Перейти к содержимому

YoBit.Net

Фотография
  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11

#1 AntonCh

AntonCh

    Новичок

  • Пользователи
  • Pip
  • 8 сообщений

Отправлено 18 April 2014 - 20:27

Вчера мы помогли нескольким пользователям предотвратить хищение своих средств.

 

Их пароли были украдены (как мне объяснили на бирже, причина - нашумевшая уязвимость криптобиблиотеки heartbleed). Пользователи, неожиданно для себя получили на свои телефоны запросы типа "Пожалуйста, подтвердите операцию - вывод RUR: 722.26". Они ответили "Нет", и операция вывода была заблокирована.

 

Эти пользователи заранее установили себе наше приложение для двухфакторной авторизации TapLogin и привязали его к своему аккаунту на бирже. При любой попытке вывода средств пользователи, установившие TapLogin, получают на телефон подобный запрос, и если они инициировали вывод сами и содержание запроса соответствует их намерениям, они отвечают на телефоне "Да". Такое подтверждение защищает от кражи паролей и от троянов на компьютере.

 

Хочу предостеречь админов бирж и пользователей от использования популярного приложения Google Authenticator для подтверждения вывода средств. Google Authenticator бесполезен и даже вреден для этой цели, потому что создает ложное чувство безоспасности. Он никак не защищает от троянов в браузере, потому что пользователь при вводе кода из аутентификатора не знает, что он реально подтверждает, а троян может легко подменить кошелек для вывода и сумму, и пользователь ничего не заметит. Подробнее об этом в другой теме.

 


  • 0

#2 vm2014

vm2014

    Пользователь

  • Пользователи
  • PipPip
  • 256 сообщений

Отправлено 22 April 2014 - 12:02

Еще подобный случай! 

https://forum.bits.m...tcltc/?p=157197


  • 0
GOC.io - биржа криптовалют, оплата услуг, вывод в рубли!

#3 =mike=

=mike=

    Пользователь

  • Пользователи
  • PipPip
  • 88 сообщений

Отправлено 22 April 2014 - 12:26

Если ворочаешь большими деньгами, нужно уделять большое внимание безопасности! В той теме правильные советы довали)
И да, вы не пробовали непосредственно с биржами вести диалог?
  • 1

#4 AntonCh

AntonCh

    Новичок

  • Пользователи
  • Pip
  • 8 сообщений

Отправлено 22 April 2014 - 20:13

Пока только goc.io


  • 1

#5 vm2014

vm2014

    Пользователь

  • Пользователи
  • PipPip
  • 256 сообщений

Отправлено 23 April 2014 - 08:38

Пока только goc.io


Довольны, кстати. В свете последних событий с Open SSL, пользователи активно сносят гугл аутентификатор и меняют на таплогин, который проявил себя в боевых условиях.
  • 0
GOC.io - биржа криптовалют, оплата услуг, вывод в рубли!

#6 booz

booz

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1070 сообщений

Отправлено 23 April 2014 - 09:03

А на goc.io будет 2фа по смс?


  • 0

Обработка и изготовление комплектов проводов для блоков, бытовой и космической техники. До 1000шт/час. телеграм @OboozO


#7 vm2014

vm2014

    Пользователь

  • Пользователи
  • PipPip
  • 256 сообщений

Отправлено 23 April 2014 - 09:46

Опосредовано, через таплогин, она уже есть для телефонов "со старыми Java-мозгами" (не смартфонов) на базе java используется как раз СМС. Внедрить СМС для всех мешает высокая стоимость отправки СМС: 0.55 руб. за штуку. Тем более push-сообщения, используемые для смартфонов, замещают смс повсеместно. Можно платную услугу ввести :) Но не уверен, что кто-то захочет платить при наличии бесплатной альтернативы.


  • 0
GOC.io - биржа криптовалют, оплата услуг, вывод в рубли!

#8 booz

booz

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1070 сообщений

Отправлено 23 April 2014 - 11:15

Простите мою лень - где лежит таплогин для жабы?

И неплохо это выложить прямо на сайте биржи.


Сообщение отредактировал booz: 23 April 2014 - 11:15

  • 1

Обработка и изготовление комплектов проводов для блоков, бытовой и космической техники. До 1000шт/час. телеграм @OboozO


#9 vm2014

vm2014

    Пользователь

  • Пользователи
  • PipPip
  • 256 сообщений

Отправлено 23 April 2014 - 12:01

Простите мою лень - где лежит таплогин для жабы?

И неплохо это выложить прямо на сайте биржи.

 

Это выложено на сайте биржи. Но не на самом видном месте. 

Настройка – в профиле. После входа на goc.io нужно в правом верхнем углу кликнуть на свой логин, далее "Возможности двухфакторной авторизации" – TapLogin 

 

Само приложение для смартфонов можно скачать из App Store,  Google  Play и т.п.

Для установки java-мидлета (для старых телефонов) при настройке будет ссылка для скачивания... 


  • 0
GOC.io - биржа криптовалют, оплата услуг, вывод в рубли!

#10 booz

booz

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1070 сообщений

Отправлено 23 April 2014 - 12:44

Непришла ссылка.


  • 0

Обработка и изготовление комплектов проводов для блоков, бытовой и космической техники. До 1000шт/час. телеграм @OboozO


#11 AntonCh

AntonCh

    Новичок

  • Пользователи
  • Pip
  • 8 сообщений

Отправлено 23 April 2014 - 14:09

Непришла ссылка.

скажите последние 4 цифры номера вашего телефона, мы проверим.


  • 0

#12 vm2014

vm2014

    Пользователь

  • Пользователи
  • PipPip
  • 256 сообщений

Отправлено 27 April 2014 - 15:05

Непришла ссылка.

скажите последние 4 цифры номера вашего телефона, мы проверим.

Удалось поставить в итоге?
Можете обратиться к нам в саппорт...
  • 0
GOC.io - биржа криптовалют, оплата услуг, вывод в рубли!





Темы с аналогичным тегами taplogin, 2fa, 2фа, двухфакторная авторизация, двухфакторная аутентификация, google authenticator, вывод, безопасность

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных