Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe

Bit-els pisze: Link do resetu hasła wysłanego przez giełdę nic dac nie może, bo jak hacker wejdzie na maila?

Chodzi o to, że wiadomości rozsyła nie giełda tylko pośrednik i on ma pełny wgląd w treść emaila.
Zabezpieczenia na docelowej skrzynce pocztowej użytkownika w takim przypadku nie mają żadnego znaczenia.

Czyli 2fa też nic nie da.

A to nr, nie wiedziałem, że taki bug (w logice i technologii systemu) istnieje. Czyli jak z tego wyjśc??

Na marginesie nasz cryptox.pl nie wymaga maila. Ale to tylko giełda crypto/crypto

Bit-els pisze:Link do resetu hasła wysłanego przez giełdę nic dac nie może, bo jak hacker wejdzie na maila? Taki proton to nie onet czy nawet gmail. Ustawienia w mailu dajesz takie, że żadnego odzyskiwania hasła. I albo wchodzisz, albo podając błędne nie

Jezu. Nie mam siły.

Opiszę Ci to na schemacie. Rzeczy nieszyfrowane są oznaczone na czerwono, rzeczy szyfrowane i zahasłowane na zielono:

SERWER GIEŁDY -> INTERNET -> SERWIS MASSMAILINGOWY -> INTERNET -> PROTONMAIL.

Wystarczy
1. Wysłać maila z prośbą o reset hasła
2. zhakować lub podsłuchać którykolwiek z punktów oznaczonych na czerwono
3. ????
4. PROFIT ! Żadne hasło ani szyfrowany mail bez GPG typu protonmail Ci nie pomoże. GPG musi być obsługiwane przez obydwie strony komunikacji - np. giełdę Bitcoinową oraz Ciebie.

Dodano po 28 sekundach:

Bit-els pisze:Czyli 2fa też nic nie da.

Skąd Ty to bierzesz ?

2FA pomija maila....

Eeeech nie mam siły serio zaraz wyjdę.

@ShadowOfHarbringer, 2fa do maila, nie giełdy.

A nawet do giełdy, bo możesz stracic haslo i 2fa (telefon wpadł do wanny) i gielda wysle ci link do resetu

ShadowOfHarbringer pisze: Człowieku o czym Ty rozmawiasz ?

Czyli napiwek to nie są środki kryptowalutowe tylko jakaś liczba na serwerze reddita?

Polecam wszystkim do poczytania, bo mam wrażenie że większość osób tutaj nawet nie wie co to jest 2FA i jak działa:
https://pl.wikipedia.org/wiki/Uwierzyte ... opoziomowe
https://pl.wikipedia.org/wiki/Google_Authenticator

Hint: Token elektroniczny (breloczek generujący klucze) to jest rodzaj 2FA, tak samo jak kody jednorazowe na zdrapkach w Inteligo i mBanku.

Dodano po 56 sekundach:

The Real McCoin pisze:
ShadowOfHarbringer pisze: Człowieku o czym Ty rozmawiasz ?
Czyli napiwek to nie są środki kryptowalutowe tylko jakaś liczba na serwerze reddita?

Liczba jest trzymana przez bota, nie na serwerze reddita.

Aczkolwiek do komunikacji z userami bot używa mechanizmów reddita, nie ma własnych sposobów rozmowy z userami.

No ale nie o tym tutaj rozmawiamy w ogóle. Rozmawiamy o konieczności używania 2FA.

Dodano po 2 minutach 18 sekundach:

Bit-els pisze:@ShadowOfHarbringer, 2fa do maila, nie giełdy.

No i co Ci to da ?

Rozumiesz, że nigdzie nikt nie musi zhackować Twojego emaila? Po prostu zostanie przeczytany go po drodze, podsłuchany.

Twój email nigdy nie zostanie zhakowany, a kasa z giełdy Ci zniknie.

Bit-els pisze:A nawet do giełdy, bo możesz stracic haslo i 2fa (telefon wpadł do wanny)

Nie, od tego masz kod backup (zapasowy). Wiem, generowałem już na reddicie i jeszcze gdzieś.

Wiem jak działa 2fa. Mam go na gieldach i gmailu.
Olałem tylko skrzynki szyfrowane typu proton. Bo mam tam stochast.haslo, a skrzynek nie da się brutalować. Blokują kolejne próby.

Ale piszecie, że link do resetu hasła jest przejmowany "w locie" przed dotarciem do skrzynki.
Wiec 2fa i tak by nie zwiększyło bezp.

Dodano po 1 minucie 54 sekundach:
Ok Shadow, czyli du.. zbita. To giełdy musza zaczac szyfrować ruch. Niektore chyba pozwalaja na wygenerowanie kluczy pgp

ShadowOfHarbringer pisze: Liczba jest trzymana przez bota, nie na serwerze reddita.

No właśnie, dlaczego w takim razie do przekazywania napiwków, czyli przelewania małych kwot, nie używa się po prostu kryptowaluty?
To znaczy w profilu konta redditowego podać adres kryptowalutowy i jak ktoś będzie chciał to przeleje napiwek na ten adres.
Wtedy jedyną opcją kradzieży będzie przejęcie konta redditowego, podmiana adresu kryptowalutowego i czekanie na otrzymanie napiwków, co raczej nie przyniesie wielu sukcesów, a napiwków, które ktoś otrzymał w przeszłości nie da się ukraść.

@ShadowOfHarbringer, @Bit-els, przecież giełda nie zresetuje hasła jeśli nie podasz prawidłowego 2fa. Więc w sytuacji zabunkrowanej zarówno giełdy jaki i poczty na 2fa nie interesuje nas pośrednik bo nikt nie ma jak zlecić resetu hasła.
A jeśli się mylę to mnie jakoś nie masakrujcie tylko na spokojnie poproszę.

Bit-els pisze: Wiec 2fa i tak by nie zwiększyło bezp.

Jeżeli chodzi o BitBay to 2fa GA na giełdzie uniemożliwi kradzież bo nie ma tam możliwości resetowania 2fa GA przez email.

The Real McCoin pisze:
ShadowOfHarbringer pisze: Liczba jest trzymana przez bota, nie na serwerze reddita.
No właśnie, dlaczego w takim razie do przekazywania napiwków, czyli przelewania małych kwot, nie używa się po prostu kryptowaluty?
To znaczy w profilu konta redditowego podać adres kryptowalutowy i jak ktoś będzie chciał to przeleje napiwek na ten adres.

Wypiłeś już tą kawę w końcu czy nie?

Odpisałem Ci wyżej, że jeden z botów obsługuje tylko taki tryb - /u/chaintip.

Dlaczego ludzie tego nie używają ? Bo jest to niewygodne, nie ma sensu się pierniczyć dla małych kwot - takich jakie lecą w napiwkach.

Dodano po 55 sekundach:

Canis Lupus pisze:@ShadowOfHarbringer, @Bit-els, przecież giełda nie zresetuje hasła jeśli nie podasz prawidłowego 2fa.

Ja cały czas piszę oscenariuszu, gdy ktoś nie ma ustawionego 2FA.

W takim przypadku link do resetu hasła jest wysyłany z automatu - nikt nie pyta się o nic.

Dodano po 1 minucie 56 sekundach:

The Real McCoin pisze:
Bit-els pisze: Wiec 2fa i tak by nie zwiększyło bezp.
Jeżeli chodzi o BitBay to 2fa GA na giełdzie uniemożliwi kradzież bo nie ma tam możliwości resetowania 2fa GA przez email.

Mam wrażenie, że wszyscy jesteście dzisiaj na kacu, albo kawę odstawiliście.

Przecież ja cały czas dokładnie o tym mówię, ale nikt tutaj nie słucha (albo nie czyta w ogóle ze zrozumieniem).

ShadowOfHarbringer pisze: Problemem jest przestarzała technologia e-mail, która co prawda ma szyfrowanie dostępne od lat 80-tych, ale nikt go nigdzie nie używa. "I tak to już się żyje na tej wsi".

Z powyższego powodu, 2FA w dzisiejszych czasach to konieczność. Polecam na androida appkę FreeOTP - jest open source i nie jest od google'a.

Zabrakło po prostu "2FA na giełdzie" i nie dałoby się tego interpretować jako 2FA do emaila, jak możnaby to odczytać bez kafy.

kierownikł pisze:Zabrakło po prostu "2FA na giełdzie" i nie dałoby się tego interpretować jako 2FA do emaila, jak możnaby to odczytać bez kafy.

Hmmm może rzeczywiście masz rację.

Poprawię pierwszy post.

ShadowOfHarbringer pisze: Dlaczego ludzie tego nie używają ? Bo jest to niewygodne, nie ma sensu się pierniczyć dla małych kwot - takich jakie lecą w napiwkach.

I to jest odpowiedź.
Ciekawe, nawet geekowa społeczność krypto nie używa krypto, choćby tylko dla przykładu albo idei...

Ogólnie cholery można dostać z tymi hakerami. Niedługo do samego w miarę bezpiecznego logowania na pocztę będzie trzeba używać ledgera (u2f), telefonu (GA), 2 telefon (sms), pendrive z keepassem (hasło). Wszystko oczywiście potrzebuje backupa.
No to jak się nam uda zalogować na własną pocztę rozpoczynamy proces logowania na giełdę i portfele.

@Canis Lupus, bo kiedyś ludzie używali emaila tylko do przesyłania wiadomości tekstowych.
Dopiero ostatnio za sprawą krypto zaczęto używać kont pocztowych do ochrony środków o często dużej wartości.

Postautor: **S.O.S** » niedziela, 14 stycznia 2018, 13:57

@ShadowOfHarbringer, no ale chyba PGP na linii giełda-użytkownik załatwi sprawę nieprawdaż?

S.O.S pisze:@ShadowOfHarbringer, no ale chyba PGP na linii giełda-użytkownik załatwi sprawę nieprawdaż?

Napisane wyżej - załatwi, ale mało która giełda tego używa.

Na tą chwilę np. Kraken - nic mi nie wiadomo o innych.

Może ktoś wie jakie jeszcze giełdy używają GPG - niech się wypowie.

Dodano po 3 minutach 41 sekundach:

Canis Lupus pisze:Ogólnie cholery można dostać z tymi hakerami. Niedługo do samego w miarę bezpiecznego logowania na pocztę będzie trzeba używać ledgera (u2f), telefonu (GA), 2 telefon (sms), pendrive z keepassem (hasło). Wszystko oczywiście potrzebuje backupa.
No to jak się nam uda zalogować na własną pocztę rozpoczynamy proces logowania na giełdę i portfele.

Technologia rozwija się za szybko byle jak - nie jest przykładana uwaga co do kwestii bezpieczeństwa.

Dlaczego tak jest ? Prosta odpowiedź - bo ludzie tacy są.

Niestety większość ludzi ma w dupie bezpieczeństwo, więc giełdy też mają je w dupie. Daleko trzeba szukać ? Popatrz co się dzieje na tym forum - ludzie inwestują w jawne scamy i nawet nie obchodzą ich tłumaczenia że dana waluta powstała jako jawny scam i kradnie ludziom kasę. Chciwość i chęć dorobienia przesłania logiczne myślenie.

Tak samo jak chęć używania wszystkich najnowszych technologii (i uzyskania korzyści z tym związanych) przysłania ludziom myślenie.

Gdyby wszyscy byli ŚWIADOMI oraz ŻĄDALI od serwisów bezpieczeństwa, to to bezpieczeństwo by było. Ale ponieważ wszyscy mają to gdzieś, to jest tak jak jest.

Trzeba więc edukować, edukować, edukować.

Bitfinex też ma szyfrowanie email PGP.

Postautor: **prott3** » niedziela, 14 stycznia 2018, 23:29

ShadowOfHarbringer pisze: Generalnie kiedyś odrzucałem całą koncepcję 2FA w stylu "eee tam komu to potrzebne, wystarczy mieć niehakowalnego kompa na Linuksie".

Może zadam głupie pytanie ale nigdy nie maiłem styczności z Linuksem dlatego:
@ShadowOfHarbringer możesz poradzić jak postawić takiego niehakowalnego kompa? To znaczy jakiego Linuksa wybrać? Jakieś dodatkowe zabezpieczenia do niego? Jakiś a.v, keypass, etc.? Czy można to stawiać na jednym dysku z Windowsem czy jednak dostęp Windy do plików jest ryzykiem? Obecnie BCC mam na Trezor a wszystko inne co obsługuje Leger na nim, jednak jest kilka coinów do których portfele mam na Macku.Czy uważasz Linuksa za bezpieczniejszego od macOS?