Опасность Двухфакторной Аутентификации

[Bigpat]

Мой аккаунт стабильно пару раз в неделю пытаются взломать на бирже bitexbook, приходит сообщение о неудачном входе с разными IP. Токены там не храню, поэтому пускай ещё мучаются.

Мне тоже под новый год начали приходить с этой биржи сообщения о попытках входа в мой аккаунт. Решил проблему сменой почтового адреса на другой в личном кабинете. Указал адрес, который ранее не светил в баунти, вот попытки взлома и пропали.

[Lolli]

Автор молодец, классный мануал. За это получил от меня по своей карме. По теме: подделать или украсть данные симки, как можно было видеть, не так то просто и легко. К тому же нужно знать этого человека. Поэтому не трепаться! Что касается Гугл аутентификатора, то и смарт могут украсть, а пока его заблокируешь, то и денежки тю-тю.

Благодарю! Это очень мотивирует:)

На самом деле, это нам кажется, что все очень сложно. Для людей, которые профессионально этим занимаются, не так уж и сложно. А учитывая огромное количество ньюбиз в крипте, ничего и выдумывать не нужно, сами все рассказывают и отдают.

вот это вы точно говорите. как сказал один серьезный чел: только твои действия опасны для тебя. )))) Спасибо за статью.

[bachichak]

Вопрос на засыпку /хотя может уже и обсуждалось, тогда сори - пните куда следует)/ :
если, при самой первой установке двухфакторки, я не записал в самом начале некий код на бумажку.
Да, пользуюсь давно двухфакторкой, и не на одном устройстве. И на компе на всяк случай стоит. НО ! некий код я в самом начале не записал.
Вопрос: как и где его взять сейчас /посмотреть, восстановить, поглазеть... / и возможно ли такое ?

Если возможно, - это гуд, но ежели нет, то какой выход ? -
Скорее всего - отменять везде двухфакторку и заново ставить, но уже с сохранением кода  .. угадал? или не очень ?))

[yurez]

Вопрос на засыпку /хотя может уже и обсуждалось, тогда сори - пните куда следует)/ :
если, при самой первой установке двухфакторки, я не записал в самом начале некий код на бумажку.
Да, пользуюсь давно двухфакторкой, и не на одном устройстве. И на компе на всяк случай стоит. НО ! некий код я в самом начале не записал.
Вопрос: как и где его взять сейчас /посмотреть, восстановить, поглазеть... / и возможно ли такое ?

Если возможно, - это гуд, но ежели нет, то какой выход ? -
Скорее всего - отменять везде двухфакторку и заново ставить, но уже с сохранением кода  .. угадал? или не очень ?))

Угадали, я только что проверил. Отключил 2FA и при повторном включении сгенерировался новый цифровой код и новый QR код.

[bachichak]

Вопрос на засыпку /хотя может уже и обсуждалось, тогда сори - пните куда следует)/ :
если, при самой первой установке двухфакторки, я не записал в самом начале некий код на бумажку.
Да, пользуюсь давно двухфакторкой, и не на одном устройстве. И на компе на всяк случай стоит. НО ! некий код я в самом начале не записал.
Вопрос: как и где его взять сейчас /посмотреть, восстановить, поглазеть... / и возможно ли такое ?

Если возможно, - это гуд, но ежели нет, то какой выход ? -
Скорее всего - отменять везде двухфакторку и заново ставить, но уже с сохранением кода  .. угадал? или не очень ?))

Угадали, я только что проверил. Отключил 2FA и при повторном включении сгенерировался новый цифровой код и новый QR код.

я извините в танке с некоторых пор  , по сему попрошу поподробнее для меня )
Для начала я как понимаю скажу/пишу/: у меня порядка около 50ти ресурсов завязаных на 2ФА (двуфакторку). Как я понимал ранее, нужно на каждом отключить 2ФА, потом снести программу 2ФА польностью. И, при повторной инсталяции, сохранить код и все прочее - так?

[Bigpat]

Для начала я как понимаю скажу/пишу/: у меня порядка около 50ти ресурсов завязаных на 2ФА (двуфакторку). Как я понимал ранее, нужно на каждом отключить 2ФА, потом снести программу 2ФА польностью. И, при повторной инсталяции, сохранить код и все прочее - так?

Если Вы вовремя спохватились и телефон с двухфакторками живой, тогда проблем нет вообще не каких. ничинаете подряд чикать все свои ресурсы.
Порядок действий:
1. Заходите на ресурс и отключаете 2FA. При этом у Вас запрашивают 2FA сгенерированный код на телефоне.
2. После отключения сносите 2FA этого сервиса с телефона.
3. Включаете заново 2FA на своем сервисе.
4. Сохраняете заново сгенерированный сервисом QR-код.
5. Сканируете QR-код телефоном для его активации и вводите код с телефона в систему.
И так поступаете со всеми своими сервисами, на которые привязана 2FA авторизация.
Если же телефон не в порядке и до кодов 2FA не добраться, тогда выход один. Писать в тех. поддержку и просить отключить 2FA. Они конечно это сделают, но сначала зададут немало вопросов чтобы убедиться что это Вы, а не хакер.

[bachichak]

Для начала я как понимаю скажу/пишу/: у меня порядка около 50ти ресурсов завязаных на 2ФА (двуфакторку). Как я понимал ранее, нужно на каждом отключить 2ФА, потом снести программу 2ФА польностью. И, при повторной инсталяции, сохранить код и все прочее - так?

