Двухфакторная защита на биржах

[AntonCh 11]

Вчера мы помогли нескольким пользователям предотвратить хищение своих средств.

 

Их пароли были украдены (как мне объяснили на бирже, причина - нашумевшая уязвимость криптобиблиотеки heartbleed). Пользователи, неожиданно для себя получили на свои телефоны запросы типа "Пожалуйста, подтвердите операцию - вывод RUR: 722.26". Они ответили "Нет", и операция вывода была заблокирована.

 

Эти пользователи заранее установили себе наше приложение для двухфакторной авторизации TapLogin и привязали его к своему аккаунту на бирже. При любой попытке вывода средств пользователи, установившие TapLogin, получают на телефон подобный запрос, и если они инициировали вывод сами и содержание запроса соответствует их намерениям, они отвечают на телефоне "Да". Такое подтверждение защищает от кражи паролей и от троянов на компьютере.

 

Хочу предостеречь админов бирж и пользователей от использования популярного приложения Google Authenticator для подтверждения вывода средств. Google Authenticator бесполезен и даже вреден для этой цели, потому что создает ложное чувство безоспасности. Он никак не защищает от троянов в браузере, потому что пользователь при вводе кода из аутентификатора не знает, что он реально подтверждает, а троян может легко подменить кошелек для вывода и сумму, и пользователь ничего не заметит. Подробнее об этом в другой теме.

 

[vm2014 14]

Еще подобный случай! 

https://forum.bits.media/index.php?/topic/7169-gocio-birzha-otkryty-btc-rur-ltcrur-btcltc/?p=157197

[=mike= 6]

Если ворочаешь большими деньгами, нужно уделять большое внимание безопасности! В той теме правильные советы довали)

И да, вы не пробовали непосредственно с биржами вести диалог?

[AntonCh 11]

Пока только goc.io

[vm2014 14]

Пока только goc.io

Довольны, кстати. В свете последних событий с Open SSL, пользователи активно сносят гугл аутентификатор и меняют на таплогин, который проявил себя в боевых условиях.

[booz 309]

А на goc.io будет 2фа по смс?

[vm2014 14]

Опосредовано, через таплогин, она уже есть для телефонов "со старыми Java-мозгами" (не смартфонов) на базе java используется как раз СМС. Внедрить СМС для всех мешает высокая стоимость отправки СМС: 0.55 руб. за штуку. Тем более push-сообщения, используемые для смартфонов, замещают смс повсеместно. Можно платную услугу ввести :) Но не уверен, что кто-то захочет платить при наличии бесплатной альтернативы.

[booz 309]

Простите мою лень - где лежит таплогин для жабы?

И неплохо это выложить прямо на сайте биржи.

Изменено 23 апр 2014, 08:15 пользователем booz

[vm2014 14]

Простите мою лень - где лежит таплогин для жабы?

И неплохо это выложить прямо на сайте биржи.

 

Это выложено на сайте биржи. Но не на самом видном месте. 

Настройка – в профиле. После входа на goc.io нужно в правом верхнем углу кликнуть на свой логин, далее "Возможности двухфакторной авторизации" – TapLogin 

 

Само приложение для смартфонов можно скачать из App Store,  Google  Play и т.п.

Для установки java-мидлета (для старых телефонов) при настройке будет ссылка для скачивания... 

[booz 309]

Непришла ссылка.

[AntonCh 11]

Непришла ссылка.

скажите последние 4 цифры номера вашего телефона, мы проверим.

[vm2014 14]

 

Непришла ссылка.

 

скажите последние 4 цифры номера вашего телефона, мы проверим.

Удалось поставить в итоге?

Можете обратиться к нам в саппорт...