Опасность двухфакторной аутентификации

[maloy1cs]

Криптa любит тишину! Если меньше трепаться о своих доходах и не переходить по всяким ссылкам в письмах на почте, не лазить на непонятных сайтах, тогда всё будет нормально! По большому счёту в случае взлома мы виноваты сами! И не забываем за диверсификацию.

[eiwf32]

Все перечисленные угрозы - это в случае с 2fa по SMS.
Существуют разные способы 2fa.
Например, google authenticator.
И если сервис позволяет, лучше просто отказаться от 2fa по SMS.

[Red Ron]

ну двухфакторку очень тяжело ломануть, практически невозможно, я полностью доверяю этой системе и пользуюсь уже давно

В топике речь идет о двухфакторке через смс. Вот ее как раз при желании специалисту сломать не так трудно. Собственно основные способы автор описал. А вот гугл аунтификатор подобрать действительно сложно, сам везде пользуюсь и не слышал проблем по нему. Главное ключ не забывать сохранять

[Mr_Rich]

Что может быть опасного в двухфактороной аутентификации? Наоборот она самая безопасная и жалко что ее нет у таких кошельков например как MyEtherWallet. Она бы спасла от фишинга и подобных взломов!

Я вот кстати не понимаю почему MyEtherWallet не может сделать двухфакторку, нет какой то технической возможности? Просто это очень удобно и безопасно

[veraro]

спасибо за статью,много полезного и интересного, сам стараюсь везде 2фа подключать,от греха подальше, правда риск потом просрать все тоже остается,если устройство похерится, но на это меньше шансов чем,что у тебя уведут пароли,ключи

Если относится к процессу безответственно то конечно в случае поломки или потри телефона можно потерять все аккаунты, или по крайней мере очень помучится восстанавливая доступ. Достаточно делать скрины QR кодов и сохранять их где нибудь в надежном месте. И не обязательно использовать гугл аутентификатор, есть и другие программы где аккаунты легко восстанавливаются с помощью сохраненных ключей. Authy можно на несколько устройств установить.

[mrPix]

Вопрос к автору топика: если двухфакторная аутентификация стоит не через SMS, а через QR-код, то какие угрозы существуют помимо кражи или потери самого QR-кода? Спасибо.

могут применить старую добрую СИ, пример:

«(Уведомление от Google™) Недавно мы обнаружили подозрительную попытку входа в ваш аккаунт jschnei4@gmail.com с IP-адреса 136.91.38.203 (Вакавилл, Калифорния). Если вы не пытались авторизоваться из этого места и хотите чтобы работа вашего аккаунта была временно приостановлена, пожалуйста, ответьте на это уведомление шестизначным кодом верификации, который вы получите в ближайшее время. Если попытку авторизации предпринимали вы, просто проигнорируйте данное предупреждение».

 есть ещё способы, при желании и в целях себя обезопасить, лучше, конечно, знать о них.

[juni4000]

Справедливости ради стоит сказать, что уже не осталось операторов перевыпускающих симку только по копии паспорта. Даже по правам менять запретили. Что не отменяет других перечисленных способов компрометации.

[alexrums]

Достаточно интересная статейка. Однако как было сказано кем-то выше, взломать могут что угодно и когда угодно. Все эти способы защиты просто приятный бонус, для того, чтобы человек мог спать спокойно, надеясь на то, что его не ограбят. На самом же деле, лишиться можно всех средств за одну минуту.

[AlexandrInt]

Достаточно интересная статейка. Однако как было сказано кем-то выше, взломать могут что угодно и когда угодно. Все эти способы защиты просто приятный бонус, для того, чтобы человек мог спать спокойно, надеясь на то, что его не ограбят. На самом же деле, лишиться можно всех средств за одну минуту.

Тоже с интересом почитал статью и посты, очень понравилось, но люди знают о нас столько, насколько мы говорим о себе, так что самая лучшая защита, это ваше молчание по данному поводу, ну а баунтистам, думаю, что действительно беспокоиться не о чем, хотя всякое может быть.

[FACE 2 FACE]

Паранои много не бывает Почитал,интересно, мысли совпадают. Симка бугорная давно в работе)))
Хотел бы добавить что как и в любом бизнесе профессионал всегда обставит любителя. И если у кого-то появилась причина взломать или прослушать, то скорее всего он преуспеет.

Я конечно о многом догадывался,но не думал что опасность прям в самом простом может быть)) спасибо за интересный топик,некоторые моменты прям заставили задуматься по поводу безопасности.

[OverGluK]

Спасибо за информацию автору. Уже рассматривал некоторые дыры в безопасности по 2FA по sms, но тут все разложено по полочкам и с примерами. Теперь буду внимательнее относится к этому вопросу и для двухфакторки с СМСками заведу пару отдельных симок.
По гугловскому 2FA уже разок столкнулся с проблемами когда телефон решил покончить свою электронную жизнь упав на асфальт... Теперь все ключи записываю отдельно

[Bitico777]

Да уж, спасибо за советы. Страшновато, хотя и суммы не такие большие. Перестал в последнее время говорить всем подряд, что занимаюсь криптой, а раньше любил похвалиться.

[Natali98]

Получается, что 100 процентной гарантии безопасности просто не существует? Компрометация персональных  данных всегда вероятна. Надо быть начеку.Но главное, чтобы это не превращалось в паранойю, а то так окончание своих дней можно провести в психбольнице

[NORD YGGDRASIL]

Да уж, спасибо за советы. Страшновато, хотя и суммы не такие большие. Перестал в последнее время говорить всем подряд, что занимаюсь криптой, а раньше любил похвалиться.

Первое правило держать рот на замок. Многие все равно ен в теме, а кто в теме то понимает что здесь крутятся деньги,так что реально лучше об этом молчать и кроме самого себя лучше не кому не знать.

[Mars13]

Игры в шпионов с прослушкой телефонов будут рентабельны для злоумышленника при конкретной наводке и все описанные способы могут быть воплощены в реальность лишь при значительных суммах на счетах. Даже не знаю какая должна быть сумма что бы начать заморачиваться по поводу украденных sms.

[nartovs05]

Однозначно один из самых опасных способов двухфакторной аутентификации это с помощью смсок, так как например в россии при сговоре с сотрудником оператора изи можно сделать дубликат симки и побыстрому взломать все что можно тебе.

Конечно полностью обезопасить свой крипто кошелек наверное нельзя но это не значит что двухфакторная аутентификация плохо.

[Udrujes]

Ну все описываемые способы слишком хакерские, которые требуют ощутимых затрат. Но все равно это самый простой способ значительно усилить защиту. Можно конечно использовать генератор кодов для двухфакторной аутентификации, но и там есть подобные трюки.

[Olympic]

Молчать - конечно это основное. Никто не должен знать о ваших активах. Если в новостях пишут, что на дороге не известные заблокировали машину бизнесмена и о отобрали сумку с 10 миллионами - они действовали по наводке,  а не ездили по городу и искали кого бы грабануть.

[chimk]

ёпта а пароль кошелька подобрать совсем не проблема чтоле?

[mrPix]

ёпта а пароль кошелька подобрать совсем не проблема чтоле?

проблема-не проблема, но есть фишинг, вирусы, которые с радостью прочитают твой пароль.  Ну а если там все совсем тухло - можно побрутить.