Google Authenticator

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13106
Rejestracja: 16 kwietnia 2012
Reputacja: 1861
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Re: Google Authenticator

Postautor: rav3n_pl » piątek, 19 stycznia 2018, 02:08

Jak jakiś niepełnosprytny user zrobi backup i zapisze go na fonie...
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.18.1

Orator
Posty: 723
Rejestracja: 6 grudnia 2013
Reputacja: 38
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Google Authenticator

Postautor: jacek1973 » piątek, 19 stycznia 2018, 08:04

Mając root w takim razie narażamy się na możliwość skopiowania danych. Czyli bezpiecznie zrobić kopię i unroot. Do tej pory sądziłem , że GA jest nie do ruszenia.

Pomocy! Jestem lamerem i nie wiem jak wyłączyc podpis w Tapatalku. Proszę o instrukcję na PW. SM-G925F przy użyciu Tapatalka

m.m
Początkujący
Posty: 960
Rejestracja: 25 grudnia 2017
Reputacja: -21
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: m.m » środa, 24 stycznia 2018, 14:17

dzisiaj root, jutro jakaś aplikacja (albo już jest tylko o niej nie wiemy). Dla szaraków którzy nie potrafią opanować własnych telefonów zabezpieczanie na poziomie placebo +1

a jak łatwo stracić dostęp do konta..

Początkujący
Posty: 3
Rejestracja: 27 sierpnia 2019
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: kobagow » wtorek, 27 sierpnia 2019, 03:02

Podłączę się pod temat. Próbuję zrozumieć, jak dokładnie działa ten cały GA. I tu pojawiają się moje pytania:

1. Czy konto z którego pobieramy GA (za pomocą aplikacji Google Play) musi być przypisane dokładnie do tego samego adresu e-mail, którego używamy na giełdzie kryptowalut czy mogą to być dwa zupełnie różne od siebie adresy?

2. GA rozpoznaje nas po adresie e-mail?

3. Jak wygląda logowanie do GA?

4. Skąd GA wie, że my to my?

Weteran
Posty: 1031
Rejestracja: 18 września 2016
Reputacja: 184
Reputacja postu: 
2
Napiwki za post: 0 BTC
Napiwki: https://tippin.me/@c_witold

Google Authenticator

Postautor: WitoldC » wtorek, 27 sierpnia 2019, 06:15

GA to tylko obliczenia na podstawie czasu i Twojego Sekretnego klucz https://pl.wikipedia.org/wiki/Google_Authenticator

Początkujący
Posty: 187
Rejestracja: 3 lipca 2018
Reputacja: 122
Reputacja postu: 
0
Napiwki za post: 0 BTC
Napiwki: https://tippin.me/@fervi36341408
Napiwki: https://www.zapread.com/user/fervi

Google Authenticator

Postautor: fervi » wtorek, 27 sierpnia 2019, 10:49

kobagow pisze: wtorek, 27 sierpnia 2019, 03:021. Czy konto z którego pobieramy GA (za pomocą aplikacji Google Play) musi być przypisane dokładnie do tego samego adresu e-mail, którego używamy na giełdzie kryptowalut czy mogą to być dwa zupełnie różne od siebie adresy?
Nie
kobagow pisze: wtorek, 27 sierpnia 2019, 03:022. GA rozpoznaje nas po adresie e-mail?
Nie
kobagow pisze: wtorek, 27 sierpnia 2019, 03:024. Skąd GA wie, że my to my?
Przy dodaniu czegoś do GA (by był) musiałeś dać cholernie długi kod, który jest unikalny. Niektórzy nawet polecają ten kod zapisać w innym miejscu

Początkujący
Awatar użytkownika
Posty: 55
Rejestracja: 22 sierpnia 2019
Reputacja: 18
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: Info » wtorek, 27 sierpnia 2019, 12:52

kobagow pisze: wtorek, 27 sierpnia 2019, 03:024. Skąd GA wie, że my to my?
GA tego nie wie. GA tylko ma zapisany ten kod QR który skanowałeś na początku i aktualny czas (dlatego jest ważne żeby na telefonie był aktualny czas). To samo ma serwer po swojej stronie. Na podstawie tego kodu i czasu obliczana jest cyfra co 60 sekund, to samo robi serwer. Tylko GA i strona jest w stanie wygenerować identyczną cyfrę co 60 sekund. Podając tą cyfrę serwer porównuje ze swoimi obliczeniami i stąd serwer wie czy Ty jesteś właścicielem konta.

