Różne rodzaje 2FA [OT z Zostałem okradziony...]

[akos]

Swego czasu w mbanku korzystałem ze starej dobrej papierowej kartki z kodami jednorazowymi do potwierdzania operacji. Później przeszedłem na smsy bo wiadomo, wygodniejsze, ale czytając różne tego typu przypadki zastanawiam się czy by do tego nie wrócić i czy nie warto pomyśleć o wdrożeniu takiego rozwiązania (oczywiście opcjonalnie) na giełdach (@BitBay ?). Z kartką sprawa jest prosta, nawet jeśli złodziej całkowicie przejmie komuś kompa i tel, potrafi przechwycić 2FA, sms, maila to żeby np. wypłacić środki musiałby się jeszcze fizycznie włamać do domu i zabrać info papierowe.

@kasza77
@rav3n_pl ma rację, że to nie powinno być w spoilerze (chociaż chyba za ostro z minusami), bo napisałeś imho ważną rzecz. Z naszego punktu widzenia, ludzi obeznanych technicznie, wydaje się takie uzasadnienie sądu idiotyczne. Jednak moim zdaniem to dobrze, że sąd staje, jako instytucja niezawisła i niezależna (jeszcze) po stronie ludzi a nie potężnego podmiotu, ponieważ we współczesnym świecie niemal nie da się funkcjonować bez internetowej obsługi konta bankowego, więc również osoby bez należytej wiedzy lub starsze chcąc nie chcąc muszą się do tego dostosować nie mając świadomości szeregu zagrożeń. I to właśnie po stronie speców z IT leży obowiązek wykombinowania takiego poziomu bezpieczeństwa żeby całość była user friendly a zarazem bezpieczna nawet dla laika - i nie mówię tego jako przedstawiciel grupy laików tylko właśnie jako ktoś z drugiej strony barykady, czyli robiący w IT.

Z giełdami krypto jest oczywiście inna sprawa, bo tu nie ma żadnej presji żeby ktoś w ogóle z nich korzystał, w szczególności jakaś babcia trzymająca na koncie emeryturę i płacąca rachunki w necie. Dlatego proszę nie odbierać poprzedniego akapitu jako sugestię z mojej strony, że w tym konkretnym przypadku wina leży po stronie BB a nie usera, tak tylko na marginesie piszę uwagę wskazując, że uzasadnienie sądu wcale nie jest takie idiotyczne jak by się mogło na pierwszy rzut oka zdawać.

[kasza77(2)]

@akos
Poszło w spojler,bo zaczął się robić totalny offtop w wątku i nie chciałem go powiększać.
Minusy dostałem za "zaległą" sprawę,chłopak nie radzi sobie z krytyką jak widać.Napisałem co sądze o tych minusach to dał mi bana ta tydzień...
Za tego posta też pewnie nie omieszka mnie "surowo ukarać"...

[rav3n_pl]

Tu proszę dalsze dywagacje o 2FA.
Wydzielone offtopy z tamtego wątku.

[wrip]

To powinno być tak:
Google (lub inny dostawca poczty) wydaje certyfikat, potwierdzenie, że dane konto mailowe jest zweryfikowane nr telefonu i ma włączoną opcję logowania 2FA.
Giełda umożliwia zakładanie konta poprzez dowolny email ale umożliwia też opcję 2FA poprzez wysyłanie kodów na drugi adres email, inny niż ten użyty w rejestracji i tylko z owym certyfikatem.

Po co 2 maile?
Zawsze jest szansa, że użyszkodnik jednak używa różnych haseł i te dwie skrzynki chronią różne hasła.
Przykładowy użytkownik jest przywiązany do swojej starej skrzynki bez takich zabezpieczeń i nie będzie jej zmieniał, nie interesuje go przekierowanie maili ani nic z tych rzeczy, jednak może założyć dodatkową skrzynkę i niech sobie leży - w końcu jest potrzebna tylko do odzyskiwania hasła z giełdy lub odebrania kodu 2FA.

Dlaczego 2 różne maile, a nie jeden z certyfikatem?
Przy logowaniu do giełdy jest używany login w postaci najczęściej maila - napastnik może to podejrzeć i będzie czynił starania by przejąć właśnie tę konkretną skrzynkę. Jednak nawet po jej przejęciu nie za wiele zrobi, może uda się mu się zalogować na giełdę (bo 2FA nie musi być używane przy logowaniu, a tylko do potwierdzania danych operacji - tak jak w bankach), ale przy próbie transferu środków odbije się od 2FA, a nigdzie w ustawieniach konta nie powinno być widoczne z jakiej metody 2FA użytkownik korzysta - to powinno być załatwiane tylko mailowo z supportem giełdy.

