Опасность Двухфакторной Аутентификации

[Jokers]

Two-factor authentication is a great and secure mechanism. One caveat is that it is not built on a technology that has flaws, such as the mobile data network that the author emphasized.
But 2FA mechanisms, such as Google Authenticator, are more secure because they are not tied to SIM cards or other identifiers that can be "cloned". Even if you make a backup copy of the phone with, for example, Google Authenticator, and then restore the backup copy on another cell phone, you will not get access to the data of Google Identifier. more precisely, you will get a working application, but without the data of accounts to which you generate one-time dynamic codes.

Только надо бы внимательнее с языками, не стоит забывать посматривать, в каком разделе топик.

[DrBeer]

Two-factor authentication is a great and secure mechanism. One caveat is that it is not built on a technology that has flaws, such as the mobile data network that the author emphasized.
But 2FA mechanisms, such as Google Authenticator, are more secure because they are not tied to SIM cards or other identifiers that can be "cloned". Even if you make a backup copy of the phone with, for example, Google Authenticator, and then restore the backup copy on another cell phone, you will not get access to the data of Google Identifier. more precisely, you will get a working application, but without the data of accounts to which you generate one-time dynamic codes.

Только надо бы внимательнее с языками, не стоит забывать посматривать, в каком разделе топик.

Эк меня поплющило-то... Думал что среди интуристов пишу 

...исправляюсь перевожу на более понятный !

Двухфакторная аутентификация - отличный и безопасный механизм. Одна оговорка - если он не построен на технологии которая имеет изьяны, как например мобильная сеть передачи данных, на которую автор акцентировал внимание.
Но механизмы 2ФА, как например Гугл аутентификатор, более безопасны, т.к. они не привязаны к СИМ карте или другим идентификаторам которые можно "клонировать". Даже сделав резервную копию телефона с , например ГуглАутентификатором, а затем восстановив резервную копию на другом мобильном телефоне, вы не получите доступа к данным гуглИдентификатора. точнее вы получите работающее приложение, но без данных аккаунтов к которым у вас генерируются одноразовые динамические коды.

[Unbunplease]

Эк меня поплющило-то... Думал что среди интуристов пишу 

...исправляюсь перевожу на более понятный !

Двухфакторная аутентификация - отличный и безопасный механизм. Одна оговорка - если он не построен на технологии которая имеет изьяны, как например мобильная сеть передачи данных, на которую автор акцентировал внимание.
Но механизмы 2ФА, как например Гугл аутентификатор, более безопасны, т.к. они не привязаны к СИМ карте или другим идентификаторам которые можно "клонировать". Даже сделав резервную копию телефона с , например ГуглАутентификатором, а затем восстановив резервную копию на другом мобильном телефоне, вы не получите доступа к данным гуглИдентификатора. точнее вы получите работающее приложение, но без данных аккаунтов к которым у вас генерируются одноразовые динамические коды.

У меня на аккаунте facebook был доступ через sms на телефон. Телефон был благополучно утерян, поддержка шлет нафиг (точнее, просто игнорирует). В итоге, смотришь на аккаунт -- но никак доступ к нему получить не можешь (номер был не на меня).

А по поводу гуглидентификатора - хорошо, что сделали клонирование (конечно, если доступ к телефон получит другой человек минут на 5, то он может склонировать данные себе)

[klarki]

У меня на аккаунте facebook был доступ через sms на телефон. Телефон был благополучно утерян, поддержка шлет нафиг (точнее, просто игнорирует). В итоге, смотришь на аккаунт -- но никак доступ к нему получить не можешь (номер был не на меня).

Можно попробовать с опсосом договориться, либо через серую схему получить дубль этой сисмки (правда хз, зачем это делать для восстановления доступа к фейсбук). Но проще договориться, особенно если симкарта сейчас не зарегистрирована в сети.

[heyod hewow]

А по поводу гуглидентификатора - хорошо, что сделали клонирование (конечно, если доступ к телефон получит другой человек минут на 5, то он может склонировать данные себе)

Гугл-аутентикатор (и ему подобные программы) тоже надо защищать всеми доступными на смартфоне инструментами: пин-код, палец (лучше не лицо, а именно палец), спрятать в раздел скрытых приложений и так далее... все, что конкретный аппарат и прошивка может предложить в данном смысле. Тогда "другой человек", получивший доступ к телефону, не сможет склонировать данные за пять минут. Понятно, что все зависит от квалификации этого "другого человека", но надо пытаться максимально усложнить для него данную процедуру. ))

[Unbunplease]

палец (лучше не лицо, а именно палец)

По поводу пальца. Палец можно и потерять. Вспоминается один из рассказов о Фантомасе, в котором он высушил кожу с пальцев убитого, и натянул как перчатки на свои руки, и везде оставлял отпечатки убитого. И лично я против любого использования биометрии - и никогда не намерен оплачивать услуги лицом или иной биометрией, а также использовать это для защиты чего--либо

[booktiger]

Гугл-аутентикатор (и ему подобные программы) тоже надо защищать всеми доступными на смартфоне инструментами: пин-код, палец (лучше не лицо, а именно палец), спрятать в раздел скрытых приложений и так далее... все, что конкретный аппарат и прошивка может предложить в данном смысле. Тогда "другой человек", получивший доступ к телефону, не сможет склонировать данные за пять минут. Понятно, что все зависит от квалификации этого "другого человека", но надо пытаться максимально усложнить для него данную процедуру. ))

Предполагается что злоумышленник не сможет взломать сразу две системы: настольный ПК и телефон, поэтому двух факторная аутентификация вполне надежная защита, таким образом взлом одного девайса допустим без потери своих средств на бирже.
Тут надо еще посмотреть глазами социальной инженерии, а почему выбрали именно вас в качестве объекта взлома, случайным образом? Вряд ли, где то вы были не аккуратны в высказываниях: может хвастались или легкомысленно использовали свои персональные данные.

[heyod hewow]

Тут надо еще посмотреть глазами социальной инженерии, а почему выбрали именно вас в качестве объекта взлома, случайным образом? Вряд ли, где то вы были не аккуратны в высказываниях: может хвастались или легкомысленно использовали свои персональные данные.

Не обязательно даже хвастаться или легкомысленно использовать персональные данные, в криптомире хакеры часто выбирают в качестве жертвы членов команд криптопроектов, админов больших каналов и чатов криптотематики, криптоблогеров и прочих криптоцыган гуру трейдинга в ютубе, логично предполагая, что крипта у них в загашнике есть. Но в первую очередь их, конечно же, интересуют селебрити из криптомира, у которых крипты на солидные суммы. 

[Smartprofit]

У меня на аккаунте facebook был доступ через sms на телефон. Телефон был благополучно утерян, поддержка шлет нафиг (точнее, просто игнорирует). В итоге, смотришь на аккаунт -- но никак доступ к нему получить не можешь (номер был не на меня).

Можно попробовать с опсосом договориться, либо через серую схему получить дубль этой сисмки (правда хз, зачем это делать для восстановления доступа к фейсбук). Но проще договориться, особенно если симкарта сейчас не зарегистрирована в сети.

Насколько я знаю, если не использовать телефонный номер в течение полугода, то он возвращается назад оператору. А оператор в свою очередь, его продаёт какому-то другому пользователю.
И вот, если вы вовремя подсуетитесь, то сможете вернуть старый номер себе.
У меня была такая ситуация, мой номер уже ушёл системе, но я его вернул назад.
Всё-таки жалко терять свой номер. И да, на номера регистрируются соцсети. Поэтому важно сохранять за ними контроль. И использовать их регулярно. Например совершать звонки.

[vady76]

Тут надо еще посмотреть глазами социальной инженерии, а почему выбрали именно вас в качестве объекта взлома, случайным образом? Вряд ли, где то вы были не аккуратны в высказываниях: может хвастались или легкомысленно использовали свои персональные данные.

Не обязательно даже хвастаться или легкомысленно использовать персональные данные, в криптомире хакеры часто выбирают в качестве жертвы членов команд криптопроектов, админов больших каналов и чатов криптотематики, криптоблогеров и прочих криптоцыган гуру трейдинга в ютубе, логично предполагая, что крипта у них в загашнике есть. Но в первую очередь их, конечно же, интересуют селебрити из криптомира, у которых крипты на солидные суммы.

Как то писали что был случай, американец похвастался в редитте что  у него на бирже коинбайс лежит крипты на миллион долларов и на следующий день их у него уже не было потому что кто то позаботился об этом. Значит первое правило простого криптана нигде ни кому не говорить сколько у тебя криптовалюты, ну и ставить сложные пароли, например можно криптовалютные адоеса, их то точно не подбирёт никто.

[klarki]

Как то писали что был случай, американец похвастался в редитте что  у него на бирже коинбайс лежит крипты на миллион долларов и на следующий день их у него уже не было потому что кто то позаботился об этом. Значит первое правило простого криптана нигде ни кому не говорить сколько у тебя криптовалюты, ну и ставить сложные пароли, например можно криптовалютные адоеса, их то точно не подбирёт никто.

Вас не убережет сложный пароль, если не будете соблюдать сетевую гигиену. Что касательно никому ничего не говорить, частично согласен, но ведь и сливы с бирж не редкое явление (а там и данные KYC, и балансы + истории транзакций).
А эта информация уже может быть использована злоумышленниками.

[vady76]

Как то писали что был случай, американец похвастался в редитте что  у него на бирже коинбайс лежит крипты на миллион долларов и на следующий день их у него уже не было потому что кто то позаботился об этом. Значит первое правило простого криптана нигде ни кому не говорить сколько у тебя криптовалюты, ну и ставить сложные пароли, например можно криптовалютные адоеса, их то точно не подбирёт никто.

Вас не убережет сложный пароль, если не будете соблюдать сетевую гигиену. Что касательно никому ничего не говорить, частично согласен, но ведь и сливы с бирж не редкое явление (а там и данные KYC, и балансы + истории транзакций).
А эта информация уже может быть использована злоумышленниками.

Месяца четыре назад читал про сеть криптовалютных банкоматов что их взломали хакеры и все данные вплоть до адреса проживания утекли.  Насчёт бирж. можно пользвоаться такми где не надо проходить верификацию, к счастью такие ещё остались.

[Unbunplease]

Месяца четыре назад читал про сеть криптовалютных банкоматов что их взломали хакеры и все данные вплоть до адреса проживания утекли.  Насчёт бирж. можно пользвоаться такми где не надо проходить верификацию, к счастью такие ещё остались.

Без верификации можно пока пользоваться в основном DEX. Обычные биржи все больше подпадают под контроль государства - и готовы слить инфу налоговым органам и другим заинтересованным лицам. Основная проблема двухфакторной аутентификации - потеря или порча используемого устройства и проблема при общении со службой поддержки