duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
February 28, 2020, 05:42:35 PM Merited by fillippone (2) |
|
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA : https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse. Io lo usavo ma cercherò qualche altra app. Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
February 28, 2020, 06:17:41 PM |
|
l'unica pecca di Authy è di non essere opensource, per il resto è molto comoda. Come 2fa opensource conosco andOTP ( https://github.com/andOTP/andOTP ), purtroppo è solo per Android. Per gli utenti iOS non credo ci siano alternative. edit: ho letto dopo il link e viene menzionata anche lì
|
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
February 28, 2020, 06:47:05 PM |
|
sarra' risolto da Google trapoco
Hai un link a qualche notizia ufficiale? giusto per capire anche i tempi: se non fossero brevi sarebbe rischioso aspettare.
|
|
|
|
big_daddy
|
|
February 28, 2020, 10:38:17 PM |
|
Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá Non essendo aggiornata l’app, peró, non vuol dire che non é sicura
|
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
February 29, 2020, 06:10:16 PM |
|
Io uso l’app su iOS (iPhone) e l’ultimo update viene implementato un’anno fá Non essendo aggiornata l’app, peró, non vuol dire che non é sicura
In questo caso sì. Nel link che ho messo in OP si fa riferimento a quest'altro: https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/che a sua volta punta a questo che spiega meglio il tutto: https://www.threatfabric.com/blogs/2020_year_of_the_rat.htmle in quest'ultimo viene detto: Abusing the Accessibility privileges, the Trojan can now also steal 2FA codes from Google Authenticator application. When the app is running, the Trojan can get the content of the interface and can send it to the C2 server. considerando che parla del trojan Cerberus che è stato lanciato nel giugno 2019, in questo caso è proprio il mancato aggiornamento dell'app il vero fattore di rischio.
|
|
|
|
big_daddy
|
|
February 29, 2020, 07:08:01 PM |
|
Ok, visto Il rischio é presente su piattaforme Android, quindi io sono sicuro, per ora
|
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
jack0m
Legendary
Offline
Activity: 3766
Merit: 2041
|
|
February 29, 2020, 07:33:19 PM |
|
|
Money is a hoax. Debt is slavery. Consumerism is toxic.
|
|
|
|
alexrossi
Legendary
Offline
Activity: 3850
Merit: 1745
Join the world-leading crypto sportsbook NOW!
|
|
March 01, 2020, 04:52:26 PM |
|
Rispetto a SMS hijacking siamo ancora anni luce più tranquilli imho. Purtroppo c'è ancora la brutta abitudine di fidarsi troppo di servizi centralizzati e non minimizzare il rischio (non parlo di traders).
|
|
|
|
Dernoste
|
|
March 01, 2020, 06:49:29 PM |
|
mi sono sempre chiesto quanto potessere essere sicuro google authenticator... per questo l'ho installato in un vecchio telefono senza scheda sim ne wireless attivo, voi vi fidate di google? un buon motore di ricerca.niente più!
|
|
|
|
babo
Legendary
Offline
Activity: 3752
Merit: 4453
The hacker spirit breaks any spell
|
|
March 24, 2020, 12:48:51 PM |
|
Mi ero perso questa discussione, a cui posso aggiungere alcune cose: - non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
- switchate a yubikey, chiave fisica e non una app
e state sempre con gli occhi aperti
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
March 24, 2020, 01:16:16 PM |
|
Mi ero perso questa discussione, a cui posso aggiungere alcune cose: - non usate authy, per quanto possa essere bello ha le vostre PRIVATE KEY (per questo funziona su piu device) io non mi fiderei
- switchate a yubikey, chiave fisica e non una app
e state sempre con gli occhi aperti Ho più volte sentito parlare di yubikey e ritengo che un hardware password manager sia la soluzione più efficace e anche piuttosto comodo. Tu la utilizzi? In tal caso vorrei farti due domande: 1) Mi sembra di capire che al momento solo alcuni siti/servizi consentono l'utilizzo di yubikey ( https://www.yubico.com/works-with-yubikey/catalog/), dunque se non presente in questa lista non potrei utilizzare la yubikey. Confermi? 2) Nel caso di smarrimento/furto/danneggiamento vi è qualche tipo di protezione/backup?
|
|
|
|
babo
Legendary
Offline
Activity: 3752
Merit: 4453
The hacker spirit breaks any spell
|
|
March 24, 2020, 01:53:26 PM |
|
1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile 2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte
spiegato nel mio corso (che ti consiglio)
|
|
|
|
bitcoin-shark
|
|
March 24, 2020, 07:46:25 PM |
|
non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...
|
|
|
|
babo
Legendary
Offline
Activity: 3752
Merit: 4453
The hacker spirit breaks any spell
|
|
March 25, 2020, 09:10:06 AM |
|
non sapevo di questa vulnerabilita,di questo virus/trojan che puo rubare i codici da google authenticator staro molto piu attento a quello che scarico sul mio cellulare android,certo google non lo aggiorna da un bel po, ma questo yubikey si puo usare con binance?...
se binance lo supporta si devi guardare che tipo di 2fa supportano.. ad esempio kraken supporta yubi se non lo supporta non puoi usarlo ma puoi chiedere che lo implementino tanto davvero, implementarlo e' davvero una cagata mostruosa.. questione di volerlo
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
March 25, 2020, 12:26:54 PM |
|
1) kraken usa yubikey, come google, facebook, github, twitter, etc... implementarlo e' facile 2) non esiste un backup, se esistesse dove sarebbe la sicurezza??? puoi pero includere 2 chiavi (io ne ho 2 anzi 3) e quella di backup salvarla in cassaforte
spiegato nel mio corso (che ti consiglio)
Speravo in qualche procedura di recupero in stile seed. Grazie per le risposte Un ulteriore domanda: nel caso volessi utilizzare la yubikey sia su pc che su smartphone, dovrei utilizzarne due differenti giusto? tra i prodotti non non mi sembra di vedere una yubikey che abbia sia USB che type-c. (in alternativa si potrebbe usare un adattatore USB/typeC
|
|
|
|
mr.robot8
|
|
March 26, 2020, 04:30:44 PM |
|
pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa
|
|
|
|
vegas420
Member
Offline
Activity: 82
Merit: 121
|
|
March 26, 2020, 07:48:44 PM |
|
pensavo che google authenticator fosse la cosa più sicura al mondo,visto il rischio di perdita dati smetterò immediatamente di usarlo,e fino a quando troverò un degno sostituto userò l'e-mail o sms come 2fa
Gli sms non sono sicuri, basta un SIM swapping ( https://en.wikipedia.org/wiki/SIM_swap_scam) e il 2fa va a farsi benedire. L'account email invece come lo proteggi?
|
|
|
|
lukax8
|
|
May 19, 2020, 09:04:12 PM |
|
Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA : https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse. Io lo usavo ma cercherò qualche altra app. Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro..... Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque ) https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=itVi riporto il changelog: Novità * È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono. * Sono stati aggiornati aspetto e design dell'app. Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone. Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?
|
|
|
|
duesoldi (OP)
Legendary
Offline
Activity: 2562
Merit: 2640
|
|
May 19, 2020, 10:00:34 PM |
|
Eccolo sto maledetto thread! Avevo letto di questo aggiornamento un paio di settimane fa su hwupgrade: https://www.hwupgrade.it/news/telefonia/google-authenticator-si-aggiorna-dopo-anni-dall-ultimo-update-ecco-cosa-cambia_89189.htmlma non sono riuscito a rintracciare questo thread per linkare l'articolo, nonostante una ricerca su google ristretta a questo sito: mannaggia a me! Grazie per averlo riesumato.... Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?
Dire che in generale non si debba mai usare un sistema per 2FA come questo sullo stesso cell nel quale hai magari un wallet sw. Bisogna usarlo come sistema per accedere a siti con browser da pc o strumenti terzi. Le solite attenzioni insomma. Buon segno comunque il fatto che finalmente si siano decisi ad aggiornarlo.
|
|
|
|
|