Slo-Tech - Google je pred časom razkril, kako imajo v podjetju poskrbljeno za obrambo zaposlenih pred phishing napadi na njihove uporabniške račune. Zdaj je Titan Security Key prišel tudi v prosto prodajo, te dni ga je moč za 50 dolarjev naročiti v ZDA, kmalu pa naj bi bil na voljo globalno.
Gre za ključek, izdelan po odprtih FIDO standardih, sestavljen je iz dveh fizičnih delov - USB enote in Bluetooth enote, ki skupaj omogočata dvostopenjsko avtentikacijo. Taka metoda U2F (Universal 2nd Factor) velja za precej bolj zanesljivo, kot pa denimo tista s potrditvenim SMSom, ki ga je moč prestreči. Ima pa seveda tudi to slabo lastnost, da gre za fizično napravo, ki jo imetnik lahko izgubi.
Oba dela ključka se med sabo namesto s statično kodo, seznanjata s pomočjo kriptografskega podpisa, ki ga vmes preveri še spletna storitev. Da bi preprečili ekstrakcijo vsebine ključka, je firmware trajno zapečaten v strojno opremo že med samim proizvodnim procesom, kjer čipi nastajajo.
Ključek so v družbi Yubico razvili posebej za Google, programski del pa je celo kar delo Googlovih inženirjev. Tam so ga začeli uporabljati pred osmimi meseci, pred mesecem dni pa so ga začeli razdeljevati tudi ameriškim uporabnikom Google Clouda. Trenutno je podpora U2F še bolj v povojih, a napravo je že moč uporabiti pri prijavi v Google, Dropbox, Facebook, GitHub, Salesforce, Stripe, Twitter in še nekatere druge storitve, ki podpirajo FIDO standarde.
Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
Khm... si nisem misli, da bom še za časa mojega življenja (pa še nisem pri abrahamu), doživel v živo vse orvelove 84, obskurne epizode črnega ogledala, medijskega pranja možgano in podobnih floskul... Zagotovo bo prodaja letela v nebo. Folku pa ne bo jasno, da bo veliki brat s tem dobil še vsa tista gesla, ki jih do sedaj ni mogel... Quo Vadis, Homo Sapiens?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
@zee; Ključek so v družbi Yubico razvili posebej za Google, programski del pa je celo kar delo Googlovih inženirjev. Naj mi sedaj še nekdo reče, da je to odprtokodni software?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
Malo manj dramatično lahko? Podoben ključek ti za podobno ceno proda Yubico.
Ja, in imajo lepo podrt OATH OTP (https://www.yubico.com/why-yubico/how-y..., ki v osnovi ne rabi nicesar razen masino, ki zna uporabljat USB keyboard, pa bo zadeva delovala. FIDO U2F je pa druga zival in je blizje pkcs12 hw tokenom in rabi dejansko software na masini (naj uganem, google engineered =/ in temelji na public/private kljucih, in naj uganem, public kljuc se poslje strani, da lahko overi challange. Seveda U2F podpira zaenkrat samo, ne boste verjeli Chrome-spyware (tm), seveda ne bo delal na firefoxu in drugih "ne-tapravih" browserjih. Hvala lepa, imam mnogo raje sekvenco iz fake keyboarda.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
Sej SMS je bl shit, ki pa se uporablja zato ker ga uporabljajo lahko tudi budale. Jst za GitHub uporabljam TOTP generator, ki ga inicializiras iz QR kode. Potem pa ne morejo prestrezti nicesar.
Ja seveda, kot sem rekel, SMS je prikladen. Ce mas pa ti generator pa ne smes zgubit devicea k mas to gor pa back-up kod, kar predpostavljam da je problem pri folku.
Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D
a ti dejansko imaš kakšne accounte še kje druge kot na lokalni mašini?
In ja, SMS 2FA je v današnjih dnevih zajamčen bulšit. Praktičen, enostaven in bulšit od anti-varnosti.
