Перейти к содержимому


Фотография

Безопасность на Биржах


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 28

#21 Zheka86

Zheka86

    Новичок

  • Пользователи
  • Pip
  • 7 сообщений

Отправлено 23 April 2017 - 16:31


От себя добавлю, если мобилко юзается только для "позвонить", никаких передач информации, вайфаев и прочего, то такая 2фа сводится к 100% защите. Любое отступление - сразу минус 80%.


Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

Lexis77,Заранее Спасибо!,а то как то стремно после последних новостей о взломах

Сообщение отредактировал OZR: 24 April 2017 - 06:12
overposting

  • 0

#22 OZR

OZR

    Генератор букв в мысли

  • Супермодераторы
  • 1452 сообщений

Отправлено 24 April 2017 - 07:44

.. Пример жена случайно села за ноут зашла на почту и открыла письмо  от не знакомого адресата, дальше наверно все понятно, происходит заражение и дальнейшая судьба пациента зависит от типа заразы которая может очень долгое время не показываться ) ..

таким образом заразится невозможно
едит: какой-то дурачок кто-то из думающих по другому поставил минус  :D , вместо того чтобы опровергнуть.

 

Нет никакого смысла что-то доказывать или опровергать, можно заблуждаться во всём, как хочется. Просто сообщение под руку попалось.

Весь этот слоёный пирожок из абстракций компьютерной безопасности больше похож на дуршлаг. Насколько глубока кроличья нора, лучше не копать, там дна нет.

 

Здравствуйте,а можете просветить?,если Google Authenticator на входы и снятия средств закачен на смартфон ,который юзается по полной,wi-fi,мессенджеры и т.д. А вот 2ФА на вход в гугл почту,подключеную через смс,привязаную к аккаунту биржи, подключена к номеру,симка которой вставлена в телефон для только "позвонить",безопасно так? ,или нужно Google Authenticator тоже установить на смартфон только для "позвонить"?

 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.

 

Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

 

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.


  • 1

You're in my wonderland!


#23 bullettrain

bullettrain

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 514 сообщений

Отправлено 24 April 2017 - 08:42

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности. По этой причине, в серьёзных организациях, на некоторых людей есть регламенты на полный запрет использования смартфонов.   Если паранойя ещё не 80-ого уровня и смартфоны разрешено использовать. То ключ 2FA допустимо иметь только на устройстве, которое не используется, кроме как ключ 2FA. На устройстве запрещено устанавливать другие приложения, кроме ключа. ОС должна быть чистая. Только в этом случае какая-то польза от 2FA есть.

Обычно запрещают пользоваться личным смартфоном для служебных дел, при этом выдают корпоративный iphone, blackberry или что-либо на андроиде с определенными политиками безопасности.

И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

Для этого обычно предлагается распечатать код и спрятать его под матрас.


  • 0

Moving like a speed of sound


#24 Zheka86

Zheka86

    Новичок

  • Пользователи
  • Pip
  • 7 сообщений

Отправлено 24 April 2017 - 19:16


OZR,Спасибо за ответ

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.

Я для торгов на бирже пользуюсь IOS и кроме бирж стараюсь не на какие сайты не заходить,разве что на wisdom,2ФА на вход в аккаунт тоже на iPhone закачал,но им пользуюсь по полной.Я так понимаю нужно покупать дешёвый андроид и туда переносить 2ФА???,или старый смартфон очистить или перепрошить и туда,отдельный Iphone жирновато будет))).



И ещё ключевой момент. 2FA чрезвычайно сложно восстановить, во многих случаях этого сделать нельзя совсем. Т.е если наш 2FA ключ завязан на целевое устройство. И это целевое устройство сломалось и вышло из строя. (а оно на 99.9% - китайское гомно которое просто обязано сломаться и выйти из строя). Предстоит крайне "увлекательное" приключение по восстановлению, либо устройства, либо аккаунта.

