Warning! Κενά ασφαλείας σε app, wallet ktl

[chek2fire]

Νομίζω χρειάζεται το φορουμ ένα νήμα που να ανεβάζουμε ότι κενό ασφαλείας μαθαίνουμε γύρω από κάποιο app και κυρίως wallet.
Αφορμή γιαυτό το νήμα είναι το σοβαρό κενό ασφαλείας που ανακαλήφθηκε στο jaxx όπου κάποιος μπορεί να κάνει πανεύκολα exposed τα private key του πορτοφολιού. Η διαδιακασία περιγράφετε εδώ και δεν το προστατεύει ούτε το pin

https://vxlabs.com/2017/06/10/extracting-the-jaxx-12-word-wallet-backup-phrase/

νομίζω όποιος έχει στο jaxx token καλό είναι να τα μεταφέρει αλλού μέχρι να διορθωθεί το πρόβλημα

[VC George]

Nα προσθεσω κ'εγω ενα οχι ακριβως κενο ασφαλειας. Το Xapo τωρα τελευταια αργει παρα πολυ να στειλει 2FA/sms και προσπαθουν να σου επιβαλουν το app για authentication. Νομιζω κατι τετοιο δεν οδηγει σε καλα μονοπατια (καθε app εχει δικαιωματα στα κινητα που το βαζουν) + οτι εγω χρησιμοποιω απλη συσκευη για αυτα τα sms.

[evakka]

Συνάντησα και εγώ μια δυσλειτουργία.

Το official ethereum wallet αδυνατεί να κατεβάσει ολόκληρο το block chain οςες μέρες και αν το προςπαθει.
αναφέρουν πως καποια block έχουν "θεματακια" και για καταφέρει ο χρήστης να το ξεπεράσει και να συγχρονιστεί το πορτοφολι του θα πρέπει να κατεβάσει ΜΟΝΟ τα headers των block.

Έτσι λειτούργησε και σε μένα μετά απο 10 μέρες προσπάθειας και διαφόρων τεστ.

Αυτο θα μου πειτε πως ειναι bug και όχι κάτι διαφορετικό
Ειναι bug ναι, το οποίο όμως άνετα μετατρέπεται σε κενό ασφαλείας.

[chek2fire]

πρέπει να υπάρχει σοβαρό πρόβλημα με το jaxx πάντως και όπως λένε ήδη έχουν αρχίσει να αδειάζουν τα πρώτα wallet

https://twitter.com/whalecalls/status/874395589504622593

[Dimitris]

Nα προσθεσω κ'εγω ενα οχι ακριβως κενο ασφαλειας. Το Xapo τωρα τελευταια αργει παρα πολυ να στειλει 2FA/sms και προσπαθουν να σου επιβαλουν το app για authentication. Νομιζω κατι τετοιο δεν οδηγει σε καλα μονοπατια (καθε app εχει δικαιωματα στα κινητα που το βαζουν) + οτι εγω χρησιμοποιω απλη συσκευη για αυτα τα sms.

Εγώ πλέον χρησιμοποιώ Google Authenticator παντού ακριβώς γιατί τα SMS είναι αναξιόπιστα. Το μόνο του μειονέκτημα είναι ότι δεν μπορείς να κάνεις backup του μυστικού εκ των υστέρων. Όταν ρυθμίζεις μια υπηρεσία όπως το Xapo για να χρησιμοποιεί Authenticator, πρέπει το μυστικό που θα σου δώσει να το κάνεις backup επί τόπου. Από ό,τι διαβάζω το Authy σου επιτρέπει να κάνεις backup οποιαδήποτε στιγμή.

https://support.xapo.com/how-do-i-enable-second-factor-authentication/view=faq

[agaga]

Nα προσθεσω κ'εγω ενα οχι ακριβως κενο ασφαλειας. Το Xapo τωρα τελευταια αργει παρα πολυ να στειλει 2FA/sms και προσπαθουν να σου επιβαλουν το app για authentication. Νομιζω κατι τετοιο δεν οδηγει σε καλα μονοπατια (καθε app εχει δικαιωματα στα κινητα που το βαζουν) + οτι εγω χρησιμοποιω απλη συσκευη για αυτα τα sms.

Εγώ πλέον χρησιμοποιώ Google Authenticator παντού ακριβώς γιατί τα SMS είναι αναξιόπιστα. Το μόνο του μειονέκτημα είναι ότι δεν μπορείς να κάνεις backup του μυστικού εκ των υστέρων. Όταν ρυθμίζεις μια υπηρεσία όπως το Xapo για να χρησιμοποιεί Authenticator, πρέπει το μυστικό που θα σου δώσει να το κάνεις backup επί τόπου. Από ό,τι διαβάζω το Authy σου επιτρέπει να κάνεις backup οποιαδήποτε στιγμή.

https://support.xapo.com/how-do-i-enable-second-factor-authentication/view=faq

Σε rooted android μπορείς να πάρεις backup του Google Authenticator και restore ακόμα και σε άλλη συσκευή με το titaniumbackup πχ.
Διαφορετικά όντως δεν μπορείς και πρέπει να σώζεις κάπου το κλειδί από κάθε site

[Doomer]

Αντί για Google Authenticator, βάλτε το Authy, το οποίο υποστηρίζει και τα Google Authenticator accounts, και υποστηρίζει και backup και multi-device, το εγκαθιστάς δηλαδή σε smartphone, table και PC, οπότε και να χάσεις ή να σού κλέψουν το κινητό, τό ξαναεγκαθιστάς σε όποια νέα συσκευή θέλεις μαζί με τα κλειδιά σου χωρίς πρόβλημα.

