Forum » Pomoč in nasveti » 2FA QR disregard
2FA QR disregard
SVGA ::
Živijo,
uporabljam eno spletno stran ki zahteva pod nujno 2FA za login. Ker nimam pametnega telefona uporabljam en programčen na računalniku da mi dešifrira QR kodo. Seveda to uniči smisel 2FA ampak jaz bi rad to stran uporabljal samo z geslom, torej 1FA.
Kar me pa malo skrbi je to, da ta programček prebere QR kodo samo če mu jo posredujem kot URL. Torej sem jo uploadal na neko javno odprto stran za shranjevanje slik. Iz QR kode lahko razberem 3 zadeve: login ime, skrivni ključ in izdajatelja (ime spletne strani).
Skrbi me torej da lahko tisti ki naleti na mojo QR kodo to poskenira in je potem vse kar ga loči samo še to da sheka moje geslo. Torej s tem načinom ki ga zdaj uporalbjam izgubim security-through-obscurity in je tako še slabše kot 1FA.
Probal sem s tem programčkom to narediti offline, ampak ne, samo če je QR koda nekje online v URL-ju jo prebere.
TLDR: Kam lahko na varno shranim QR kodo online oz. kako naj drugače zaobidem ta nujni 2FA, rad bi 1FA (geslo) in to je to.
uporabljam eno spletno stran ki zahteva pod nujno 2FA za login. Ker nimam pametnega telefona uporabljam en programčen na računalniku da mi dešifrira QR kodo. Seveda to uniči smisel 2FA ampak jaz bi rad to stran uporabljal samo z geslom, torej 1FA.
Kar me pa malo skrbi je to, da ta programček prebere QR kodo samo če mu jo posredujem kot URL. Torej sem jo uploadal na neko javno odprto stran za shranjevanje slik. Iz QR kode lahko razberem 3 zadeve: login ime, skrivni ključ in izdajatelja (ime spletne strani).
Skrbi me torej da lahko tisti ki naleti na mojo QR kodo to poskenira in je potem vse kar ga loči samo še to da sheka moje geslo. Torej s tem načinom ki ga zdaj uporalbjam izgubim security-through-obscurity in je tako še slabše kot 1FA.
Probal sem s tem programčkom to narediti offline, ampak ne, samo če je QR koda nekje online v URL-ju jo prebere.
TLDR: Kam lahko na varno shranim QR kodo online oz. kako naj drugače zaobidem ta nujni 2FA, rad bi 1FA (geslo) in to je to.
AEx_1-7 ::
Živijo,
uporabljam eno spletno stran ki zahteva pod nujno 2FA za login. Ker nimam pametnega telefona uporabljam en programčen na računalniku da mi dešifrira QR kodo. Seveda to uniči smisel 2FA ampak jaz bi rad to stran uporabljal samo z geslom, torej 1FA.
Kar me pa malo skrbi je to, da ta programček prebere QR kodo samo če mu jo posredujem kot URL. Torej sem jo uploadal na neko javno odprto stran za shranjevanje slik. Iz QR kode lahko razberem 3 zadeve: login ime, skrivni ključ in izdajatelja (ime spletne strani).
Skrbi me torej da lahko tisti ki naleti na mojo QR kodo to poskenira in je potem vse kar ga loči samo še to da sheka moje geslo. Torej s tem načinom ki ga zdaj uporalbjam izgubim security-through-obscurity in je tako še slabše kot 1FA.
Probal sem s tem programčkom to narediti offline, ampak ne, samo če je QR koda nekje online v URL-ju jo prebere.
TLDR: Kam lahko na varno shranim QR kodo online oz. kako naj drugače zaobidem ta nujni 2FA, rad bi 1FA (geslo) in to je to.
Za katero stran sploh gre? Je to taka skrivnost (sploh veste kaj dejansko pomeni StO)?
Pac rabite TOTP/2FA resitev za PC in je, zakaj bi iskali poti okoli tega, ce je pogoj je pac pogoj ... Binance, kajne?
