AntonCh

скажите последние 4 цифры номера вашего телефона, мы проверим.

Пока только goc.io

Вчера мы помогли нескольким пользователям предотвратить хищение своих средств. Их пароли были украдены (как мне объяснили на бирже, причина - нашумевшая уязвимость криптобиблиотеки heartbleed). Пользователи, неожиданно для себя получили на свои телефоны запросы типа "Пожалуйста, подтвердите операцию - вывод RUR: 722.26". Они ответили "Нет", и операция вывода была заблокирована. Эти пользователи заранее установили себе наше приложение для двухфакторной авторизации TapLogin и привязали его к своему аккаунту на бирже. При любой попытке вывода средств пользователи, установившие TapLogin, получают на телефон подобный запрос, и если они инициировали вывод сами и содержание запроса соответствует их намерениям, они отвечают на телефоне "Да". Такое подтверждение защищает от кражи паролей и от троянов на компьютере. Хочу предостеречь админов бирж и пользователей от использования популярного приложения Google Authenticator для подтверждения вывода средств. Google Authenticator бесполезен и даже вреден для этой цели, потому что создает ложное чувство безоспасности. Он никак не защищает от троянов в браузере, потому что пользователь при вводе кода из аутентификатора не знает, что он реально подтверждает, а троян может легко подменить кошелек для вывода и сумму, и пользователь ничего не заметит. Подробнее об этом в другой теме.

2фа в исполнении BTC-e бессмысленно. А вообще замечательная вещь, которую мы (и не только) с удовольствием используем. Конечно, легко переложить все на плечи пользователя. Но на дворе 2014 год, и пользователь уже не тот, что 20 лет назад. Он не понимает угроз, которые таятся повсюду, легко кликает на фишинговые ссылки, ставит трояны и т.д. Поэтому сервис, который игнорирует этот факт и не готов взять на себя свою часть ответственности за безопасность пользователей, такой сервис рискует не дожить до 2015. а также пропихнет на аппстор свое приложение, а также взломает биржу, чтобы она посылала запросы на подтверждение операций не на azid.ru, а на сайт взломщика... кстати не знаю ни одного банка, который пользуется гугл аутентификатором. Google тоже не знает. Не обижайтесь, но тогда вам в Тундру (с нетбуком за 5000 в рюкзаке). Все что изобретено за последнее время, представляет опасность - машины, самолеты, интернет, ... ну и что теперь?

Попробуйте посмотреть с другой стороны: если вы никому не доверяете (и правильно делаете), не будет ли разумно дать часть данных одному лицу, часть - другому, так что ни у кого из них нет полной картины и нет полного комплекта ключей от вашей "квартиры"?

да, вы не все смотрели. Указанная цена относится только к старым java телефонам.

Абсолютно верно, применительно в BTC-e в ее нынешнем виде. Грамотно сделанная двухфакторная защита поможет даже если в браузере уже сидит троян. В том числе поэтому мы не используем смс (если у вас смартфон). Общение с телефоном идет напрямую через интернет с 100% шифрованием всего трафика. Что касается взлома второго девайса, напомню, что смысл двухфакторной защиты как раз в том, чтобы усложнить задачу для взломщика - вынудить его взламывать два девайса, а не один. В той реализации 2фа, что есть сейчас в BTC-e, взламывать второй девайс не нужно, он бесполезен и существует только для вашего "спокойствия". Полностью согласен. Вы так или иначе кому-то доверяете свои данные или деньги. Смотрите насколько они грамотны в защите ваших данных или денег.

Это можно назвать пиаром, но я не могу спокойно смотреть на то отношение к безопасности пользователей, которое наблюдаю в BTC-e и не только. А зачем тогда такая 2фа? Это конечно правильно защищаться от подбора пароля, но это защита от атак 10-летней давности. Никакие 20-значные пароли и никакие блокировки по IP вам не помогут если у вас в браузере сидит троян - man-in-the-browser attack (MitB). Сейчас многие биржи, в том числе BTC-e, поставили себе google authenticator и убеждают пользователей его активировать как лучшую защиту от взлома. Типа Google это правильно, открытый стандарт это правильно, опенсорс это правильно. Бред. Правильные вещи нужно еще и правильно использовать. Google Authenticator предназначен только для аутентификации пользователя (т.е. логина), и ни для чего более. Его категорически нельзя использовать для подтверждения транзакций, потому что когда вы вводите код из аутентификатора, вы не знаете, что вы подтверждаете. Когда троян сидит в браузере, он может как угодно менять то что вы видите в своем личном кабинете в BTC-e, он может перехватить только что введенный вами код и сразу использовать его для совсем другой транзакции, нежели вы предполагали (30 секунд вполне достаточно). Трояну не нужен ваш пароль - вы его сами вводите при входе. Трояну не нужен ваш аутентификатор - вы сами вводите одноразовый код... но только не для себя. Правильно делать 2-факторную авторизацию транзакции, а не 2-факторную аутентификацию пользователя. Детали транзакции должны обязательно отобразиться на втором устройстве, которое используется для подтверждения (чаще всего - на телефоне), и которым троян в браузере не может манипулировать. Правильно сделано здесь: https://www.azid.ru/sites.php (это обещанный пиар). Теперь, что мы видим в BTC-e: 1. Коды из аутентификатора используются для подтверждения вывода, когда пользователь не знает реально, что он подтверждает. 2. Во время привязки гугл аутентификатора его ключ отображается в браузере. Это значит, что если троян уже сидит в браузере, ваш будущий взломщик может стащить ключ и сделать себе клон вашего гугл аутентификатора. 3. Даже та хромая реализация 2фа, которая есть, может быть отключена просто снятием галочек на странице "Безопасность". Никакого подтверждения для этого не требуется. Соответственно, если в компьютере ТС был троян, он мог это тихо сделать и сразу запросить вывод средств без подтверждения. В-общем, то что сейчас есть в BTC-e это не безопасность, это попытка создать ложное чувство безопасности (Брюс Шнайер, известный гуру в области компьютерной безопасности, называет это security theater), поэтому несмотря на 3-летнюю историю биржи, сейчас я бы никому не рекомендовал ей пользоваться, до тех пор пока там не появится нормальная защита. Раскрытие информации: я являюсь со-учредителем компании, которая делает TapLogin (ссылка выше), я не имею интереса в goc.io, они пока единственный биткойн сервис, который использует наше решение.