» »

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Slo-Tech - Pravzaprav priporočilo za nobenega poznavalca mobilnih omrežij ne bi smelo biti presenečenje, a vseeno malokdo tako neposredno pove, kot je to storil Alex Weinert, ki je v Microsoftu vodja programa Identity Security. V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

MFA je učinkovita zaščita. Microsoft ocenjuje, da se z uporabo MFA prepreči 99,9 odstotka avtomatiziranih napadov, kar je Weinart ocenjeval v blogu že julija lani. Po drugi strani so izključno gesla v večini primerov slab način zaščite identitet. Kaj je torej narobe z MFA prek mobilnih telefonov?

Mobilna omrežja so bila zgrajena v nekem drugem času, zaradi zagotavljanja združljivosti in enostavnosti uporabe pa še danes v njih mrgoli ranljivosti. Napad na protokol SS7, FEMTOcelice in drugi načini prestrezanja pomenijo, da telefonska števila ni varen in unikatni identifikator. Če ne drugega, je možno dostop dobiti s prenosom številke na drugo kartico SIM (SIM swapping), kjer gre v bistvu za socialni inženiring. K temu lahko dodamo še nezanesljivost telefonov, saj se kvarijo, kradejo ali preprosto spraznijo (baterije). S povečanjem uporabe MFA, se bo še povečala motivacija hekerjev za razbitje enostavnejših metod MFA.

Weinert zato priporoča druge načine MFA. Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator, Cisco Duo Mobile in drugi, ali pa strojne.

46 komentarjev

LeQuack ::

Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator

Ja seveda, da si potem namesto od telefona odvisen od accounta na Microsoft in Google. How convenient.
Quack !

darkolord ::

LeQuack je izjavil:

Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator

Ja seveda, da si potem namesto od telefona odvisen od accounta na Microsoft in Google. How convenient.
Al se ti ne sanja, kako zadeva deluje, ane?

Nobenega accounta ne rabiš, offline je.
spamtrap@hokej.si
spamtrap@gettymobile.si

vostok_1 ::

@novica
Ma nemoj.
Pobodna neumnost kot bančne applikacije.

Kaj ti pomaga varna bančna applikacija, če pa maš mobi poln malwarea.
There will be chutes!
It came from the lab.
You are the Baddie.

HotBurek ::

Promocija app lockdown-a. Še korona šajse je manjše zlo.

Zakaj ni več aktivnosti na področju iskanja host-ov (in blokiranje le-teh), ki se uporabljajo za hekanje?


Pač ta honej ponej; daš strežnik na public in v 15 minutah ti sekajo po portu 22. Analiza na večih točkih (različni ISP-ji, različne države) in potem blokiranje recimo na ravi EU ISP-jev.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

hunter01 ::

Novica se lepo ujema z našimi bankami, ki opuščajo uporabo certifikatov in prehajajo na 2FA ravno s pomočjo SMS-ov na telefone in pa fiksno 6 mestnimi številčnimi gesli - bravo naši!

Spura ::

darkolord je izjavil:

LeQuack je izjavil:

Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator

Ja seveda, da si potem namesto od telefona odvisen od accounta na Microsoft in Google. How convenient.
Al se ti ne sanja, kako zadeva deluje, ane?

Nobenega accounta ne rabiš, offline je.

Zgubis telefon (oziroma device kjer je google authenticator instaliran) in je konec. Zato ne uporabljam tega trasha. Microsoftov je tudi trash.

Nikonja ::

Se vidi da nimaš pojma o čem govoriš ker se nič ne zgodi če zgubiš telefon, pač od tebe samo zahteva da se logiraš z normalnimi podatki in na novo nastaviš authenticator na mobiju. Naredil že večkrat (vsakič ko zamenjam telefon).
Tko da jutri vzemi kar modro tableto, rdeča ti škodi !

Spura ::

Nazadnje ko sem uporabljal ta Google Authenticator ni bilo moznosti prenosa teh kod. To je bilo 2018. Takrat sem porabil veliko casa s tem da bi skopiral kolegu da bi imela oba kode za dostop do istega admin racuna na eni storitvi in nikakor ni blo mozno, razen da bi oba fizicno poskenirala isto QR kodo ko se je 2FA nastavljal. Tudi danes ti ne pokaze izvornega kljuca za generiranje kode. Trash pac. Sej vem da ti nimas pojma zakaj bi kdo rabil izvorni key material.

Zgodovina sprememb…

  • spremenil: Spura ()

srus ::

Aha, to je bil razlog, da je Abanka pred kratkim, ko jo je pohopsala NKBM, zahtevala da na Abanet ob uporabi SMS MFA spremenim svoje geslo. Geslo mora biti po novem točno dolžine štirih znakov in vsi morajo biti številke. Verjetno zato, ker se zavedajo pomanjkljivosti MFA.

/ sarkazem off

kixs ::

Pri DH banki imas osebno geslo, potem je certifikat in se SMS zeton.

Ker se ze dolgo nisem prijavil, vidim obvestilo:

"Hranilnica postopno uvaja novo prijavno metodo, to je prijava z digitalno identiteto oziroma e-identiteto Rekono."

Hmmm, nekaj novega...

Ales ::

HotBurek je izjavil:

Pač ta honej ponej; daš strežnik na public in v 15 minutah ti sekajo po portu 22. Analiza na večih točkih (različni ISP-ji, različne države) in potem blokiranje recimo na ravi EU ISP-jev.

Na nivoju ISP-jev bi to bila zelo slaba ideja. Napadalci v zelo kratkem času menjajo IP-je in vse kar bi dosegel je, da naslednjemu legitimnemu uporabniku IP-ja nič ne dela. Napadalec je pa medtem zamenjal že 10 IP-jev.

Podoben pristop imajo antispam liste IP-jev. Zaradi frustracij zaradi neučinkovitosti tega pristopa se je dosti njih spomnilo blokirati kar cele subnete... ;((

V glavnem, osnovna težava je kako na hiter in učinkovit način najti kateri IP blokirati in katerega potem tudi hitro odblokirati. V praksi ni ravno rožnato.

Kakorkoli, imaš take liste na voljo, tako za spam kot za razne druge poskuse. Lahko sam implementiraš, pa boš hitro videl...

Mr.B ::

vostok_1 je izjavil:

@novica
Ma nemoj.
Pobodna neumnost kot bančne applikacije.

Kaj ti pomaga varna bančna applikacija, če pa maš mobi poln malwarea.

Se en, ki ne ve kako bancne aplikacije delajo.
Voljeno telo ogledalo volilnega telesa.

Dami ::

Spura je izjavil:

Nazadnje ko sem uporabljal ta Google Authenticator ni bilo moznosti prenosa teh kod. To je bilo 2018. Takrat sem porabil veliko casa s tem da bi skopiral kolegu da bi imela oba kode za dostop do istega admin racuna na eni storitvi in nikakor ni blo mozno, razen da bi oba fizicno poskenirala isto QR kodo ko se je 2FA nastavljal. Tudi danes ti ne pokaze izvornega kljuca za generiranje kode. Trash pac. Sej vem da ti nimas pojma zakaj bi kdo rabil izvorni key material.

Letos so na GA dodali prenos iz enega telefona na drugega (ob tem še vedno stari deluje). Ti generira QR kodo, na novem poskeniraš in je urejeno. Nima pa možnosti backupa v cloudu, če zgubiš telefon, medtem k MSA ga ima.
Don't worry about me. The bleeding is just the begining of a healing process.

bbf ::

Ne razumem, kako naj bi tak napad potekal?

Matthai ::

Zadeva deluje podobno kot RSA Secure ID ključki. Samo da je programsko rešeno, ne fizično.

Če se zraven uporablja še certifikat in navadno geslo, je tole zelo dobra metoda.

Vsekakor pa svetlobna leta pred tem, kar se je uporabljalo včasih (in se še vedno kje) - vnos 3-mestne CVV kode in si "zmagal"...
All those moments will be lost in time, like tears in rain...
Time to die.

BigBoss ::

Kako lepo piše: "nezanesljivost telefonov, saj se kvarijo, kradejo ali preprosto spraznijo (baterije)." ....
"zato priporoča druge načine MFA. Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator, Cisco Duo Mobile in drugi,"

Hm. A aplikacija pa pri okvari, spraznitvi telefona, kraji .... pa ni prizadeta ?

A-242 ::

Kot pravilo: ce firma uporablja namesto TOTP generatorja SMS sporocila, potem gre za pokvarjeno firmo, ki se je hocete izogibati. Najdite alternativo storitvi, ki jo opravlja. Vec spodaj.

Cisto v razmislek, firma vzame pam module ali knjiznico in jo uporabi in objavi link na enega od totp generatorjev. Namesto tega grejo raje posiljati SMSe, kjer morajo spet uporabiti nek "one time" algoritem, enako implamenitrati nek nacin prijave z njim, ampak si naredijo se strosek posiljanja SMSov. Malo cudno mar ne, le kaj imajo od tega?

LeQuack je izjavil:

Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator

Ja seveda, da si potem namesto od telefona odvisen od accounta na Microsoft in Google. How convenient.


Neumnost. Google authenticator je samo implementacija TOTP algoritma, ki je znan ze leta (razen za googlove fanboye, ki mislijo da je nekaj novega, saj ven iz njihovega ekosistema ne vidijo... shadowx se mi zdi) preden so ga zaceli propagirati, verjetno je enako kot pri Microsoftu in open source aplikacij za generiranje time based kode je miljauznt.

Opis TOTP: Time-based One-time Password algorithm @ Wikipedia
Android client: https://f-droid.org/en/packages/com.git...

Initiative for Open Authentication @ Wikipedia (OATH)
Server side PAM modul in generator: https://www.nongnu.org/oath-toolkit/

Zadeve ni tezko implementirati pri sebi, dejansko ze leta varujem server preko tega. In ogibajte se googlovega softwara kjer ni treba, od telefona do serverja.

---

Telefonske authentikacije se pa znebite, ker vam preko tega sledijo, ni varna razen tega je pa nateg, da jim podate osebno informacijo, ki jo tezko zamenjate, pa se preko GDPRa so varni, ker jo potrebujejo za vaso varnost, ceprav je dejansko ne potrebujejo.
The world has enough for everyone's needs, but not everyone's greed.
- Mahatma Gandhi

Zgodovina sprememb…

  • spremenilo: A-242 ()

UganiKdo ::

BigBoss je izjavil:

Kako lepo piše: "nezanesljivost telefonov, saj se kvarijo, kradejo ali preprosto spraznijo (baterije)." ....
"zato priporoča druge načine MFA. Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator, Cisco Duo Mobile in drugi,"

Hm. A aplikacija pa pri okvari, spraznitvi telefona, kraji .... pa ni prizadeta ?


Odvisno od aplikacije. Recimo authy omogoca tako backup kot delovanje na vec aparatih hkrati.

Telefonske authentikacije se pa znebite, ker vam preko tega sledijo,
kako tocno pa to po tvoje izgleda?

Zgodovina sprememb…

  • spremenil: UganiKdo ()

A-242 ::

UganiKdo je izjavil:

Telefonske authentikacije se pa znebite, ker vam preko tega sledijo,
kako tocno pa to po tvoje izgleda?


Kjerkoli telefonsko objavljas konca zdruzena s tvojimi ostalimi podatki, ki si jih izmenjavajo, prodajajo itd., s tem, da je telefonska bolj zanesljiv vir identifikacije, da gre za isto osebo kot karkoli drugega, povsod jo uporabljas, povezana je z telefonom, kjer ti spet kradejo informacije, in hudo sitno jo je zamenjat, precej bolj kot email.

Se enkrat. One time authentikacijo je hudo preprosto za implementirat, ZAKAJ bi si sel delat tezave in jo posiljal preko smsa? Ni enega pametnega razloga, da bi zaradi varnosti uvedel SMS, ne rabis dodatnega kanala za to - ampak ocitno so dolocene firme sle v dodatne nepotrebne stroske. Zakaj mislis?
The world has enough for everyone's needs, but not everyone's greed.
- Mahatma Gandhi

Zgodovina sprememb…

  • spremenilo: A-242 ()

UganiKdo ::

Glede na to, da praviloma imajo banke telefonsko neodvisno od sms atentifikacije, je to precej zgrešena logika. Se pa strinjam, da številni ponudniki to z veseljem zloralbjajo, če jim daš možnost.

Matthai ::

Ker so nesposobne?
All those moments will be lost in time, like tears in rain...
Time to die.

c3p0 ::

NKBM ima za poslovne stranke 2FA app, ne gre preko SMS.

Authy je še en 2FA app, uporaben namesto google auth. Slednji je res beden, saj kode lahko preneseš le tako, da rootaš telefon.

Karen ::

K A-242: tudi SMS avtentifikacija zahteva ene 20 vrstic kode, če smo iskreni. To je tudi razlog za široko uporabo, in povsod dela (tudi na nepametnih telefonih), čeprav SMSi stanejo. Tako da ni vse enoznačno. Se pa strinjam da TOTP avtentifikacija tudi ni bavbav. Tukaj so drugi (non-security) related problemi v igri: dokler imaš ti to zase in za svoj server sploh ni opcije da bi delal SMS avtentifikacijo (že cenovno se ti ne splača), GA notri vržeš (ali katerikoli totp) pa je. Ko pa imaš 100.000 komitentov ki morajo ali dobiti SMS in ga vtipkati ali pa morajo namestiti aplikacijo na 3000 različnih blagovnih znamk telefonov, nekaj "inštalirati", "zgenerirati", "sinhronizirati"..., pa da ti to še vse "pohelpdesk-aš" - ja, potem vzameš SMS rešitev.:(. Torej varnostno to sploh ni vprašanje, praktičnost je pa druga. Poskusi "pohekat" random uporabnika banke, kjer imaš recimo njegovo uporabniško ime in statično geslo poskenirano s keyloggerjem reciva, nimaš pa njegovega telefona. Tveganje uporabe SMS avtentifikacije je, milorečeno, glede na verjetnost zlorabe, že za nivo bank povsem sprejemljivo. Mogoče ni za tajne podatke, pa za remote dostop za managiranje strežnikov, ampak tam se SMSi itak ne uporabljajo.

pivmik ::

En odličen odprtokodni OTP/2FA app (ki je popolnoma kompatibilen z MS/Google Authenticator) je:

Aegis Authenticator

- Ima kategorije/labels,
- skrivanje OTP (reveal-on-tap - boljša preglednost ko prepisuješ kodo da vidiš le kodo ki ti rabi, ne vseh),
- storage appa je šifriran (s poljubnim passwordom ali biometrics)
- Batch QR export/import (GoogleAuthenticator compatible + en kup drugih),
- za rootane phone tudi direkt import GoogleAuthenticator DB.
- dobiš ga tudi na F-Droid store
- source koda na voljo na githubu

 Aegis Authenticator dark modes

Aegis Authenticator dark modes

LP, Gregor GRE^

A-242 ::

Karen je izjavil:

K A-242: tudi SMS avtentifikacija zahteva ene 20 vrstic kode, če smo iskreni. To je tudi razlog za široko uporabo, in povsod dela (tudi na nepametnih telefonih), čeprav SMSi stanejo. Tako da ni vse enoznačno. Se pa strinjam da TOTP avtentifikacija tudi ni bavbav. Tukaj so drugi (non-security) related problemi v igri: dokler imaš ti to zase in za svoj server sploh ni opcije da bi delal SMS avtentifikacijo (že cenovno se ti ne splača), GA notri vržeš (ali katerikoli totp) pa je. Ko pa imaš 100.000 komitentov ki morajo ali dobiti SMS in ga vtipkati ali pa morajo namestiti aplikacijo na 3000 različnih blagovnih znamk telefonov, nekaj "inštalirati", "zgenerirati", "sinhronizirati"..., pa da ti to še vse "pohelpdesk-aš" - ja, potem vzameš SMS rešitev.:(. Torej varnostno to sploh ni vprašanje, praktičnost je pa druga. Poskusi "pohekat" random uporabnika banke, kjer imaš recimo njegovo uporabniško ime in statično geslo poskenirano s keyloggerjem reciva, nimaš pa njegovega telefona. Tveganje uporabe SMS avtentifikacije je, milorečeno, glede na verjetnost zlorabe, že za nivo bank povsem sprejemljivo. Mogoče ni za tajne podatke, pa za remote dostop za managiranje strežnikov, ampak tam se SMSi itak ne uporabljajo.


No jaz trdim, da je prirocnost tule pri vecini straneh zlorabljena, sploh tam kjer je to kot alternativni nacin. In zanimivo, da SMSe uporabljajo ravno najbolj sluzaste strani.