Nie jest to lepsze rozwiązanie od standardowego użycia aplikacji na smartfona, ale inne. Poza tym urządzenie z apką do 2FA można zgubić, apka się usunie, smartfon zatonie w basenie i klapa - bez kontaktu z supportem na giełdę się nie zalogujemy. Bo czy standardowy użyszkodnik zrobi kopię zapasową kodu, który skanuje za pierwszym razem?

Nie jest to idealne rozwiązanie, bo użyszkodnik może dla wygody przekierowywać maile z certyfikowanej skrzynki na swoją pierwszą skrzynkę Być może to również mogłoby być w ramach certyfikatu: że maile nie mogą być przekierowywane automatycznie.

[redbog]

Z kartką sprawa jest prosta, nawet jeśli złodziej całkowicie przejmie komuś kompa i tel, potrafi przechwycić 2FA, sms, maila to żeby np. wypłacić środki musiałby się jeszcze fizycznie włamać do domu i zabrać info papierowe.

Albo może zadzwonić przedstawić sie za pracownika bb powiedzieć że na pana konto odnotowaliśmy próbę włamania bla bla coś tam a teraz prosze szybko podać kod bo inaczej pana kasa zostanie zablokowana na 2 miesiące Nic nie zastąpi zdrowego rozsądku i wiedzy.

[wrip]

@edbog, dlatego przed połączeniem z konsultantem banku zamiast głupich reklam ich kredytów powinny lecieć takie ostrzeżenia: bank nigdy nie żąda podania kodu jednorazowego, bank nigdy nie żąda podania hasła logowania itd.

[KryptoBanita]

Trochę odbiegnę od tematu.
Akurat trafiłem w TV na program "Złodzieje".
Przejęli, poprzez własne WiFi udające publiczne, w jakiejś galerii dostęp do konta w banku jakiegoś kolesia.
Padła tam sugestia, że przejęcie SMS z kodem weryfikacyjnym do przelewu też nie stanowi problemu.
Poprawcie mnie jeżeli się mylę.
Przejęcie sms na smartfonie istotnie może być łatwe, ale przejęcie sms na czymś w rodzaju nokia 3510 ?
SMS to w końcu fala radiowa - sygnał nie jest kodowany i teoretycznie jest możliwe przejęcie sygnału skierowanego do nokii...
Oczywiście dużo łatwiejsze jest przejęcie informacji na smartfonie zalogowanym do tej samej, "podrabanej" sieci WiFi.
Reasumując - jak widzicie możliwość "czytania" sms poprzez jakieś skanery radiowe czy cokolwiek innego?

P.S.
Mi się wydawało, że skoro do kochanki mam innego maila to tym bardziej do giełdy, a do żony jeszcze innego... Widać, że tak raczej ludzie nie postępują - czyli... Warto mieć kochankę

Dodano po 5 minutach 50 sekundach:

musiałby się jeszcze fizycznie włamać do domu i zabrać info papierowe.

Albo włamać się do banku do systemu, bo gdzieś jest oryginał z którą są te kody porównywane.
Ogólnie - wycieki danych z banków nie nastawiają optymistycznie do tematu.
Ja też lubiłem te kody papierowe w mBanku. Inteligo miało kartę-zdrapkę plastikową, ale zasada ta sama.

[akos]

Padła tam sugestia, że przejęcie SMS z kodem weryfikacyjnym do przelewu też nie stanowi problemu.
Poprawcie mnie jeżeli się mylę.
Przejęcie sms na smartfonie istotnie może być łatwe, ale przejęcie sms na czymś w rodzaju nokia 3510 ?
SMS to w końcu fala radiowa - sygnał nie jest kodowany i teoretycznie jest możliwe przejęcie sygnału skierowanego do nokii...

W ostatnim zdaniu wpadłeś na właściwy trop. A teraz pewnie szerzej otworzysz oczy gdy pogooglujesz hasło "ss7 2fa hack" Tu świeży jeszcze artykulik: http://www.newsbtc.com/2017/09/30/hacke ... n-wallets/
W skrócie: podobno pewien protokół telco zwany Signaling System No. 7 jest podatny na exploity co umożliwia przestępcom przechwytywanie smsów.
Piszę podobno, bo nie zgłębiałem jeszcze tematu, więc nie wiem na ile taki hack jest prawdopodobny i trudny do przeprowadzenia. W każdym razie zalecane jest, również w tym artykule, używanie raczej Google Authenticator lub podobnych zamiast 2FA z smsami. Mój paranoiczny umysł zastanawia jedynie dlaczego skoro ten exploit ss7 jest znany od jakiegoś czasu, to nie jest a) załatany albo b) hackowany często i gęsto oraz dlaczego w każdym jak na razie artykule na ten temat, który czytałem pojawia się sugestia przejścia sms -> google auth. Ja do tzw. "polityki prywatności" wielkiego brata google'a też podchodzę ostrożnie, są też pewne wady TOTP No wiadomo, ten art zawiera oczywiście lekką sugestię, że najfajniej jest w trezorze bo jest ze strony trezora, ale warto się zapoznać.

