|
|
|
|
|
It is a common myth that Bitcoin is ruled by a majority of miners. This is not true. Bitcoin miners "vote" on the ordering of transactions, but that's all they do. They can't vote to change the network rules.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
GrosWesh
Legendary
 Offline
Activity: 2268
Merit: 1434
|
 |
November 01, 2019, 10:47:37 PM |
|
Tout ça reste vulnérable et il est préférable d'utiliser une clé U2f comme par exemple celle que tu avais présenté dans ton sujet ( https://bitcointalk.org/index.php?topic=5174312.msg52120163#msg52120163). Je suis tombé encore tout à l'heure sur la page de présentation d'un produit 'clé en main' permettant de mettre en place des systèmes de phishing capables d'outre passer le 2fa  Je ne pense pas qu'il soit judicieux d'en poster le lien ici mais c'est édifiant. |
|
|
|
|
guigui371
Legendary
Offline
Activity: 2114
Merit: 1693
C.D.P.E.M
|
|
November 02, 2019, 04:31:58 AM |
|
~snip~
MErci, pour le coup c'est pas mal comme solution. J'aime le fait que tu puisse sauvegarder le fichier en local. Je n'ai jamais voulu aller vers AUTHY car c'est pas impossible que si quelqu'un fait un SIM-SWAP alors il puisse acceder aux 2fa code. Depuis qui j'ai google authetificator, j'ai 2 telephone (et me le code sur chaque) et je garde aussi la masterkey sur un disque dure encrypte. Tout ça reste vulnérable ~snip~ Pourquoi tu dis ca ? Peux tu elaborer sur e fait que ce ne sois pas secure ? |
it ain't much but it's honest work
|
|
|
GrosWesh
Legendary
Offline
Activity: 2268
Merit: 1434
|
|
November 02, 2019, 07:58:09 AM
Last edit: November 02, 2019, 08:27:47 AM by GrosWesh |
|
Tout ça reste vulnérable ~snip~ Pourquoi tu dis ca ? Peux tu elaborer sur e fait que ce ne sois pas secure ? Comme j'ai écrit au dessus, il existe des solutions pour contourner le 2fa. Les plus méfiants/mieux sécurisés ne tomberont pas dans le panneau mais le phishing reste possible. A contrario une clé hardware va communiquer directement avec le site qu'on souhaite visiter et si le nom de domaine n'est pas parfaitement reconnu, alors la communication échouera. Ca ne date pas d'aujourd'hui et si on reste prudent le 2fa n'est pas si vulnérable non plus. |
|
|
|
|
asche (OP)
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
November 02, 2019, 08:06:00 AM |
|
Évidemment qu'une clé u2f c'est mieux, mais aucun n'échange n'offre ne compatibilité u2f.
Et en terme de 2fa ça reste plus sur que du SMS.
Sinon poste le lien je t'en prie. Ça permet de savoir de quoi se méfier.
|
|
|
|
|
|
|
asche (OP)
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
November 02, 2019, 09:27:53 AM |
|
Ca c'est une grande nouvelle. Je ne m'en étais pas aperçu en aout quand j'avais fait mes recherches. Sinon il faut quand même rappeler que bien que la 2fa n'est pas infaillible, ça reste beaucoup mieux que pas de 2fa, et que le phishing 2fa reste quand même à la marge. Il faut vraiment que le code soit récupéré au bon moment, et que l'attaque soit réalisée dans les secondes qui suivent. |
|
|
|
|
GrosWesh
Legendary
Offline
Activity: 2268
Merit: 1434
|
|
November 02, 2019, 09:32:25 AM |
|
Ca c'est une grande nouvelle. Je ne m'en étais pas aperçu en aout quand j'avais fait mes recherches. Sinon il faut quand même rappeler que bien que la 2fa n'est pas infaillible, ça reste beaucoup mieux que pas de 2fa, et que le phishing 2fa reste quand même à la marge. Il faut vraiment que le code soit récupéré au bon moment, et que l'attaque soit réalisée dans les secondes qui suivent. Oui exact le 2fa n'est pas annoncé comme infaillible. Concernant la clé Titan sur Binance tu testera mais un tweet de juillet fait tout de même état de soucis de compatibilité sur Binance, cet exchange ayant quand même tendance à favoriser Yubikey  |
|
|
|
|
asche (OP)
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
November 02, 2019, 10:07:14 AM |
|
Oui exact le 2fa n'est pas annoncé comme infaillible. Concernant la clé Titan sur Binance tu testera mais un tweet de juillet fait tout de même état de soucis de compatibilité sur Binance, cet exchange ayant quand même tendance à favoriser Yubikey Alors premier essai avec la clé USB/NFC. Clé reconnue, mais rien ne se passe quand j'appuie sur le bouton. Je vais tester si la clé est défectueuse ou si c'est bien un soucis de compatibilité binance. La clé USB/bluetooth avec le bouton physique, aucun problème. Ajouté et reconnu immédiatement. Je vais activer le U2F uniquement pour le withdrawal et le changement de mot de passe par contre, vu que je ne l'ai pas systématiquement avec moi, contrairement à Google Auth/Aegis. |
|
|
|
|
guigui371
Legendary
Offline
Activity: 2114
Merit: 1693
C.D.P.E.M
|
|