Ja widzę GA jako prosty kalkulator który z aktualnego czasu i kodu oblicza liczbę, działa to wszystko offline.

Zresztą jest dużo innych programów które robią te obliczenia. Wystarczy wpisać "2FA" w internecie i jest tego pełno.

Moderator
Awatar użytkownika
Posty: 4391
Rejestracja: 17 listopada 2011
Reputacja: 2719
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: koparki » wtorek, 27 sierpnia 2019, 13:13

@kobagow zamiast oryginalnego googlowego GA ściągnij https://play.google.com/store/apps/deta ... dotp&hl=pl
GA działa bez internetu lub bez gsm-u one są po to aby była synchronizacja czasu a to z kolei jest potrzebne sporadycznie(jak padnie bateria) ale jesli urzadzenie jest offline to czas mozna synchronizować również z satelity . Jak najbardziej google ma nie kolekcjonować informacji co używasz na urządzeniu , ale do tego musiałbys mieć czystego androida bez infrastruktury googla, lub przynajmniej go zablokować firewallem, w tym wypadku tak sie ściaga w/w oprogramowanie: https://github.com/andOTP/andOTP/releases

Początkujący
Posty: 5
Rejestracja: 28 sierpnia 2019
Reputacja: 6
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: FAEN » środa, 28 sierpnia 2019, 15:38

@koparki Na czym polega przewaga polecanego przez Ciebie andOTP - Android OTP Authenticator nad wspomnianym już wcześniej GA? Mając na myśli jak największe bezpieczeństwo, czy nie lepiej używać sprawdzonego rozwiążania jakim jest GA? Co, jeżeli taki andOTP - Android OTP Authenticator nagle, niespodziewanie przestanie działać? Jak wtedy będzie można zalogować się do giełdy, na której ustawione będzie 2FA?

Kiedyś zapytałem się takiej jednej - już nieistniejącej giełdy - co będzie w przypadku, kiedy ustawię 2FA, a telefon ulegnie uszkodzeniu. Giełda odpisała, że w takiej sytuacji nie będzie w stanie mi sposób i zaproponowała, żeby jednak - ze względów bezpieczeństwa - nie ustawiać 2FA.

Moderator
Awatar użytkownika
Posty: 4391
Rejestracja: 17 listopada 2011
Reputacja: 2719
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: koparki » środa, 28 sierpnia 2019, 15:57

@FAEN lepszy jest ten zamiennik który poleciłem bo to sprawdzony open source z róznymi fajnymi opcjami.
Bez obaw program zawsze będzie działał.
Oczywiście że powinieneś mieć kopie klucza do 2FA (najlepiej papierową i z dala od komputera), bo utrata telefonu to utrata dostępu do giełdy natomist jak masz klucz prywatny to odtworzysz sobie F2A do danej giełdy.
żadna giełda nie odradzi Ci f2A , byliby idiotami gdyby to odradzili. Podaj tu publicznie która giełda ma tak idiotycznych doradców.

Początkujący
Posty: 5
Rejestracja: 28 sierpnia 2019
Reputacja: 6
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: FAEN » środa, 28 sierpnia 2019, 16:11

@koparki Nie będę podawał nazwy tej giełdy. To było już jakiś czas temu. Potem okazało się, że giełda ogłosiła upadłość.

Moderator
Awatar użytkownika
Posty: 4391
Rejestracja: 17 listopada 2011
Reputacja: 2719
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: koparki » środa, 28 sierpnia 2019, 16:21

no i jeszcze dopiszę, bo dla niektórych może to nie być oczywiste. Generator kodów GA idealnie gdyby był urządzeniem z czystym fabrycznym systemem operacyjnym i służył wyłącznie do GA.
Opensourcowy firewall który blokuje w urządzeniu cały ruch internetowy też nie byłby przesadą, zwłaszcza że synchronizacja czasu jest mozliwa poprzez GSM lub GPS.

Początkujący
Awatar użytkownika
Posty: 55
Rejestracja: 22 sierpnia 2019
Reputacja: 18
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: Info » środa, 28 sierpnia 2019, 18:20

Ewentualnie można kupić kilka takich uradzeń :).

"programmable hardware token"

Obrazek
https://www.token2.com/shop/product/tok ... -time-sync

Bardzo Zły Moderator
Awatar użytkownika
Posty: 13106
Rejestracja: 16 kwietnia 2012
Reputacja: 1861
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Google Authenticator

Postautor: rav3n_pl » środa, 28 sierpnia 2019, 20:15

GA jest tylko programem realizującym OTP w standardzie TOTP.
https://pl.wikipedia.org/wiki/Has%C5%82o_jednorazowe
Równie dobrze możesz sam napisać program (nawet skrypt) podający kod.
Działa to tak, że serwis generuje i podaje "klucz prywatny" i z niego oraz aktualnego czasu obliczany jest jednorazowy kod, który zmienia się co 30 sekund.
Jeszcze to: https://steemit.com/bitcoin/@rav3npl/ra ... iecznestwo
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
Mój Skydrive; Trochę o P2pool; C#: RPC CoinControl, BIP39 Mnemonic z talii kart
Bitcoin Core 0.18.1

Weteran
Posty: 1316
Rejestracja: 15 czerwca 2011
Reputacja: 748
Reputacja postu: 
1
Napiwki za post: 0 BTC

Google Authenticator

Postautor: qertoip » środa, 28 sierpnia 2019, 20:50

rav3n_pl pisze: środa, 28 sierpnia 2019, 20:15 Działa to tak, że serwis generuje i podaje "klucz prywatny" i z niego oraz aktualnego czasu obliczany jest jednorazowy kod, który zmienia się co 30 sekund.

<nitpicking>
W tym kontekście lepszym określeniem jest współdzielony sekret (shared secret) bo "klucz prywatny" sugeruje asymetryczność kryptografii, której tu nie ma.
</nitpicking>
We only have one shot at making digital scarcity experiment work. If Bitcoin fails within a timeframe relevant for a human, then digital scarcity claim gets falsified. Like it or not, Bitcoin must succeed for your coin to succeed.

Moderator
Awatar użytkownika
Posty: 4391
Rejestracja: 17 listopada 2011
Reputacja: 2719
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: koparki » środa, 28 sierpnia 2019, 23:49

Info pisze: środa, 28 sierpnia 2019, 18:20Ewentualnie można kupić kilka takich uradzeń .
https://www.token2.com/shop/product/tok ... -time-sync

Tak byłoby to lepsze dla niektórych ale nie za 17euro, za tyle masz już samsunga galaxy s2 i do tego oficjalny lineageos albo replicant os. Wadą tego urządzenia jest brak możliwości zaszyfrowania dostępu. Pewnie nawet klucz sekretny jest tam jawny do edycji.

Weteran
Posty: 1512
Rejestracja: 3 grudnia 2017
Reputacja: 230
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Google Authenticator

Postautor: redlumek » sobota, 31 sierpnia 2019, 15:43

Dużym plusem za to jest że nie trzeba go ładować jak telefonu.

Moderator
Awatar użytkownika
Posty: 4391
Rejestracja: 17 listopada 2011
Reputacja: 2719
Reputacja postu: 
0
Napiwki za post: 0 BTC

Google Authenticator

Postautor: koparki » sobota, 31 sierpnia 2019, 15:53

@redlumek prawie nie ma żadnych plusów, musisz mieć wiele urzadzeń , każde do innego serwisu. Prawdopodobnie jawny, edytowlny "klucz prywatny" no i ta cena.
Znam urządzenie gdzie mozna mieć GA i jest ono nieinternetowe, jest to mp3-player kompatybilny z systemem rockbox , pewnie kupisz za 17euro, jest tam plugin GA. Mozna mieć w nim wiele kodów ale dostep do "klucza prywatnego" jest z poziomu edytora niestety.

Mozna sprawić że smartfon będzie działał tygodniami w stanie wygaszonego ekranu albo miesiacami w stanie gdzie go wyłączasz.Ale nie jest to chyba do zrobienia z brandowanym fabrycznym OS-em.

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość