duesoldi (OP)
Legendary
 Offline
Activity: 2562
Merit: 2640
|
 |
February 28, 2020, 05:42:35 PM Merited by fillippone (2) |
|
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA : https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse. Io lo usavo ma cercherò qualche altra app. Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro..... |
|
|
|
|
|
|
|
Once a transaction has 6 confirmations, it is extremely unlikely that an attacker without at least 50% of the network's computation power would be able to reverse it.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
February 28, 2020, 06:17:41 PM |
|
l'unica pecca di Authy è di non essere opensource, per il resto è molto comoda. Come 2fa opensource conosco andOTP ( https://github.com/andOTP/andOTP ), purtroppo è solo per Android. Per gli utenti iOS non credo ci siano alternative. edit: ho letto dopo il link e viene menzionata anche lì |
|
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
February 28, 2020, 06:47:05 PM |
|
sarra' risolto da Google trapoco
Hai un link a qualche notizia ufficiale? giusto per capire anche i tempi: se non fossero brevi sarebbe rischioso aspettare. |
|
|
|
|
|
big_daddy
|
|
February 28, 2020, 10:38:17 PM |
|
Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura
|
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
February 29, 2020, 06:10:16 PM |
|
Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá
Non essendo aggiornata l’app, peró, non vuol dire che non é sicura
In questo caso sì. Nel link che ho messo in OP si fa riferimento a quest'altro: https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/che a sua volta punta a questo che spiega meglio il tutto: https://www.threatfabric.com/blogs/2020_year_of_the_rat.htmle in quest'ultimo viene detto: Abusing the Accessibility privileges, the Trojan can now also steal 2FA codes from Google Authenticator application. When the app is running, the Trojan can get the content of the interface and can send it to the C2 server. considerando che parla del trojan Cerberus che è stato lanciato nel giugno 2019, in questo caso è proprio il mancato aggiornamento dell'app il vero fattore di rischio. |
|
|
|
|
|
big_daddy
|
|
February 29, 2020, 07:08:01 PM |
|
Ok, visto Il rischio é presente su piattaforme Android, quindi io sono sicuro, per ora  |
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
jack0m
Legendary
Offline
Activity: 3626
Merit: 1988
|
|
February 29, 2020, 07:33:19 PM |
|
|
Money is a hoax. Debt is slavery. Consumerism is toxic.
|
|
|
|
|
alexrossi
Legendary
Offline
Activity: 3738
Merit: 1742
Join the world-leading crypto sportsbook NOW!
|
|
March 01, 2020, 04:52:26 PM |
|
Rispetto a SMS hijacking siamo ancora anni luce più tranquilli imho. Purtroppo c'è ancora la brutta abitudine di fidarsi troppo di servizi centralizzati e non minimizzare il rischio (non parlo di traders).
|
|
|
|
|
Dernoste
|
|
March 01, 2020, 06:49:29 PM |
|
mi sono sempre chiesto quanto potessere essere sicuro google authenticator...
per questo l'ho installato in un vecchio telefono senza scheda sim ne wireless attivo, voi vi fidate di google?
un buon motore di ricerca.niente più!
|
|
|
|
|
babo
Legendary
Offline
Activity: 3598
Merit: 4143
|
|
March 24, 2020, 12:48:51 PM |
|
Mi ero perso questa discussione, a cui posso aggiungere alcune cose: - non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
- switchate a yubikey, chiave fisica e non una app
e state sempre con gli occhi aperti |
.
.BLACKJACK ♠ FUN. | | | ███▄██████
██████████████▀
████████████
█████████████████
████████████████▄▄
░█████████████▀░▀▀
██████████████████
░██████████████
█████████████████▄
░██████████████▀
████████████
███████████████░██
██████████ | | CRYPTO CASINO &
SPORTS BETTING | | │ | | │ | ▄▄███████▄▄
▄███████████████▄
███████████████████
█████████████████████
███████████████████████
█████████████████████████
█████████████████████████
█████████████████████████
███████████████████████
█████████████████████
███████████████████
▀███████████████▀
███████████████████ | | .
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
March 24, 2020, 01:16:16 PM |
|
Mi ero perso questa discussione, a cui posso aggiungere alcune cose: - non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
- switchate a yubikey, chiave fisica e non una app
e state sempre con gli occhi aperti Ho più volte sentito parlare di yubikey e ritengo che un hardware password manager sia la soluzione più efficace e anche piuttosto comodo. Tu la utilizzi? In tal caso vorrei farti due domande: 1) Mi sembra di capire che al momento solo alcuni siti/servizi consentono l'utilizzo di yubikey ( https://www.yubico.com/works-with-yubikey/catalog/), dunque se non presente in questa lista non potrei utilizzare la yubikey. Confermi? 2) Nel caso di smarrimento/furto/danneggiamento vi è qualche tipo di protezione/backup? |
|
|
|
|
babo
Legendary
Offline
Activity: 3598
Merit: 4143
|
|
March 24, 2020, 01:53:26 PM |
|
1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte
spiegato nel mio corso (che ti consiglio)
|
.
.BLACKJACK ♠ FUN. | | | ███▄██████
██████████████▀
████████████
█████████████████
████████████████▄▄
░█████████████▀░▀▀
██████████████████
░██████████████
█████████████████▄
░██████████████▀
████████████
███████████████░██
██████████ | | CRYPTO CASINO &
SPORTS BETTING | | │ | | │ | ▄▄███████▄▄
▄███████████████▄
███████████████████
█████████████████████
███████████████████████
█████████████████████████
█████████████████████████
█████████████████████████
███████████████████████
█████████████████████
███████████████████
▀███████████████▀
███████████████████ | | .
|
|
|
|
|
bitcoin-shark
|
|
March 24, 2020, 07:46:25 PM |
|
non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...
|
|
|
|
|
babo
Legendary
Offline
Activity: 3598
Merit: 4143
|
|
March 25, 2020, 09:10:06 AM |
|
non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...
se binance lo supporta si devi guardare che tipo di 2fa supportano.. ad esempio kraken supporta yubi se non lo supporta non puoi usarlo ma puoi chiedere che lo implementino tanto davvero, implementarlo e' davvero una cagata mostruosa.. questione di volerlo |
.
.BLACKJACK ♠ FUN. | | | ███▄██████
██████████████▀
████████████
█████████████████
████████████████▄▄
░█████████████▀░▀▀
██████████████████
░██████████████
█████████████████▄
░██████████████▀
████████████
███████████████░██
██████████ | | CRYPTO CASINO &
SPORTS BETTING | | │ | | │ | ▄▄███████▄▄
▄███████████████▄
███████████████████
█████████████████████
███████████████████████
█████████████████████████
█████████████████████████
█████████████████████████
███████████████████████
█████████████████████
███████████████████
▀███████████████▀
███████████████████ | | .
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
March 25, 2020, 12:26:54 PM |
|
1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile
2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte
spiegato nel mio corso (che ti consiglio)
Speravo in qualche procedura di recupero in stile seed. Grazie per le risposte Un ulteriore domanda: nel caso volessi utilizzare la yubikey sia su pc che su smartphone, dovrei utilizzarne due differenti giusto? tra i prodotti non non mi sembra di vedere una yubikey che abbia sia USB che type-c. (in alternativa si potrebbe usare un adattatore USB/typeC |
|
|
|
|
|
mr.robot8
|
|
March 26, 2020, 04:30:44 PM |
|
pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa
|
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
March 26, 2020, 07:48:44 PM |
|
pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa
Gli sms non sono sicuri, basta un SIM swapping ( https://en.wikipedia.org/wiki/SIM_swap_scam) e il 2fa va a farsi benedire. L'account email invece come lo proteggi?  |
|
|
|
|
|
lukax8
|
|
May 19, 2020, 09:04:12 PM |
|
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA : https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse. Io lo usavo ma cercherò qualche altra app. Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro..... Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque  ) https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=itVi riporto il changelog: Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app. Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone. Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità? |
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
May 19, 2020, 10:00:34 PM |
|
Eccolo sto maledetto thread! Avevo letto di questo aggiornamento un paio di settimane fa su hwupgrade: https://www.hwupgrade.it/news/telefonia/google-authenticator-si-aggiorna-dopo-anni-dall-ultimo-update-ecco-cosa-cambia_89189.htmlma non sono riuscito a rintracciare questo thread per linkare l'articolo, nonostante una ricerca su google ristretta a questo sito: mannaggia a me!  Grazie per averlo riesumato.... Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?
Dire che in generale non si debba mai usare un sistema per 2FA come questo sullo stesso cell nel quale hai magari un wallet sw. Bisogna usarlo come sistema per accedere a siti con browser da pc o strumenti terzi. Le solite attenzioni insomma. Buon segno comunque il fatto che finalmente si siano decisi ad aggiornarlo. |
|
|
|
|
|
Lillominato89
|
|
May 20, 2020, 05:04:09 AM |
|
Che si siano decisi ad aggiornarla è un bene, mi aspettavo di più sinceramente, qualche accorgimento sulla sicurezza non sarebbe guastato, o forse non ne parlano sul link che hai mandato. cercherò sul web
|
| .
.Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄
███░░░░███░░░░███
▀░░░▀░░▀░░░▀░░▀░░░▀
▄░░░░░░░░░░░░
▀██████████
░░░░░███░░░░▀
░░█░░░███▄█░░░█
░░██▌░░███░▀░░██▌
░█░██░░███░░░█░██
░█▀▀▀█▌░███░░█▀▀▀█▌
▄█▄░░░██▄███▄█▄░░▄██▄
▄███▄
░░░░▀██▄▀ | .
REGIONAL
SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██
██░▀░██░█░███░▀██░███▄█
█▄███▄██▄████▄████▄▄▄██
██▀ ▀███▀▀░▀██▀▀▀██████
███▄███░▄▀██████▀█▀█▀▀█
████▀▀██▄▀█████▄█▀███▄█
███▄▄▄████████▄█▄▀█████
███▀▀▀████████████▄▀███
███▄░▄█▀▀▀██████▀▀▀▄███
███████▄██▄▌████▀▀█████
▀██▄███▀██▄█▄▄▄██▄████▀
▀▀██████████▄▄███▀▀
▀▀▀▀█▀▀▀▀ | .
EUROPEAN
BETTING
PARTNER | |
|
|
|
|
big_daddy
|
|
May 20, 2020, 10:09:09 AM |
|
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA : https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse. Io lo usavo ma cercherò qualche altra app. Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro..... Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque ) https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=itVi riporto il changelog: Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app. Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone. Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità? Bella questa novitá Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa  |
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
May 20, 2020, 12:14:36 PM |
|
Bella questa novitá Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa Fallo però nel caso in cui questo smartphone di riserva sia stato nel frattempo aggiornato con patch di sicurezza perché se fosse vecchio vecchio e quindi probabilmente non più aggiornato rischieresti che possano esserci serie vulnerabilità. Il metodo più sicuro per conservare le chiavi dei sistemi 2FA secondo me resta quello di farsi una copia del codice iniziale e conservarlo offline da qualche parte al sicuro. |
|
|
|
|
LordStapy
Member
Offline
Activity: 110
Merit: 94
|
|
May 30, 2020, 04:22:18 PM |
|
A mio avviso l'aggiornamento lo rende meno sicuro. Perché? Per lo stesso motivo per cui considero authy insicuro, la possibilità di fare il backup! Questa sottospecie di analisi riguarda esclusivamente la componente "mondo reale". Immaginiamo un utente standard con un solo smartphone, no permessi di root e backup dei seed fatti al momento dell'attivazione del 2FA. Se il seed non può essere estratto l'utente ha la (quasi) certezza di avere un 2FA non compromesso, nel momento in cui smarrisce lo smartphone o subisce un furto tutti i codici sono da considerare compromessi, a quel punto l'utente prende i suoi backup, si collega ai vari servizi e reimposta 2FA. L'unico modo che un attaccante ha di impossessarsi dei codici 2FA (seed o OTP) è impossessarsi del dispositivo, ma a quel punto l'utente se ne accorge e può proteggersi. Attacco: - inserire il codice 2FA di fronte alla vittima
- rubare il dispositivo
Difesa: - no root (permette l'accesso diretto al db contenente i seed)
- possedere il dispositivo
Ora passiamo all'altro scenario, l'utente non ha modo di "verificare" che i suoi seed 2FA siano ancora sicuri perché ad un attaccante basterebbe impossessarsi del dispositivo solo per il tempo necessario a effettuare il backup. Attacco: - tutte le precedenti
- "posso fare una telefonata" e backup
Difesa: - nessuna delle precedenti
- non lasciare mai il dispositivo a terzi
Riassumendo, la funzione backup rimuove uno strato di sicurezza e aggiunge un vettore di attacco. |
BTC: 1Lord4dwWriXw7T8QoyaNmamYWup8g76Tu
|
|
|
|