Že res..... ampak zanimivo bi pa vseeno bilo izvedeti kaj več o 'ozadju' te briljantne ideje v NKBM.
Nekako se mi zdi, da so tu v ozadju kakšni mutni posli.
Mogoče je res, da se pri nas ne da izogniti mutnim poslom... ampak za boga milega, zakaj potem ne mučkajo s kakšno res sodobno rešitvijo, ne pa z zadevo od katere vsi drugi že lep čas proč bežijo?
Da pa nebi vse skupaj izgledalo kot totalni fail, si potem izmislijo fancy naziv 'SMS žeton'..... Z novim imenom je pa vse skupaj bolj moderno, napredno, varno,....?
Naslov teme "phishing obramba" se mi zdi kar precej ponesrečen.
Poanta phishinga je v tem, da uporabnika naplahtaš, da bo naredil nekaj, kar mu sicer nebi padlo na pamet, če bi poznal vse okoliščine.
Seveda tudi posredovanje gesla nigerijskemu princu spada pod phishing, je pa to zgolj ena od oblik prevar.
Zadnje čase so očitno spet na udaru tzv. direktorske prevare, kjer "direktor" po mailu nekomu iz podjetja naroči nujno nakazilo na nek xy račun. Verjetno gre to z roko v roki s sezono dopustov, ko računovodja ne upa direktorja motiti na dopustu, da bi telefonsko preveril pristnost take zahteve.
Točno pri teh vrstah prevar zgoraj omenjeni ključki in vse okoli varnosti gesel ne pomaga prav nič. Pomaga edino ozaveščanje. Morda bi še pomagalo dvojno podpisovanje transakcij (računovodja + direktor) vendar se tam ponavadi podpisuje 'pakete transakcij', kjer se zlahka skrije tudi kakšno gnilo jajce.
Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D
a ti dejansko imaš kakšne accounte še kje druge kot na lokalni mašini?
O seveda, na vsaki strani, ki jo uporabljam, vec njih...
In ja, SMS 2FA je v današnjih dnevih zajamčen bulšit. Praktičen, enostaven in bulšit od anti-varnosti.
Že res..... ampak zanimivo bi pa vseeno bilo izvedeti kaj več o 'ozadju' te briljantne ideje v NKBM.
Nekako se mi zdi, da so tu v ozadju kakšni mutni posli.
Mogoče je res, da se pri nas ne da izogniti mutnim poslom... ampak za boga milega, zakaj potem ne mučkajo s kakšno res sodobno rešitvijo, ne pa z zadevo od katere vsi drugi že lep čas proč bežijo?
Da pa nebi vse skupaj izgledalo kot totalni fail, si potem izmislijo fancy naziv 'SMS žeton'..... Z novim imenom je pa vse skupaj bolj moderno, napredno, varno,....?
V osnovi "two factor" authentikacija preko SMSa ni namenjena varnosti. Namenjena je, da firma (kot npr. fb, google), dobi od vas identifikacijo (za email, glej odgovor zgoraj ;) ), ki je ni preprosto zamenjat. Tudi kreditne kartice se menjajo bolj pogosto kot telefonska stevilka, pa tudi ce jo hoces je zadeva hudo zoprna.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
Naslov teme "phishing obramba" se mi zdi kar precej ponesrečen.
Poanta phishinga je v tem, da uporabnika naplahtaš, da bo naredil nekaj, kar mu sicer nebi padlo na pamet, če bi poznal vse okoliščine.
Če imaš 2FA, potem si nekdo, ki ima tvoje podatke, z njimi ne more preveč pomagati v smeri, da bi dobil še tvoj denar (ali pa FB account, kar ti je pač bolj dragoceno).
Točno pri teh vrstah prevar zgoraj omenjeni ključki in vse okoli varnosti gesel ne pomaga prav nič.
Lahko ti dam testno ime in geslo na mojem 2FA sistemu. Koliko uspeha misliš, da boš imel pri tem, da boš lahko dostopil do mojega sistema brez drugega faktorja, ki ga pač nimaš v rokah, ker ga imam v rokah jaz?
Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D
Lahko ti dam testno ime in geslo na mojem 2FA sistemu. Koliko uspeha misliš, da boš imel pri tem, da boš lahko dostopil do mojega sistema brez drugega faktorja, ki ga pač nimaš v rokah, ker ga imam v rokah jaz?
Nisi me razumel. Nisem izražal dvoma v 2FA (razen SMS variante) in mi ni jasno, kako si uspel moj text tako interpretirat.
Rekel sem, da so zadnji čas v porastu 'direktorske prevare', ki tudi spadajo pod pojem 'phishing' oz. še bolj konkretno 'spear phishing'. Pri teh prevarah pa ne pomaga noben 2FA, saj se barabin ne bo nikoli prijavljal nekam. Vse to izvede kar tisti, ki dejansko ima vse 'faktorje', v svetem prepričanju, da počne točno to, kar njegov nadrejeni hoče od njega. V resnici pa nadrejeni o vsem tem ne ve nič....
Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D
kje piše da jih lahko objavlja in komu jih že je?
Tule in strinjal si se:
When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.
Naj uganem, kot vecina imas gor vse fotke. Heba.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.
Naj uganem, kot vecina imas gor vse fotke. Heba.
Spet se trudiš prikazat stvari izven konteksta. Brez nekega takega dogovora tehnično ni mozno uporabljat tuje infrastrukture za gostovanje. Če bi google prostovoljno delil fotke uporabnikov je to prej strel v koleno kot pa kaksna korist. Bi pa mogla bit se vseeno kaksna varovalka (zakonsko gledano).
When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.
Naj uganem, kot vecina imas gor vse fotke. Heba.
Spet se trudiš prikazat stvari izven konteksta. Brez nekega takega dogovora tehnično ni mozno uporabljat tuje infrastrukture za gostovanje. Če bi google prostovoljno delil fotke uporabnikov je to prej strel v koleno kot pa kaksna korist. Bi pa mogla bit se vseeno kaksna varovalka (zakonsko gledano).
Lol, ti pa si naivec :D :D :D "If it walks like a duck and quacks like a duck, potem je tehnicno neizvedljivo, da bi bila raca, in zagotovo so zakonske varovalke, da bi bila to raca.
Mimogrede ce google drive placas, te postavke ni.
Hvala se rece! Brez, da bi vam nalepil niti vedeli ne bi.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
Neverjetno kako dalec grejo nekateri da si ohranijo iluzijo, da je pa nek brand dobronameren :D
Seveda te iluzije delujejo tudi kontra
Nisi prebral, PREBERI! Aja tocno, sorry, je vec kot 5 vrstic. Podobno kot googlovih pogojev uporabe. Pa na prvi strani imas se en clanek o googlovemu vtikanju v osebne finance, kar zacni si izmisljevati izgovore, imas kaksne dve uri fore, preden zacnem pisat...
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
Ja, saj je shitty - je pa instant način, kako fotko pošlješ nekomu na način, ki gre mimo vse infrastrukture velikanov.
Hm, ok, sicer imam ta del urejen, dir, ki je omejen na ip range slovenskih ispjev pa fajl se brise po prvem obisku), ampak ok, bom pogledal, sem mislil, da je samo sync tool... hvala.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted
Sem zelo na hitro prebral vse skupaj, ampak na prvo žogo vidim kup jamranja o tem kako je Google začel razvijati Chona-compliant iskalnik in potem to dejstvo povezujejo s tem, da so tisti smatkeyi proizvajani na Kitajskem.
Vprašanji pa sta seveda samo dve: 1) ali je dejansko že kdo uspel najti backdoor v teh ključkih? 2) ali sta ves hardware in firmware opensourcana da se lahko prepričamo, da so ključki kosher? Ker zaradi mene so lahko proizvedeni tudi v ZDA ali v Rusiji, pa jim ne bom prav nič bolj zaupal.