[rav3n_pl]

Tak czy inaczej najlepszym ze sposobów 2fa jest obecnie u2f.
Dlaczego?
Bo przy GA oprócz usera to dostawca ma "klucz prywatny" i w ten sposób sprawdza poprawność (obie strony generują ciąg znaków na postawie klucza i timestampa).
Przy U2f używana jest para kluczy, i tylko user ma prywatny. Serwer wysyła "coś" do podpisania i sprawdza, czy posiadany klucz publiczny zgadza się z podpisem. Nie ma możliwości włamu przez odczyt bazy kluczy 2fa.

[akos]

@rav3n_pl Zgadza się, właśnie to jest szczegółowo omówione w tym drugim arcie, który podlinkowałem. Kluczowe w kontekście giełd jest jednak pytanko, które padło też na stackexchange ale bez większego odzewu: czy któreś giełdy btc udostępniają u2f? Na razie chyba z tym licho. Śledzisz może temat i wiesz coś więcej na temat ew. planów implementacji standardów FIDO na którejś z giełd?

[KryptoBanita]

A teraz pewnie szerzej otworzysz oczy gdy pogooglujesz hasło "ss7 2fa hack" Tu świeży jeszcze artykulik: http://www.newsbtc.com/2017/09/30/hacke ... n-wallets/
W skrócie: podobno pewien protokół telco zwany Signaling System No. 7 jest podatny na exploity co umożliwia przestępcom przechwytywanie smsów.

dobre

[pm7]

Mój paranoiczny umysł zastanawia jedynie dlaczego skoro ten exploit ss7 jest znany od jakiegoś czasu, to nie jest a) załatany albo b) hackowany często i gęsto

a) Za duże koszty i niechęć do wysiłku. Podobny problem jest z kartami magnetycznymi w USA (choć tutaj w końcu zaczęli przechodzić na karty chip).

laczego w każdym jak na razie artykule na ten temat, który czytałem pojawia się sugestia przejścia sms -> google auth. Ja do tzw. "polityki prywatności" wielkiego brata google'a też podchodzę ostrożnie, są też pewne wady TOTP No wiadomo, ten art zawiera oczywiście lekką sugestię, że najfajniej jest w trezorze bo jest ze strony trezora, ale warto się zapoznać

TOTP jest o poziom lepszy niż SMS. Wady w tym artykule co zalinkowałeś są rzeczywiste, ale wciąż TOTP jest niezłe. U2F jest lepsze, ale wymaga fizycznego urządzenia, które mało kto ma.

Przy U2f używana jest para kluczy, i tylko user ma prywatny. Serwer wysyła "coś" do podpisania i sprawdza, czy posiadany klucz publiczny zgadza się z podpisem. Nie ma możliwości włamu przez odczyt bazy kluczy 2fa.

Tak, U2F jest bardzo fajne
Czekam jeszcze, żeby w standardzie przechowywali nasze odpowiedzi, to później można niezależnie zweryfikować, czy potwierdzaliśmy logowanie danego dnia (nie mogą tego podrobić, jeżeli się to odpowiednio przygotuje).

[S.O.S]

Swego czasu w mbanku korzystałem ze starej dobrej papierowej kartki z kodami jednorazowymi do potwierdzania operacji. Później przeszedłem na smsy bo wiadomo, wygodniejsze, ale czytając różne tego typu przypadki zastanawiam się czy by do tego nie wrócić i czy nie warto pomyśleć o wdrożeniu takiego rozwiązania (oczywiście opcjonalnie) na giełdach (@BitBay ?). Z kartką sprawa jest prosta, nawet jeśli złodziej całkowicie przejmie komuś kompa i tel, potrafi przechwycić 2FA, sms, maila to żeby np. wypłacić środki musiałby się jeszcze fizycznie włamać do domu i zabrać info papierowe.

Kilak lat do tyłu miałem do czynienia bezpośrednio ze sprawą, gdzie delikwentowi w przeglądarce podmieniono stronkę. Był zalogowany w banku nagle system się wylogował i wyskoczyło bliźniaczo podobne okienko bankowe z informacją, że nastąpiło wylogowanie ze względów bezpieczeństwa i prosimy o podanie 3 czy 4 kolejnych kodów jednorazowych(dokładnie nie pamiętam ilu). Użytkownik wziął kartę kodów jednorazowych i przepisał kody, tak jak go poproszono. Po czasie okazało się, że konto wyczyścili na ok 20k PLN. Tak, że podobnie jak z przejęciem nr. telefonu. iPKO w przypadku korzystania z kodów jednorazowych obecnie prosi o podanie konkretnego numeru kodu z karty. Nie kolejnego wolnego jak było kiedyś. Sprawa dotyczyła właśnie tego banku i zmianę wprowadzili niedługo po zdarzeniu. Stąd domyślam się, że przypadek, który opisałem, nie był jedynym tego typu.
Pokazuje to jednak, że w większości przypadków to użytkownik jest najsłabszym elementem ogniwa.