November 03, 2019, 02:49:43 AM |
|
Tout ça reste vulnérable ~snip~ Pourquoi tu dis ca ? Peux tu elaborer sur e fait que ce ne sois pas secure ? Comme j'ai écrit au dessus, il existe des solutions pour contourner le 2fa. Les plus méfiants/mieux sécurisés ne tomberont pas dans le panneau mais le phishing reste possible. A contrario une clé hardware va communiquer directement avec le site qu'on souhaite visiter et si le nom de domaine n'est pas parfaitement reconnu, alors la communication échouera. Ca ne date pas d'aujourd'hui et si on reste prudent le 2fa n'est pas si vulnérable non plus. ah oui en effet les hacker ont des outils qui deviennent de plus en plus facile a utiliser et de plus en plus convainquant. Bon apres c'est du phising, si on utilise des bookmark, ne clique pas sur des liens suspicieux / et ou tapent sois meme les addresse web ca permet deja de supprimer pas mal de menace phising. Ca c'est une grande nouvelle. Je ne m'en étais pas aperçu en aout quand j'avais fait mes recherches. Sinon il faut quand même rappeler que bien que la 2fa n'est pas infaillible, ça reste beaucoup mieux que pas de 2fa, et que le phishing 2fa reste quand même à la marge. Il faut vraiment que le code soit récupéré au bon moment, et que l'attaque soit réalisée dans les secondes qui suivent.Oui en effet, et par exemple Binance me bloque l'access a mon compte si je me connect depuis une nouvelle address IP. Donc meme si il a le mot de passe, l'email et le 2fa il n'aura pas acces aux coins. Et vu que mon password email et binance ne sont pas les meme, bonne chance. 1 service, 1 password, pas de reutilisation. je m'arrache les cheveux a expliquer a ma femme que carambar56 n'est pas un bon password (elle l'utilise partout !!!) (bon son password en vrais c'est pas carambar56 mais c'est vraiment pas plus complique que ca ... heureusement elle ne fais rien de crypto donc rien de vraiment mechant si elle se fait hacker) |
it ain't much but it's honest work
|
|
|
Saint-loup
Legendary
Offline
Activity: 2604
Merit: 2353
|
|
November 04, 2019, 02:34:21 PM |
|
Oui en effet, et par exemple Binance me bloque l'access a mon compte si je me connect depuis une nouvelle address IP.
Donc meme si il a le mot de passe, l'email et le 2fa il n'aura pas acces aux coins.
Et vu que mon password email et binance ne sont pas les meme, bonne chance.
1 service, 1 password, pas de reutilisation.
je m'arrache les cheveux a expliquer a ma femme que carambar56 n'est pas un bon password (elle l'utilise partout !!!)
(bon son password en vrais c'est pas carambar56 mais c'est vraiment pas plus complique que ca ... heureusement elle ne fais rien de crypto donc rien de vraiment mechant si elle se fait hacker) Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique. |
|
|
|
asche (OP)
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
November 04, 2019, 06:20:52 PM |
|
Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique.
Pour moi le 2FA ne se reset pas uniquement avec le mail. Il te faut re prouver ton identité. Sinon kenza s'est fait hacker son Kraken, et à ce moment je crois que kraken n'avait pas encore rendu le 2FA obligatoire. (en tout cas sur binance, reset 2FA = KYC la seule fois où j'ai testé). |
|
|
|
|
guigui371
Legendary
Offline
Activity: 2114
Merit: 1693
C.D.P.E.M
|
|
November 04, 2019, 07:50:16 PM |
|
Oui en effet, et par exemple Binance me bloque l'access a mon compte si je me connect depuis une nouvelle address IP.
Donc meme si il a le mot de passe, l'email et le 2fa il n'aura pas acces aux coins.
Et vu que mon password email et binance ne sont pas les meme, bonne chance.
1 service, 1 password, pas de reutilisation.
je m'arrache les cheveux a expliquer a ma femme que carambar56 n'est pas un bon password (elle l'utilise partout !!!)
(bon son password en vrais c'est pas carambar56 mais c'est vraiment pas plus complique que ca ... heureusement elle ne fais rien de crypto donc rien de vraiment mechant si elle se fait hacker) Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique. Comme l'a dis Asche, si le hacker connais mom email il peut demander a reset le mot de passe de Binance. Mais meme avec le nouveau mot de passe il lui faudra le 2FA de binance. Pour desactiver le 2FA il faut mettre le 2FA et / ou prouver le KYC (photo de moi avec un nouveau timestamp + adresse IP que matche les precedentes connections). Mais quand bien meme il connaisse mon email, et qu'il ait les deux mots de passe (protonmail), il faut aussi qu'il ait le 2FA (protonmail) et que je ne me rende pas compte qu'une nouvelle conenction depuis une IP inconnue ait eu lieu sur mon Binance. Ca fait beaucoup. Apres on n'est jamais a l'abris mais bon. |
it ain't much but it's honest work
|
|
|
|
