Na wypadek utraty 2FA

Postautor: **fodo** » czwartek, 29 czerwca 2017, 14:44

A może najlepsza opcją jest jednak pin? Nie najbezpieczniejszą ale nieutrudniająca życia - chyba na polo i bittrexie nie ma takiej opcji ale na paru innych giełdach wystarczy przed kliknięciem linku z maila wpisac pin, który nie jest nigdzie przechowywany.

YouTube · Postautor: **rav3n_pl** » czwartek, 29 czerwca 2017, 14:49

Ktoś przejmie Ci maila - po zawodach.
Login/hasło to "coś co wiesz" a GA lub pochodne to "coś co masz". I na tym polega 2FA.

Postautor: **fodo** » czwartek, 29 czerwca 2017, 15:05

Ale nie zna pinu, który równocześnie łatwo zapamiętać i nie ma potrzeby trzymac nigdzie na pc.

YouTube · Postautor: **rav3n_pl** » czwartek, 29 czerwca 2017, 15:06

Ale keylogger zdejmuje Ci pin. Przy GA za każdym razem masz inne cyfry.

Postautor: **fodo** » czwartek, 13 lipca 2017, 14:18

Ale i tak chyba ten 2fa zalezy mocno od serwisu, czasami konieczne jest podanie zapasowego maila, który chyba może posłużyć do resetu 2fa i wtedy cała zabawa traci sens, bo chcemy się przecież uniezalezniać od włamów na skrzynki.

@fodo, drugi składnik (posiadanie konkretnego smartfona z apką i kluczem we własnej kieszeni) jest wymienialny na coś innego.

Postautor: **fodo** » poniedziałek, 17 lipca 2017, 12:24

The Real McCoin pisze: @fodo, drugi składnik (posiadanie konkretnego smartfona z apką i kluczem we własnej kieszeni) jest wymienialny na coś innego.

Poruszyłem ten wątek z racji na to, ze bywały przypadki wykraniada środków mimo włączonego 2fa, a w niektórych przypadkach ten 2fa może nam zrobić więcej szkody niż korzyści.

Taka opcja jaką daje wspomniany przez Ciebie btc-e.com wydaje sie lepsza - czyli okres karencji gdy jak rozumiem, konto jest zamrożone na pewien okres czasu do wyjaśnienia. Czy inne giełdy też mają podobne zabezpieczenie?

Postautor: **Kolega** » sobota, 20 stycznia 2018, 00:57

Witam
włączyłem Google Authenticator 2FA w pewnym programie HYIP.
Zeskanowałem telefonem, kod się zapisał.

Skopiowałem kod oraz zrobiłem screena kodu QR, zapisałem na pulpicie ale odświeżyłem stronę a jak wiadomo wygenerował się znowu klucz który to wpisałem oraz z tego włączyłem zabezpieczenie w programie HYIP, tego klucza nie zapisałem a konto już się zabezpieczyło.

Potem ten klucz QR co miałem zapisany na pulpicie znowu zeskanowałem telefonem a tym sposobem podmienił się w telefonie tak jak by kod QR który to miałem zapisany poprzednio a on tez zaczął generować kody do wpisywania, ale już te kody nie pasują bo są z tej pierwszej QR którą zapisałem na pulpicie.

Teraz jak chcę wyłączyć w panelu programu HYIP Enable Two-Factor Authentication to wpisuje kod wyskakuje info Incorrect verify code.

Czyli podsumowując, mam zapisany klucz oraz wydrukowany QR z pierwszego podejścia założenia Google Authenticator a po odświeżeniu strony wygenerował się inny którego nie zapisałem

Czy da się z tym coś zrobić?

Jak widać nie można się zalogować

Postautor: **pm7** » sobota, 20 stycznia 2018, 11:27

Kolega pisze: Czy da się z tym coś zrobić?

Jeżeli nie masz starego klucza, to wydaje mi się, że nic.
Sugeruję napisać do supportu, że straciłeś dostęp do 2FA i prosisz o pomoc w odzyskaniu dostępu do konta.

Dodano po 1 minucie :
Przy okazji zobaczysz, na ile zabezpiecza 2FA przed kimś, kto próbowałby przejąć konto przez podszycie się pod Ciebie

Postautor: **MD-11** » sobota, 20 stycznia 2018, 13:04

Chyba czegoś nie rozumiem. Jeśli używamy GA i stracimy dostęp do telefonu to możemy chyba zalogować się na nasze konto Google używając kodu SMS (w Google można ustawić sobie logowanie przy użyciu powiadomienia na telefonie, przy użyciu kodu z GA oraz awaryjnie przy użyciu kodu z SMS na ustawiony numer), a następnie zmienić na stronie urządzenie, na którym używamy GA. Ustawiamy nowy/inny telefon, na którym zainstalowaliśmy GA, Google wysyła klucze na ten nowy telefon i to wszystko. Po co te backupy, o których piszecie?

Postautor: **wrip** » sobota, 20 stycznia 2018, 13:06

@MD-11, bo to działa tylko dla konta google, a dla innych kont np. giełdy to nie działa. GA dla konta google jest tylko jednym z kilku zabezpieczeń (obok tego jest nr telefonu) dlatego można nadal zalogować się do konta google drugą metodą uwierzytelniania.

Dlatego trzeba zawsze robić screen kodu, który dostajemy od giełdy i go bezpiecznie przechowywać, bo usuwanie 2FA z giełdy może być bardzo upierdliwe.

Postautor: **MD-11** » sobota, 20 stycznia 2018, 19:41

Dzięki za odpowiedź. Myślałem, że Google trzyma te kody również na swoim serwerze i może je przesłać na nowy telefon, ale wychodzi na to, że rzeczywiście tak nie jest. Seed jest zapisany przykładowo tylko na serwerze Bitfinex i na naszym telefonie.

Postautor: **Kolega** » niedziela, 21 stycznia 2018, 01:09

wrip pisze: @MD-11, bo to działa tylko dla konta google, a dla innych kont np. giełdy to nie działa. GA dla konta google jest tylko jednym z kilku zabezpieczeń (obok tego jest nr telefonu) dlatego można nadal zalogować się do konta google drugą metodą uwierzytelniania.

Dokładnie tak jak napisałeś

Sprawa załatwiona

Scany paszportu lub dowodu oraz napisanie z maila na które jest zarejestrowane konto:)

Usunęli 2FA z możliwością ustawienia

Zmieniłem telefon nie mogłem się zalogować w ciągu 10 minut od wysłania zdjęcia z dowodem usunęli mi zabezpieczenie GA i mogłem nowe założyć.
Myślałem że będzie się to ciągnęło tygodniami albo będę musiał pojechać do siedziby w Katowicach a tu raz dwa i załatwione.
BitBay pełen profesjonalizm.

Profesjonalizm, czy amatorszczyzna?
W takich przypadkach trzeba myśleć nie tylko na ile wygodnie można odzyskać dostęp do konta, ale też jak trudno będzie komuś się pod nas podszyć.
Dobre zabezpieczenia giełdy powinny obejmować kilka prób zwrotnego kontaktu na oryginalnie podane dane i blokadę wypłat na jakiś czas, żeby w razie oszustwa prawdziwy właściciel miał czas na reakcję.

Wygoda i bezpieczeństwo często nie idą w parze, ale jeżeli chodzi o kryptowalutę, powinno być przesunięte w stronę bezpieczeństwa.

Fakt socjotechnika na poziomie nie zbyt wysokim a łatwo można przejąć konto