Και από οποιαδήποτε συσκευή και να μπεις στο Authy μπορείς να δεις και να προσθέσεις ή να αφαιρέσεις άλλες συσκευές στις οποίες έχεις δώσει έγκριση. Γενικώς έχει όλους τους απαιτούμενους κανόνες ασφαλείας.

(Άσχετο: Το Leupay.eu δυστυχώς απαιτεί υποχρεωτικώς το χαζο-Gatekeeper, που δεν υποστηρίζεται ούτε από Authy oύτε από τίποτε άλλο, με αποτέλεσμα να έχω χάσει το κινητό μου και μαζι και την πρόσβαση στο Leupay. Ευτυχώς δεν είχα χρήματα μέσα. Έχω στείλει αίτημα στο Customer Support του Leupay να μου κάνουν reset το Gatekeeper στον λογαριασμό μου, και περιμένω απάντηση.)

[Nonos]

Αντί για Google Authenticator, βάλτε το Authy, το οποίο υποστηρίζει και τα Google Authenticator accounts, και υποστηρίζει και backup και multi-device, το εγκαθιστάς δηλαδή σε smartphone, table και PC, οπότε και να χάσεις ή να σού κλέψουν το κινητό, τό ξαναεγκαθιστάς σε όποια νέα συσκευή θέλεις μαζί με τα κλειδιά σου χωρίς πρόβλημα.

Και από οποιαδήποτε συσκευή και να μπεις στο Authy μπορείς να δεις και να προσθέσεις ή να αφαιρέσεις άλλες συσκευές στις οποίες έχεις δώσει έγκριση. Γενικώς έχει όλους τους απαιτούμενους κανόνες ασφαλείας.

(Άσχετο: Το Leupay.eu δυστυχώς απαιτεί υποχρεωτικώς το χαζο-Gatekeeper, που δεν υποστηρίζεται ούτε από Authy oύτε από τίποτε άλλο, με αποτέλεσμα να έχω χάσει το κινητό μου και μαζι και την πρόσβαση στο Leupay. Ευτυχώς δεν είχα χρήματα μέσα. Έχω στείλει αίτημα στο Customer Support του Leupay να μου κάνουν reset το Gatekeeper στον λογαριασμό μου, και περιμένω απάντηση.)

Αυτή η δυνατότητα multi-platform κάνει το authy ακατάλληλο για ασφάλεια.

[Doomer]

Χμ... Εγώ φίλε έχασα/μού βούτηξαν το κινητό. Αν δεν είχα Authy, θα είχα χάσει τον λογαριασμό μου στο Bitfinex με όλα τα Bitcoins μέσα για πάντα. (Και Google account και ό,τι άλλο.)

[chek2fire]

το authy είναι ακατάλληλο μονο για χώρες όπως οι Ηνωμένες Πολιτείες όπου μπορεί κάποιος να σου κάνει εύκολα hijack το τηλεφωνικό σου νούμερο. Εδώ στην Ελλάδα δεν μπορεί να συμβεί αυτό με τίποτα έτσι όπως είναι οι τηλεφωνικές υπηρεσίες.

[agaga]

Aν το authy δίνει δυνατότητα τοπικού backup και restore του αρχείου σε άλλη συσκευή θα το κοιτούσα. Επειδή όμως υποψιάζομαι cloud on line sync και άλλους τέτοιους δράκους θα προσπεράσω  
...
α καλά, θέλει να δώσεις και το τηλέφωνό σου 
https://authy.com/blog/how-the-authy-two-factor-backups-work/

[VC George]

Nα προσθεσω κ'εγω ενα οχι ακριβως κενο ασφαλειας. Το Xapo τωρα τελευταια αργει παρα πολυ να στειλει 2FA/sms και προσπαθουν να σου επιβαλουν το app για authentication. Νομιζω κατι τετοιο δεν οδηγει σε καλα μονοπατια (καθε app εχει δικαιωματα στα κινητα που το βαζουν) + οτι εγω χρησιμοποιω απλη συσκευη για αυτα τα sms.

Εγώ πλέον χρησιμοποιώ Google Authenticator παντού ακριβώς γιατί τα SMS είναι αναξιόπιστα. Το μόνο του μειονέκτημα είναι ότι δεν μπορείς να κάνεις backup του μυστικού εκ των υστέρων. Όταν ρυθμίζεις μια υπηρεσία όπως το Xapo για να χρησιμοποιεί Authenticator, πρέπει το μυστικό που θα σου δώσει να το κάνεις backup επί τόπου. Από ό,τι διαβάζω το Authy σου επιτρέπει να κάνεις backup οποιαδήποτε στιγμή.

https://support.xapo.com/how-do-i-enable-second-factor-authentication/view=faq

Συγνώμη αλλα θεωρώ τα apps ποιο αναξιόπιστα απο τα SMS. Και περα απο αυτο δεν χρησιμοποιώ smartphone, προτιμω τα κουμπιά και τις ανώνυμες sim. Μην ξεχνάς οτι ζουμε στο 1984 και δεν μου αρέσουν οι μεγάλοι αδερφοί