QR koda, gotovo, ker terminologija je res na psu ... or are you just trolling?
--++ order with AESS (AE Saver Shipping/AE Standard Shipping) ++--
The word (...) originates from the Ancient Greek: élleipsis meaning 'leave out'
Zargon je soc. zvrst neknj. slov. jezika, ki ga uporabljajo ljudje iste stroke.
The word (...) originates from the Ancient Greek: élleipsis meaning 'leave out'
Zargon je soc. zvrst neknj. slov. jezika, ki ga uporabljajo ljudje iste stroke.
Zgodovina sprememb…
- spremenila: AEx_1-7 ()
_Denny_ ::
Rabiš:
WinAuth za 2FA
CodeTwo QR Code Desktop
Reader & Generator - prvi Google rezultat za offline dekodiranje iz fajla, ker zaradi paranoje ne zaupaš online toolom kot so ZXing Barcode Scanner, ki jih eni brez problema uporabljamo že 10+ let
Potem greš na stran tvojega servisa za generiranje 2FA QR kode, jo shraniš (oz. narediš screenshot in ga s Paintom obrežeš), file dekodiraš in dobiš nekaj podobnega temu:
otpauth://totp/ImeSpletneStrani?secret=ABCDEFGHIJ1234567890&issuer=ImeSpletneStrani
Od tu skopiraš čudo med "secret=" in "&", odpreš WinAuth, Add -> Authenticator, pod Name daš ime strani oz. karkoli pač hočeš, pod Secret Code prilepiš tisti niz znakov, označiš Time-based (v življenju še nikoli nisem videl counter-based in imam čisto vsepovsod 2FA kjer je možno) in daš OK. Verificirati pravilnosti žal ne moreš, ker nimaš tablice/telefona, tako, da bo pač treba ročno preizkusiti, če so generirane kode pravilne.
Potem si še na WinAuthu nastavi geslo, da se shranjen 2FA zakriptira in je to to.
WinAuth za 2FA
CodeTwo QR Code Desktop
Reader & Generator - prvi Google rezultat za offline dekodiranje iz fajla, ker zaradi paranoje ne zaupaš online toolom kot so ZXing Barcode Scanner, ki jih eni brez problema uporabljamo že 10+ let
Potem greš na stran tvojega servisa za generiranje 2FA QR kode, jo shraniš (oz. narediš screenshot in ga s Paintom obrežeš), file dekodiraš in dobiš nekaj podobnega temu:
otpauth://totp/ImeSpletneStrani?secret=ABCDEFGHIJ1234567890&issuer=ImeSpletneStrani
Od tu skopiraš čudo med "secret=" in "&", odpreš WinAuth, Add -> Authenticator, pod Name daš ime strani oz. karkoli pač hočeš, pod Secret Code prilepiš tisti niz znakov, označiš Time-based (v življenju še nikoli nisem videl counter-based in imam čisto vsepovsod 2FA kjer je možno) in daš OK. Verificirati pravilnosti žal ne moreš, ker nimaš tablice/telefona, tako, da bo pač treba ročno preizkusiti, če so generirane kode pravilne.
Potem si še na WinAuthu nastavi geslo, da se shranjen 2FA zakriptira in je to to.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400
Sindrom ::
Glejga no! Vidim, da nisem edini, ki mi gre vsiljevanje rabe (pametnih) mobilnih telefonov za dostop do spletnih strani pošteno na K.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi kliciOddelek: Novice / Varnost | 10655 (2212) | Mr.B |
| » | Samsung S21 Ultra - ne bere QR kod?Oddelek: Mobilne tehnologije | 4406 (2651) | Clone |
| » | Googlova phishing obramba na voljo tudi običajnim smrtnikomOddelek: Novice / Varnost | 10575 (7495) | poweroff |
| » | Kam shraniti gesla, certe, kljuceOddelek: Informacijska varnost | 1373 (927) | harmony |
| » | Google Authenticator - kako narediti backup?Oddelek: Pomoč in nasveti | 1356 (1217) | šajtrga |