Glede varnosti ti bo pa Matthai povedal, sicer sem s SDR ze lovil signale naokrog mene, nisem se pa dosti poglabljal kaj se se da, ker preprosto nimam casa za vse.
The world has enough for everyone's needs, but not everyone's greed.
- Mahatma Gandhi

Zgodovina sprememb…

  • spremenilo: A-242 ()

gruntfürmich ::

Spura je izjavil:

Nazadnje ko sem uporabljal ta Google Authenticator ni bilo moznosti prenosa teh kod. To je bilo 2018. Takrat sem porabil veliko casa s tem da bi skopiral kolegu da bi imela oba kode za dostop do istega admin racuna na eni storitvi in nikakor ni blo mozno, razen da bi oba fizicno poskenirala isto QR kodo ko se je 2FA nastavljal. Tudi danes ti ne pokaze izvornega kljuca za generiranje kode. Trash pac. Sej vem da ti nimas pojma zakaj bi kdo rabil izvorni key material.

na VSEH kripto straneh je bila narisana koda ter tudi napisana. sam imam shranjeno samo znakovno kodo.
zato ne verjamem da kode ne moreš vpisat v 2 različna telefona naenkrat.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Zgodovina sprememb…

c3p0 ::

Seveda jo lahko, kar poskeniraš ponavadi v obliki QR kode ja ravno ta daljši "master key", iz katerega se generirajo time based OTP-ji. Če imaš to, lahko imaš n devices.

BigBoss ::

OKej. Vseeno mi ni jasno, zakaj kar vsepovprek odsvetovati OTP gesla prejeta preko SMS.
Zloraba nekega gesla, ki ga dobiš preko SMS in velja recimo 5 minut v točno določeni https seji zahteva velik finančni vložek.
1. prestrezanje seje (recimo vsaj nek precej sofisticiran man in the middle attack)
2. prestrezanje SMS-a (kloniranje kartice, prisluškovanje prometa i.pd.)
In to istočasno!!

Glede na to, da se napadi (če so napadalci kolikor toiko pri sebi) izvajajo samo v primeru, da je dobiček (precej) večji od vložka v napad, bi rekel, da je odsvetovanje uporabe kar vsepovprek nesmiselno.

Reče se : Uporabljajte za avtentikacijo v storitve, ki vam ne bodo povzročile več kot toliko in toliko škode ...
Ne pa : Tole je nevarno. Vsak, ki ima pet minut časa, se bo prijavil v vašem imenu ...

darkolord ::

 Actual actual reality: nobody cares about his secrets.  (Also, I would be hard-pressed to find that wrench for $5.)

Actual actual reality: nobody cares about his secrets. (Also, I would be hard-pressed to find that wrench for $5.)

spamtrap@hokej.si
spamtrap@gettymobile.si

Mavrik ::

BigBoss je izjavil:

OKej. Vseeno mi ni jasno, zakaj kar vsepovprek odsvetovati OTP gesla prejeta preko SMS.


Število kraj (bančnih) računov s krajo SIM kartice se v ZDA povečuje: https://www.theguardian.com/money/2020/...

Prej ali slej bo to prišlo tudi k nam - praznjenje bančnega računa večinoma kar odtehta vložek. Gre pa se večinoma manj za krajo sej kot (še vedno zelo pogosti) socialni inženiring. Npr. prepričevanje znancev pri operaterjih da izdajo kloniran SIM.
The truth is rarely pure and never simple.

BigBoss ::

BigBoss je izjavil:

Gre pa se večinoma manj za krajo sej kot (še vedno zelo pogosti) socialni inženiring. Npr. prepričevanje znancev pri operaterjih da izdajo kloniran SIM.


1. Reče se : Gre večinoma za ... Ne pa : Gre pa se večinoma za .... (vsaj mene to krneki kao slovensko izrazoslovje moti ...)
2. potrebno je OBOJE. Tako kraja seje (ker OTP velja samo v eni seji) ali krajo PIN-a (prvega dela gesla) TER HKRATI kloniranje SIM-a/socialni inženirnig.

HKRATI. To vseeno ni tako enostavno.

