по разному бывает , а вот яблочники четко относятся к апдейтам.

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах?

https://www.reddit.com/r/Bitcoin/comments/5vuih9/internet_psa_cloudbleed_cloudflare_leaked/

Ссылка на комментарий
Поделиться на другие сайты

 

 

Кто знает насколько это все серьезно? Нужно ли срочно менять все пароли на биржах? https://www.reddit.c...udflare_leaked/

Ты в скольких темах собрался это спрашивать? Даже если вероятность утечки конкретно твоих данных крайне мала, то в чем проблема поменять пароль то?

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

 .. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

Изменено пользователем r2d2
Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

 

 


От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.


Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

@Lexis77,Заранее Спасибо!,а то как то стремно после последних новостей о взломах Изменено пользователем OZR
overposting
Ссылка на комментарий
Поделиться на другие сайты

.. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно

едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

 

Нет никакого смысла что-то доказывать или опровергать, можно заблуждаться во всём, как хочется. Просто сообщение под руку попалось.

Весь этот слоёный пирожок из абстракций компьютерной безопасности больше похож на дуршлаг. Насколько глубока кроличья нора, лучше не копать, там дна нет.

 

Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.

 

Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Ссылка на комментарий
Поделиться на другие сайты

 

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.   Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

Обычно запрещают пользоваться личным смартфоном для служебных дел, при этом выдают корпоративный iphone, blackberry или что-либо на андроиде с определенными политиками безопасности.

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Для этого обычно предлагается распечатать код и спрятать его под матрас.

Ссылка на комментарий
Поделиться на другие сайты

 

@OZR,Спасибо за ответ

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.

Я для торгов на бирже пользуюсь IOS и кроме бирж стараюсь не на какие сайты не заходить,разве что на wisdom,2ФА на вход в аккаунт тоже на iPhone закачал,но им пользуюсь по полной.Я так понимаю нужно покупать дешёвый андроид и туда переносить 2ФА???,или старый смартфон очистить или перепрошить и туда,отдельный Iphone жирновато будет))).

 

 

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

На этот случай я сделал backup QR-кодов на флешку
Ссылка на комментарий
Поделиться на другие сайты

99% так называемых "взломов" о которых тут речь, целиком и полностью основаны на соц инженерии,а не на 0-day уязвимостях или митм атаках на сс7. Иными словами на стрёме надо быть когда сиськи захотелось посмотреть с компа/смартфона где биржа со 100500 битками или 2fa от неё... Так шта главное головой думать больше и не вестись на уловки всякие.... и можно даже 2FA не юзать.
Всё ИМХО, никого ни за что не аггитирую!
 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.


Не соглашусь, ПК на винде всё таки гораздо более уязвим, куча экплойтов в открытом доступе на старые версии флэш, явы и тд - зашёл на страничку и заразился без каких либо дополнительных действий. На андройде только развод на установку приложения и никак иначе(мож и есть уже сплойты, но не в массах)... Ну либо установка "легитимного" левого приложения и потом мальварная обнова.

Изменено пользователем AlexShmalex
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

×
×
  • Создать...