[KryptoBanita]

prosimy o podanie 3 czy 4 kolejnych kodów jednorazowych(dokładnie nie pamiętam ilu). Użytkownik wziął kartę kodów jednorazowych i przepisał kody

Dobrze, że nie kazali mu zgwałcić sąsiadki 3 czy 4 razy...
Humorystycznie: Bank powinien przy zakładaniu konta wysyłać pierwszą instrukcję na mail "strzel sobie w łeb" i zakładać konta tylko tym co przeżyli. Nie zrobią tego, bo mieliby mało klientów

[koparki]

Nie każdy ma telefon z androidem

kupujesz 2 telefony z androidem na olx za 50zł, robisz hard-reset. Instalujesz jedną jedyną aplikacje Google Authenticator i nigdy nie korzystasz z tego telefonu do niczego innego , drugi telefon służy jako kopia na wypadek zagubienia pierwszego. Niestety GA potrzebuje połączenia z netem - ale wyłącznie gdyby się przestawił samoczynnie czas w telefonie (słaba bateria itp). Jeśli ktoś zna sposób na ręczną korektę zegara co do sekundy w androidzie bez potrzeby synchronizacji przez internet(jak ktoś wie jak to zrobić to prosze o kontakt) to w zasadzie można by było uszkodzić w takim telefonie moduły odpowiadajace za łączność gsm i wi-fi bo GA nie potrzebuje połączenia z netem, mozna tez zaślepić usb i sd-slot aby ktoś przez przypadek nie wgrał dodatkowego softu. Tym sposobem masz generator kodów GA , zabezpieczenie giełdowe nie do złamania , każda , dosłownie każda giełda ma opcję GA, jak ktos tego nie uruchomił to sam podnosi sobie ryzyko.

[Antonio]

czy któreś giełdy btc udostępniają u2f? Na razie chyba z tym licho. Śledzisz może temat i wiesz coś więcej na temat ew. planów implementacji standardów FIDO na którejś z giełd?

Witam.
Co do przechwycenia SMS-a to przestępcy ( ale tacy przez duze P jako że sprzęt nie dość ze b.drogi to i nie kupi się go w Biedronce ) używają np. fałszywego BTS-a.
Co do u2f to tak... Bitfiniex daje taką możliwosć z której zresztą korzystam.

[rav3n_pl]

Niestety GA potrzebuje połączenia z netem

Zamiast GA jednak brałbym FreeOTP z FDroid-a. Wtedy można nawet Cyanogena bez OpenGapps ;]

[S.O.S]

drugi telefon służy jako kopia na wypadek zagubienia pierwszego.

Wystarczy spisać kody podane przy zakładaniu 2FA dla GA, nie potrzeba dodatkowego telefonu. Z tymi kodami możesz przenieść GA na inny telefon bez problemu.

Dobrze, że nie kazali mu zgwałcić sąsiadki 3 czy 4 razy...

Tak to niestety jest z userami. Najgorsze właśnie jest takie podejście jakiego i ja doświadczyłem. Nie wytłumaczysz, że wina leży po stronie użytkownika. Jak o ścianę, ciągle tylko, że przestępcy "dobrzy są" bo potrafią i że to bank powinien to zabezpieczyć i ustrzec klientów przed takim działaniem.

[pm7]

bank powinien to zabezpieczyć i ustrzec klientów przed takim działaniem

A potem banki wymagają od klientów instalowania jakichś dziwnych programów...

[koparki]

Niestety GA potrzebuje połączenia z netem

Zamiast GA jednak brałbym FreeOTP z FDroid-a. Wtedy można nawet Cyanogena bez OpenGapps ;]

już nie pamiętam ale chyba GA też jakos zainstalowałem z karty.. połaczenie z netem potrzebne bo nie można skorygowac zegara w androidzie ręcznie co do sekundy, a niestety zdarzyło sie że zegar się rozstroił po wyczerpaniu baterii.

Dodano po 3 minutach 1 sekundzie:

Wystarczy spisać kody podane przy zakładaniu 2FA dla GA, nie potrzeba dodatkowego telefonu. Z tymi kodami możesz przenieść GA na inny telefon bez problemu.

Jasna sprawa... najlepiej spisać na papier, w kazdym razie poza kompa