Если Вы вовремя спохватились и телефон с двухфакторками живой, тогда проблем нет вообще не каких. ничинаете подряд чикать все свои ресурсы.
Порядок действий:
1. Заходите на ресурс и отключаете 2FA. При этом у Вас запрашивают 2FA сгенерированный код на телефоне.
2. После отключения сносите 2FA этого сервиса с телефона.
3. Включаете заново 2FA на своем сервисе.
4. Сохраняете заново сгенерированный сервисом QR-код.
5. Сканируете QR-код телефоном для его активации и вводите код с телефона в систему.
И так поступаете со всеми своими сервисами, на которые привязана 2FA авторизация.
Если же телефон не в порядке и до кодов 2FA не добраться, тогда выход один. Писать в тех. поддержку и просить отключить 2FA. Они конечно это сделают, но сначала зададут немало вопросов чтобы убедиться что это Вы, а не хакер.

Спасибо Bigpat ! Как всегда развернутый ответ )
Я, все же,   уточню вопрос.. Телефон в порядке и на всяк случай поставил на комп такую же прогу /Authy/ и все синхронизировано.
Все у меня работает, коды показывает, пароль от проги сложный знаю, периодически его прога спрашивает, ввожу и все ОК.
Вопрос в том, что /насколько я понимаю/ при САМОМ первом запуске данной программы, предлагалось сохранить некий ОСОБЫЙ код, который позволяет восстановить все учетки. Я правильно понимаю? По-поводу самого первого кода?
Я то уже не помню что там было в самом начале и был ли вообще такой код ))

ЗЫ. Процедура понятна, но блин такой влом у всех выключать, сносить прогу, заново ставить и по новой. Хотя оно того стоит наверное.
А может я излишне кипишую ..

[Bigpat]

Вопрос в том, что /насколько я понимаю/ при САМОМ первом запуске данной программы, предлагалось сохранить некий ОСОБЫЙ код, который позволяет восстановить все учетки. Я правильно понимаю? По-поводу самого первого кода?

Если Вы в самый первый раз не сохранили QR-код, его восстановить или достать никак нельзя. Можно только поступить так как я описал выше. Деактивировать 2FA в сервисе, снести соответствующую запись на телефоне, заново сгенерировать в сервисе 2FA и отсканировать телефоном для получения новой записи для входа в систему.

Еще почитайте мой последний гайд, возможно он Вам тоже поможет в дальнейшем бережнее и надежнее сохранять и иметь доступ к своим кодам авторизации: https://www.altcoinstalks.com/index.php?topic=90307.

ЗЫ. Процедура понятна, но блин такой влом у всех выключать, сносить прогу, заново ставить и по новой. Хотя оно того стоит наверное.

Я не говорил сносить прогу. Нужно только удалить соответствующую запись в программе.
К примеру, у Вас есть код от биржи Binance. Отключаете 2FA на бирже. Далее в телефоне нажимаете на код 2FA Binance и деержите несколько секунд в нажатом состоянии. Вверху появится запрос об удалении кода. Удаляете только его. Далее поступаете по инструкции выше.

[andrewBud]

проблема возникает, если биржа с неадекватной поддержкой. попробуйте достучаться до биржи yobit. очень долго обычно будете ждать.

[emsti]

Обычно все хакеры, аферисты, мошенники и прочая нечисть слетается туда, где есть щели, откуда веет запахом денег. Поэтому свои средства следует держать в герметически закупоренных банках. Иными словами, надо почаще обновлять пароли, изменять адреса почтовых ящиков, проверять свои хранилища и перепрятывать деньги.

[mangol]

Никогда не делаю двухфакторку просто она мне не надо так как на счету у меня очень мало финансов и если я потеряю свой телефон есть шанс, что я не восстановлю свой код.

[большой кит]

Всегда стараюсь пользоваться двухфакторкой потому, как мне это помогает и я не так волнуюсь за то что кто то сможет взломать меня.

[RBSPACE]

Всегда в основном в том числе для бирж использую Google authenticator в качестве двухфакторной аутентификации. Все просто и эффективно и все устраивает.

Из негативного опыта использования двухфакторки это: яндекс-ключ.  По сравнению Google authenticator мне он показался как небо и земля.  В отличие от google, он требует ещё дополнительно ввести заданный до этого пинкод и если он не правильный об этом не сообщает и просто генерирует не правильные пароли/либо неправильно считывает qr-код. 
Потерял из-за этого заданного пинкода вначале 2 почты от яндекса. 

 В целом приоритет отдаю Google authenticator, мне он кажется безопасней sms-подтверждений.

[emsti]

И взломщики, и производители любых защитных программ, устройств и приспособлений в один голос утверждают, что идеальных замков просто не существует. Идеальная защита возможна только теоретически.

[Bigpat]

И взломщики, и производители любых защитных программ, устройств и приспособлений в один голос утверждают, что идеальных замков просто не существует. Идеальная защита возможна только теоретически.

К сожалению по теории вероятности на пустом месте из атомов может случайным образом появиться что угодно, от машины до ядерного реактора. Вероятность очень маленькая, но все-же она есть. Поэтому 100% защиты в принципе быть не может. Но в обычной жизни хватает того что имеется. Главное не усугублять данную вероятность своими бездумными действиями: следить за "чистотой" операционной системы, хранить в секретных местах несколько копий наиболее важных данных и не светить нигде свои приватные ключи. И все будет х о р о ш о.