Computerworld - Dropbox je izpolnil obljubo, ki so jo dali po izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.
Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku Security (ali na posebni povezavi) vključil pošiljanje enkratne šestmestne kode na telefon, kadar se v račun prijavi nova naprava. Alternativno bo mogoče uporabiti namenske aplikacije, kot so Google Authenticator, Amazon AWS MFA ali Authenticator za Windows Phone, ki opravljajo enako funkcijo. Applovi uporabniki bodo lahko izbrali OATH.
Da bi preprečili izgubo dostopa, bodo uporabniki dobili 16-mestno varnostno geslo, ki bo omogočilo spremembo telefonske številke ali ponastavitev namenskih aplikacij. Dropbox trenutno to možnost razvija dalje, tako da bo kmalu mogoče računalnik, ki je prijavljen v Dropbox, odstraniti s seznama zaupanja vrednih naprav (untrust). Za naslednjo prijavo s tega računalnika bo potrebno zopet pridobiti SMS-kodo. Odzivi uporabnikov so načeloma pozitivni.
Novice » Varnost » Dropbox dobil dvostopenjsko avtentifikacijo
RejZoR ::
Čeprav ima tud ta dvostopenska avtentikacija en velik flaw pri Googlu. Sistem, ki je že avtenticiran je dost samo da veš geslo in že lahko spremeniš mobilno številko, geslo, you name it.
Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji.
Me prav zanima kako ima Dropbox to narejeno...
Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji.
Me prav zanima kako ima Dropbox to narejeno...
Angry Sheep Blog @ www.rejzor.com
carota ::
Čeprav ima tud ta dvostopenska avtentikacija en velik flaw pri Googlu. Sistem, ki je že avtenticiran je dost samo da veš geslo in že lahko spremeniš mobilno številko, geslo, you name it.
Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji.
Me prav zanima kako ima Dropbox to narejeno...
Torej je že dovolj, da ti pove geslo in ti dodeli pravice za remote dostop do računalnika in že mu lahko account izmakneš. Če mu rečeš še, da ti še SMS od Googla forwarda pa se lahko še na svoji mašini logiraš. Velik flaw.
RejZoR ::
Kar zajbavajte se ampak ne razumete, da vsak sistem do katerega lahko fizično pristopiš in je že avtenticiran lahko veselo spreminjaš kritične login podatke in to je ogromen flaw by design. Sploh ker večina browserjev shranjuje gesla in ker bodimo iskreni večina ima shranjene zaradi praktičnosti.
Remote pa bi se dajal izvajat s črvi in boti, preverjat cookije če user uporablja Google storitve in ostale nečednosti pa tud ne morejo bit prevelika ovira.
Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.
Remote pa bi se dajal izvajat s črvi in boti, preverjat cookije če user uporablja Google storitve in ostale nečednosti pa tud ne morejo bit prevelika ovira.
Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.
Angry Sheep Blog @ www.rejzor.com
WarpedGone ::
Največja varnostni design-flaw je za uporabnika težak način avtentikacije.
Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.
Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.
Pin + časovno spremenljivo geslo sta dober pristop.
Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.
Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.
Pin + časovno spremenljivo geslo sta dober pristop.
Zbogom in hvala za vse ribe
ozbolt ::
WarpedGone je izjavil:
Pin + časovno spremenljivo geslo sta dober pristop.
Misliš to škatlico?
Ker potem je ta sistem zelo podoben, le da se zamenja:
bančna kartica -> sim kartica
pin -> username + password
škatlica -> telefon
časovno spremenljivo geslo -> časovno spremenljivo geslo
RejZoR ::
WarpedGone je izjavil:
Največja varnostni design-flaw je za uporabnika težak način avtentikacije.
Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.
Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.
Pin + časovno spremenljivo geslo sta dober pristop.
To ni čist res. Googlov sistem je bil na samem začetku totalno idiotski. Ampak zdej je razen omenjenega flawa povsem uporabna zadeva. Vneseš geslo in dobiš na telefon 6 mestno one time kodo. Vneseš v polje in to je to. Lažje že skor težko narediš.
Angry Sheep Blog @ www.rejzor.com
dmok ::
techfreak :) ::
@dmok: Kaj če nekdo pride nad tabo s kijem za baseball?
Zgodovina sprememb…
- spremenil: techfreak :) ()
WarpedGone ::
Mu poveš/vpišeš 'napačno' geslo, ki brez videnga alarma o nasilnem vstopu obvesti temu namenjene službe.
Zbogom in hvala za vse ribe
Jst ::
>Kaj če nekdo pride nad tabo s kijem za baseball?
Kaj vi nimate zraven mize, kjer imate računalnik, sekiro??
Kaj vi nimate zraven mize, kjer imate računalnik, sekiro??
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
CaqKa ::
pepper spray :>
nevem no.. jaz nimam tolk hudih podatkov na dropboxu da bi se sekiral za tolko varnosti...
nevem no.. jaz nimam tolk hudih podatkov na dropboxu da bi se sekiral za tolko varnosti...
dmok ::
techfreak :) je izjavil:
@dmok: Kaj če nekdo pride nad tabo s kijem za baseball?
Ne vem če razumem tvojo pripombo, jaz sem odgovarjal na trditev RejZoR-ja, da je varnostna luknja, če lahko spremeniš telefonsko številko brez SMS potrditve. Ponavadi tisti, ki telefon izgubi ali mu ga ukradejo težko sprejema SMSje na ukradeno/izgubljeno številko.
d.
techfreak :) ::
Tvoje sporočilo sem razumel kot da tudi telefon ne poveča varnosti, ker ti ga lahko nekdo ukrade.
Imaš pa prav glede tega, da si brez telefona potem v težavah. Se mi je že zgodilo pri Battle.net, da jim servis za pošiljanje SMSov ni deloval in nisem mogel uporabljati računa.
Imaš pa prav glede tega, da si brez telefona potem v težavah. Se mi je že zgodilo pri Battle.net, da jim servis za pošiljanje SMSov ni deloval in nisem mogel uporabljati računa.
Zgodovina sprememb…
- spremenil: techfreak :) ()
RejZoR ::
Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.
In če telefon izgubiš ali pa ti ga ukradejo ?
d.
Deavtorizacija aparata in rezervne one time kode, ki jih dobiš ob vklopu 2 step avtentikacije.
Angry Sheep Blog @ www.rejzor.com
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 47950 (34369) | Pero_SLO |
» | Vdor v gmail nujno prosim pomočOddelek: Omrežja in internet | 10442 (7894) | Phantomeye |
» | Twitter dobiva izboljšane varnostne ukrepeOddelek: Novice / Varnost | 3612 (3100) | Mavrik |
» | Dropbox dobil dvostopenjsko avtentifikacijoOddelek: Novice / Varnost | 6461 (5298) | RejZoR |
» | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14847 (13746) | poweroff |