UganiKdo ::

Predvsem pa je ze v uvodnem clanku jasno povedano se tako slaba implementacija MFA je boljse kot ce jo ni.

kixs ::

BigBoss je izjavil:

BigBoss je izjavil:

Gre pa se večinoma manj za krajo sej kot (še vedno zelo pogosti) socialni inženiring. Npr. prepričevanje znancev pri operaterjih da izdajo kloniran SIM.


1. Reče se : Gre večinoma za ... Ne pa : Gre pa se večinoma za .... (vsaj mene to krneki kao slovensko izrazoslovje moti ...)
2. potrebno je OBOJE. Tako kraja seje (ker OTP velja samo v eni seji) ali krajo PIN-a (prvega dela gesla) TER HKRATI kloniranje SIM-a/socialni inženirnig.

HKRATI. To vseeno ni tako enostavno.


Pa se certifikat mora imet - govorim za DH. Se zdalec ni tole enostavno shekat.

Gre samo za povecat dobicek... SMS-i kostajo, ceprav nekaj stroskov nosis sam. Po novem bo potrebno imeti aplikacijo za mobilno banko - to moras spet placat. Se dobro, da je N26...

Lonsarg ::

Spura je izjavil:

Nazadnje ko sem uporabljal ta Google Authenticator ni bilo moznosti prenosa teh kod. To je bilo 2018. Takrat sem porabil veliko casa s tem da bi skopiral kolegu da bi imela oba kode za dostop do istega admin racuna na eni storitvi in nikakor ni blo mozno, razen da bi oba fizicno poskenirala isto QR kodo ko se je 2FA nastavljal. Tudi danes ti ne pokaze izvornega kljuca za generiranje kode. Trash pac. Sej vem da ti nimas pojma zakaj bi kdo rabil izvorni key material.
Jaz že 5 let lepo prenašam 2FA od google med napravami. Ne vem z čim si ti takrat izgubljal čas ker vse kar bi rabil je da si ob generiranju sam ta key nekam daš.

SeMiNeSanja ::

Lonsarg je izjavil:

Spura je izjavil:

Nazadnje ko sem uporabljal ta Google Authenticator ni bilo moznosti prenosa teh kod. To je bilo 2018. Takrat sem porabil veliko casa s tem da bi skopiral kolegu da bi imela oba kode za dostop do istega admin racuna na eni storitvi in nikakor ni blo mozno, razen da bi oba fizicno poskenirala isto QR kodo ko se je 2FA nastavljal. Tudi danes ti ne pokaze izvornega kljuca za generiranje kode. Trash pac. Sej vem da ti nimas pojma zakaj bi kdo rabil izvorni key material.
Jaz že 5 let lepo prenašam 2FA od google med napravami. Ne vem z čim si ti takrat izgubljal čas ker vse kar bi rabil je da si ob generiranju sam ta key nekam daš.

Namesto Google uporabiš AuthPoint avtentikator - ta ima direktno v avtentikatorju možnost "Back Up 3rd Party Tokens"

Google avtentikator je bolj 'prove of concept' - toliko, da so pokazali, kako stvar deluje. Številni drugi proizvajalci pa so ta koncept nadgradili s svojimi idejami.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Master_Yoda ::

Jaz uporabljam odprtokodni andOTP. Lahko naredis tudi enkriptirani backup kod.
FDroid GPlay
Dovie'andi se tovya sagain.

WhiteAngel ::

Spura je izjavil:

darkolord je izjavil:

LeQuack je izjavil:

Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator

Ja seveda, da si potem namesto od telefona odvisen od accounta na Microsoft in Google. How convenient.
Al se ti ne sanja, kako zadeva deluje, ane?

Nobenega accounta ne rabiš, offline je.

Zgubis telefon (oziroma device kjer je google authenticator instaliran) in je konec. Zato ne uporabljam tega trasha. Microsoftov je tudi trash.


Huh? Google Auth je čisto enostavna implementacija TOTP protokola. Ob inicializaciji dobiš ključ, ki nato generira časovno omejene žetone. Ključ valda arhiviraš tudi nekam na varno 8-O

SeMiNeSanja ::

WhiteAngel je izjavil:


Huh? Google Auth je čisto enostavna implementacija TOTP protokola. Ob inicializaciji dobiš ključ, ki nato generira časovno omejene žetone. Ključ valda arhiviraš tudi nekam na varno 8-O

Ljudje tudi ne arhivirajo certifikatov - tako tudi ni presenečenje, da si ne arhivirajo teh ključev.

A kakorkoli že, sem prepričan, da še vedno lahko generiraš nov key, če ti npr. ukradejo telefon - preko procedure za pozabljeno geslo - preko alternativnega mailboxa...
Vsak tak postopek mora imeti 'izhod v sili' - če ga uporabnik ne pozna, to še ne pomeni, da ne obstaja.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Poldi112 ::

UganiKdo je izjavil:

Predvsem pa je ze v uvodnem clanku jasno povedano se tako slaba implementacija MFA je boljse kot ce jo ni.


Ti pa niti do 2. stavka novice nisi prilezel, da take oslarije stresaš?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

UganiKdo ::

kater del napisanega pa tebi revezu ni jasen, da take oslarije streljas?

V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

slitkx ::

Authy (Desktop).

MrStein ::

Ales je izjavil:

HotBurek je izjavil:

Pač ta honej ponej; daš strežnik na public in v 15 minutah ti sekajo po portu 22. Analiza na večih točkih (različni ISP-ji, različne države) in potem blokiranje recimo na ravi EU ISP-jev.

Na nivoju ISP-jev bi to bila zelo slaba ideja. Napadalci v zelo kratkem času menjajo IP-je in vse kar bi dosegel je, da naslednjemu legitimnemu uporabniku IP-ja nič ne dela. Napadalec je pa medtem zamenjal že 10 IP-jev.

Podoben pristop imajo antispam liste IP-jev. Zaradi frustracij zaradi neučinkovitosti tega pristopa se je dosti njih spomnilo blokirati kar cele subnete... ;((

V glavnem, osnovna težava je kako na hiter in učinkovit način najti kateri IP blokirati in katerega potem tudi hitro odblokirati. V praksi ni ravno rožnato.

Kakorkoli, imaš take liste na voljo, tako za spam kot za razne druge poskuse. Lahko sam implementiraš, pa boš hitro videl...

Host based security is no security.
To je tako stara modrost, da se je zgleda vmes pozabila.

host = mrežni naslov, po domače i-pe
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Matthai je izjavil:

Ker so nesposobne?

Don't attribute to malice...

Razen tega je Karen lepo opisal(a) prednosti SMS.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

SeMiNeSanja je izjavil:



Google avtentikator je bolj 'prove of concept' - toliko, da so pokazali, kako stvar deluje. Številni drugi proizvajalci pa so ta koncept nadgradili s svojimi idejami.

Preverjeno varnimi idejami ali tako kot Ubuntu v sosednji novici? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

Mavrik je izjavil:

Prej ali slej bo to prišlo tudi k nam - praznjenje bančnega računa večinoma kar odtehta vložek. Gre pa se večinoma manj za krajo sej kot (še vedno zelo pogosti) socialni inženiring. Npr. prepričevanje znancev pri operaterjih da izdajo kloniran SIM.

V ZDA je to precej drugače. Pri nas ne moreš kar prenesti SIM kartice h drugemu operaterju z enim telefonskim klicem.

Plus, telefoni te danes silijo h temu, da jih imaš zaklenjene s PIN-om. Poleg tega imajo naše banke precej boljše varnostne mehanizme kot marsikatera banka v ZDA. Da ne govorim o bankomatih.
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

MrStein je izjavil:

SeMiNeSanja je izjavil:



Google avtentikator je bolj 'prove of concept' - toliko, da so pokazali, kako stvar deluje. Številni drugi proizvajalci pa so ta koncept nadgradili s svojimi idejami.

Preverjeno varnimi idejami ali tako kot Ubuntu v sosednji novici? ;)

Ali pa razni avtentikacijski napadi na iOS, ta zadnji Microsoftov fail, ki ga je razkril googelj, itd...
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Oddelek: Novice / Varnost
463704 (730) Matthai
»

YubiKey in 2nd Factor Authentication

Oddelek: Informacijska varnost
351812 (741) techfreak :)
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
708521 (4840) SeMiNeSanja
»

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Oddelek: Novice / Varnost
183929 (1657) Matthai
»

SI-CERT 2017-04 / Okužbe z izsiljevalskimi virusi preko storitev za oddaljen dostop

Oddelek: Omrežja in internet
394399 (2821) SeMiNeSanja

Več podobnih tem