На этот случай я сделал backup QR-кодов на флешку
  • 0

#25 AlexShmalex

AlexShmalex

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 730 сообщений

Отправлено 24 April 2017 - 19:28

99% так называемых "взломов" о которых тут речь, целиком и полностью основаны на соц инженерии,а не на 0-day уязвимостях или митм атаках на сс7. Иными словами на стрёме надо быть когда сиськи захотелось посмотреть с компа/смартфона где биржа со 100500 битками или 2fa от неё... Так шта главное головой думать больше и не вестись на уловки всякие.... и можно даже 2FA не юзать.
Всё ИМХО, никого ни за что не аггитирую!
 

Если компьютер - дуршлаг. То смартфоны и андроиды - это дуршлаг-дуршлаг. Практически всегда - смартфон - самое слабое звено в информационной безопасности.


Не соглашусь, ПК на винде всё таки гораздо более уязвим, куча экплойтов в открытом доступе на старые версии флэш, явы и тд - зашёл на страничку и заразился без каких либо дополнительных действий. На андройде только развод на установку приложения и никак иначе(мож и есть уже сплойты, но не в массах)... Ну либо установка "легитимного" левого приложения и потом мальварная обнова.


Сообщение отредактировал AlexShmalex: 24 April 2017 - 20:59

  • 0

#26 VanoPupkin

VanoPupkin

    Пользователь

  • Пользователи
  • PipPip
  • 350 сообщений
  • ГородLos Santos

Отправлено 04 May 2017 - 22:31

Для этого обычно предлагается распечатать код и спрятать его под матрас.

Каменный век, Вы уж простите)) Резервная копия данных? Не не_слышал©  

Под матрац хы-ы-ы-ы...))


  • 0

#27 XuT

XuT

    Новичок

  • Пользователи
  • Pip
  • 4 сообщений

Отправлено 05 May 2017 - 02:45

Добрый день дорогие участники.

Подскажите плз пионеру, на сколько безопасна является двукратная аутентификация с генерацией паролей через Google Authenticator при авторизации?

Буду благодарен за советы по безопасности. 

лучше ставить где есть возможность, также следует знать что есть более безопасная альтернатива указанному вами 2f TOTP который используется в google authenticator,
это новый открытый стандарт u2f

https://www.yubico.c...ackground/fido/
это более продвинутая версия двухфакторной, 
главная проблема при настройке 2f TOTP - может произойти утечка секрета,

в u2f эта проблема решена тем, что для авторизации используется отдельное устройство,

которое выдает наружу только ответ на запрос, но не сам секрет

купить можно 
https://www.yubico.c...f-security-key/
https://shop.nitroke...key-fido-u2f-20

также эту технологию поддерживают некоторые модели hw walletов (trezor, ledger)

из минусов:

  • нужно покупать отдельный девайс, а лучше несколько, для бекапа
  • нельзя девайс терять, чтобы защититься от утери нужно чтобы был запасной, привязать к аккаунту можно несколько устройств одновременно
  • пока есть поддержка только на аккаунтах facebook, google, github, gitlab
  • пока работает только в хроме или в firefox через extension

из плюсов:

  • нет риска утери секрета
  • не нужно возиться с кодами, авторизация происходит нажатием кнопки

очень жаль что этот стандарт еще не был внедрен крупными криптобиржами, в качестве доп. альтернативы обычной 2f


Сообщение отредактировал XuT: 05 May 2017 - 02:46

  • 0

#28 bullettrain

bullettrain

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 514 сообщений

Отправлено 05 May 2017 - 05:14

vorobeyspb, в случае если код 2FA присылается по sms, то возможен взлом используя man-in-the-middle.

Кстати вот отличный пример того на сколько это реально. 

Я бы немного поднапрягся на месте пользователей дебетовых карт типа Xapo, использующих sms в качестве канала передачи кода 2ФА.


  • 1

Moving like a speed of sound


#29 sitoleg

sitoleg

    Новичок

  • Пользователи
  • Pip
  • 23 сообщений

Отправлено 17 July 2017 - 00:40

Доброго времени суток! Подскажите могу ли я использовать 2FA от гугла, для защиты аккаунта без телефона, то есть на стационарном ПК? Если да то каким образом и где можно получить подробную инструкцию? И каким образом это делается?  - ставится расширение в браузер или прога на комп?. Заранее спасибо за подсказку.


Сообщение отредактировал sitoleg: 17 July 2017 - 01:11

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных