Efekty braku włączonego 2FA na poczcie i na giełdzie

[KryptoBanita]

Tak samo słabe jak skompromitowane GA

Słabe i skompromitowane, ale jeżeli jest to 99,9999% "hakerów" odpuszcza

[The Real McCoin]

@fafudrak

1. Ktoś jeszcze, oprócz Ciebie znał hasła na giełdę i pocztę? (np. żona, brat)
2. Ktoś jeszcze miał fizyczny dostęp do Twojego komputera, z którego zwykle się logowałeś na giełdę i pocztę? (np. żona, brat)
3. Logowałeś się kiedyś na giełdę i pocztę z nie swojego komputera?
4. Hasła do giełdy i poczty miałeś proste? Dałyby się zbruteforcować?
5. Czy gdy piszesz posty tutaj na forum to używasz łącza typu Tor/VPN?
6. Czy to możliwe, że to Ty sam przelałeś te środki, ale teraz o tym nie pamiętasz?

[esse]

@fafudrak

7. Jak masz dostarczany internet? Kabel, wifi, lte? Masz router? Ma aktualne firmware? Zmienione domyślne hasła?

[fafudrak]

@fafudrak

1. Ktoś jeszcze, oprócz Ciebie znał hasła na giełdę i pocztę? (np. żona, brat)
2. Ktoś jeszcze miał fizyczny dostęp do Twojego komputera, z którego zwykle się logowałeś na giełdę i pocztę? (np. żona, brat)
3. Logowałeś się kiedyś na giełdę i pocztę z nie swojego komputera?
4. Hasła do giełdy i poczty miałeś proste? Dałyby się zbruteforcować?
5. Czy gdy piszesz posty tutaj na forum to używasz łącza typu Tor/VPN?
6. Czy to możliwe, że to Ty sam przelałeś te środki, ale teraz o tym nie pamiętasz?

Z komputera korzystam ja (żona tylko przelewy robi raz w miesiącu), hasło znałem tylko ja, nie logowałem się z innego kompa, tylko że swojego. Hasło hasło 11 znaków, małe i duże litery, cyfry i znaki specjalne. Na forum pisze z telefonu, nie z komputera. Nie używam Tor (który właśnie jest idealny dla złodzieja) i VPN. Nie mozliwe żebym sam przelał środki bo o godzinie 6 rano spałem jak dziecko. A IP komputera z którego dokonano kradzieży było z okolic Warszawy (jestem z Elbląga). Tym bardziej tamten sprzęt miał win7, a ja mam 10. Dostawca to Vectra, sieć kablowa, komp podłączony kablem, reszta sprzętu przez drugi router który tworzy inna sieć.

[bl4ck]

Tak samo słabe jak skompromitowane GA. Jedynym skutecznym wyjściem byłaby autentykacja poprzez Ledgera czy Trezora. Któryś (oba?) ma taką opcję.

Konta google mail obsługują U2F czyli logowanie przez trezora\ledgera, taka ciekawostka bitfinex obsługuje też taką metodę.

[maky]

Tak samo słabe jak skompromitowane GA

Słabe i skompromitowane, ale jeżeli jest to 99,9999% "hakerów" odpuszcza

Trzeba założyć, że raczej nikt nie będzie dorabiał karty sim czy włamywał się na konkretną komórkę dla niskich kwot. Takie cuda to przy kwotach kilka lub więcej mln.

[pm7]

Zastanawiam się czy istnieje już jakieś zabezpieczenie wykorzystujące czytnik linii papilarnych w smartfonach? Wiecie coś może na ten temat? Byłoby to jeszcze znacznie skuteczniejsze, niż GA, gdyż w najbardziej drastycznym przypadku, mógłby Ci się ktoś włamać na smartfon i potwierdzić logowanie GA(wiem, że dużo zachodu, ale jestem pewien że istnieją takie opcje, a w miarę upływu czasu i GA stanie się mniej bezpieczne, trzeba na bieżąco śledzić tą sytuację i używać jak najnowszych zabezpieczeń, żeby zwiększać swoje bezpieczeństwo), a przy korzystaniu z czytnika, nie ma innej opcji jak to że Twój telefon musiałby trafić w ręce hakera. Proszę o Wasze opinie, czy też informacje, jeżeli coś może się komuś obiło o uszy.

Jest już rozwiązanie lepsze niż GA, nazywa się U2F. Bardzo bezpieczne i nie wymaga instalowania żadnych aplikacji (próba uwierzytelnienia odciskiem palca pewnie skończy się koniecznością instalowania specjalnych aplikacji od giełd).

Tak samo słabe jak skompromitowane GA. Jedynym skutecznym wyjściem byłaby autentykacja poprzez Ledgera czy Trezora. Któryś (oba?) ma taką opcję.

Konta google mail obsługują U2F czyli logowanie przez trezora\ledgera, taka ciekawostka bitfinex obsługuje też taką metodę.

Właśnie sam miałem pisać o U2F w Trezor/Ledger. Świetna idea, tylko żeby więcej firm to oferowało poza Google Auth.

Jedna z zalet: w przeciwieństwie do Google Authenticator, nie da się podrobić mając dane posiadane przez giełdę. Czyli kradzież danych logowania z giełdy nie umożliwia zalogowania się jako dany użytkownik. Jakby giełda prowadziła zapisy logowań z danymi potwierdzeń, to nie mogliby też udawać, że to użytkownik się zalogował i wyprowadził środki, jeżeli wina jest po ich stronie

[Harey]

U2F czyli logowanie przez trezora\ledgera, taka ciekawostka bitfinex obsługuje

Z bitfinex zadziałał w moim przypadku do U2F Yubikey Neo, ale Ledger dodany jako drugi (zapasowy) klucz nie chciał funkcjonować.
Ten sam Ledger U2F używany przykładowo w gmail działał OK.

[bl4ck]

Ledger dodany jako drugi (zapasowy) klucz nie chciał funkcjonować

Tego nie mogę potwierdzić ale trezor działa na finexie ok na gmail też tak samo ledger na gmail działa ok, na finexie sprawdzę kiedyś.

[The Real McCoin]

Czyli kradzież danych logowania z giełdy nie umożliwia zalogowania się jako dany użytkownik.

Jeżeli dochodzi do kradzieży danych z giełdy to jest prawdopodobne, że atakujący może nie tylko czytać dane, ale także zapisywać. Wtedy może zapisać do bazy giełdy klucze publiczne własnych kluczy sprzętowych.

Jakby giełda prowadziła zapisy logowań z danymi potwierdzeń, to nie mogliby też udawać, że to użytkownik się zalogował i wyprowadził środki, jeżeli wina jest po ich stronie

Giełda ma pełną kontrolę nad swoją bazą i może utworzyć taką fałszywą historię dla użytkownika, jaką tylko będzie chciała, włącznie z przypisaniem użytkownikowi innego klucza publicznego U2F.
Słowo giełdy przeciw słowu użytkownika.
Bez zaufanej trzeciej strony trudno rozwiązać taki problem.

[pm7]

Jeżeli dochodzi do kradzieży danych z giełdy to jest prawdopodobne, że atakujący może nie tylko czytać dane, ale także zapisywać. Wtedy może zapisać do bazy giełdy klucze publiczne własnych kluczy sprzętowych.

Prawda, choć od tego są backupy.

Bez zaufanej trzeciej strony trudno rozwiązać taki problem.

Tak, chociaż:

Słowo giełdy przeciw słowu użytkownika.

Można wprowadzić wymóg potwierdzania zmiany klucza U2F podpisem kwalifikowany. Życzę powodzenia w fałszowaniu

[The Real McCoin]

Można wprowadzić wymóg potwierdzania zmiany klucza U2F podpisem kwalifikowany. Życzę powodzenia w fałszowaniu

Przypuszczam, że na sporej części giełd da się zrobić weryfikację użytkownika za pomocą podpisu kwalifikowanego.
Najbezpieczniej by było, gdyby każda dyspozycja wydawana giełdzie przez użytkownika, mogła być tak podpisywana.
Wtedy państwo jest zaufaną trzecią stroną.
A jeszcze lepiej by było gdyby każdy miał elektroniczny dowód tożsamości i umowy mogły być zawierane tylko na dwa sposoby: podpis własnoręczny lub podpis elektroniczny, ale jak wiemy to się nie wydarzy (nie w najbliższych latach).

[esse]

Przypuszczam, że na sporej części giełd da się zrobić weryfikację użytkownika za pomocą podpisu kwalifikowanego.

Chyba tylko bitmarket ma tę funkcję.

[KryptoBanita]

Tak samo słabe jak skompromitowane GA. Jedynym skutecznym wyjściem byłaby autentykacja poprzez Ledgera czy Trezora. Któryś (oba?) ma taką opcję.

Konta google mail obsługują U2F czyli logowanie przez trezora\ledgera, taka ciekawostka bitfinex obsługuje też taką metodę.

Sam Rav3n poleca U2F jako NAJBEZPIECZNIEJSZE.
Jeżeli już chcesz włączyć 2FA na mail, to TYLKO, JEŻELI mail masz pod U2F

[The Real McCoin]

@esse, certyfikat jest podpisany przez organizację upoważnioną przez państwo, a podpis użytkownika jest równoważny odręcznemu, bo tak stanowi polskie prawo. Na terenie Polski nie można odrzucić tak zabezpieczonego dokumentu lub kwestionować tożsamość.

[KryptoBanita]

nikt nie będzie dorabiał karty sim

Ale ta sprawa opisująca jak łatwo zdobyć duplikat sim u operatora jest ZATRWAŻAJĄCA.

[maky]

nikt nie będzie dorabiał karty sim

Ale ta sprawa opisująca jak łatwo zdobyć duplikat sim u operatora jest ZATRWAŻAJĄCA.

Nie mówię, że to jest jakoś specjalnie trudne ale to dodatkowy, nie potrzeby kłopot. Po co? Wystarczy poszukać łatwych ofiar.

[esse]

@The Real McCoin,

a podpis użytkownika jest równoważny odręcznemu, bo tak stanowi polskie prawo

Jest to inaczej skonstruowane. W ustawie o usługach zaufania oraz identyfikacji elektronicznej (http://prawo.sejm.gov.pl/isap.nsf/DocDe ... 0160001579) napisano tylko, że podpis wywołuje skutki prawne, jeżeli został złożony w okresie ważności certyfikatu. Ustawa o usługach zmienia 81 innych ustaw, wprowadzając w nich explicite możliwość używania podpisu elektronicznego/ePUAP-u (zrównując z formą pisemną). Tak więc nie wszędzie i nie zawsze. Zamiast napisać, że skutki podpisu odręcznego i określić wyjątki, poszli przeciwną drogą.

nie można odrzucić tak zabezpieczonego dokumentu

Można, powołując się na okoliczność, że jakaś ustawa nie przewiduje podpisu w takiej formie. Dotyczy to raczej relacji z aparatem państwowym.

[pm7]

nikt nie będzie dorabiał karty sim

Ale ta sprawa opisująca jak łatwo zdobyć duplikat sim u operatora jest ZATRWAŻAJĄCA.

Nie mówię, że to jest jakoś specjalnie trudne ale to dodatkowy, nie potrzeby kłopot. Po co? Wystarczy poszukać łatwych ofiar.

Zdobycie duplikatu to nie jedyna metoda. Odsyłam ponownie do wcześniej linkowanego artykułu na niebezpieczniku o masowym włamywaniu się do kont bankowych przez przechwytywanie SSM niezabezpieczonym protokołem SS7.

[maky]

Zdobycie duplikatu to nie jedyna metoda. Odsyłam ponownie do wcześniej linkowanego artykułu na niebezpieczniku o masowym włamywaniu się do kont bankowych przez przechwytywanie SSM niezabezpieczonym protokołem SS7.

Gdzie ten link?