Bitcoin Forum
November 09, 2024, 02:52:15 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 [2]  All
  Print  
Author Topic: Google Authenticator app - pericolo di furto dei codici  (Read 410 times)
Lillominato89
Hero Member
*****
Offline Offline

Activity: 882
Merit: 860



View Profile WWW
May 20, 2020, 05:04:09 AM
 #21

Che si siano decisi ad aggiornarla è un bene, mi aspettavo di più sinceramente, qualche accorgimento sulla sicurezza non sarebbe guastato, o forse non ne parlano sul link che hai mandato. cercherò sul web

███████████████████████████
███████▄████████████▄██████
████████▄████████▄████████
███▀█████▀▄███▄▀█████▀███
█████▀█▀▄██▀▀▀██▄▀█▀█████
███████▄███████████▄███████
███████████████████████████
███████▀███████████▀███████
████▄██▄▀██▄▄▄██▀▄██▄████
████▄████▄▀███▀▄████▄████
██▄███▀▀█▀██████▀█▀███▄███
██▀█▀████████████████▀█▀███
███████████████████████████
.
.Duelbits.
▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄
███░░░░███░░░░███
░░░░░░░░░░░░░
░░░░░░░░░░░░
▀██████████
░░░░░███░░░░
░░░░░███▄█░░░
░░██▌░░███░▀░░██▌
█░██░░███░░░██
█▀▀▀█▌░███░░█▀▀▀█▌
▄█▄░░░██▄███▄█▄░░▄██▄
▄███▄
░░░░▀██▄▀
.
REGIONAL
SPONSOR
███▀██▀███▀█▀▀▀▀██▀▀▀██
██░▀░██░█░███░▀██░███▄█
█▄███▄██▄████▄████▄▄▄██
██▀ ▀███▀▀░▀██▀▀▀██████
███▄███░▄▀██████▀█▀█▀▀█
████▀▀██▄▀█████▄█▀███▄█
███▄▄▄████████▄█▄▀█████
███▀▀▀████████████▄▀███
███▄░▄█▀▀▀██████▀▀▀▄███
███████▄██▄▌████▀▀█████
▀██▄█████▄█▄▄▄██▄████▀
▀▀██████████▄▄███▀▀
▀▀▀▀█▀▀▀▀
.
EUROPEAN
BETTING
PARTNER
big_daddy
Hero Member
*****
Offline Offline

Activity: 1680
Merit: 583


xUSD - The PRIVATE stable coin - Haven Protocol


View Profile WWW
May 20, 2020, 10:09:09 AM
 #22

Apro un nuovo thread perché mi sembra una notizia da diffondere visto che Google Authenticator è usato da molti - singoli ed exchange - per gestire la 2FA :

https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/

oltre a essere significativo il pericolo di vedersi rubati i codici, mi sembra importante evidenziare che Google non aggiorna l'app dal 2017, segno di effettivo disinteresse.

Io lo usavo ma cercherò qualche altra app.
Avevo sentito parlar bene di Authy ma non è open source e non mi fido. Cercherò altro.....


Arrivato di recente l'aggiornamento dell'app Google Authenticator (probabilmente duesoldi ha smosso le acque  Grin )

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=it

Vi riporto il changelog:

Code:
Novità
* È stata aggiunta la possibilità di trasferire gli account su un altro dispositivo, ad esempio se si cambia telefono.
* Sono stati aggiornati aspetto e design dell'app.

Come potete notare ora è possibile l'importazione/esportazione dei vari account tramite QR code, sicuramente una funzione comodissima quando si cambia smartphone.
Chiedo agli esperti di sicurezza, è anche a prova di hacker? Probabilmente ora diventa più che essenziale bloccare con una buona password il telefono. Altre possibili vulnerabilità?

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa Smiley

If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
duesoldi (OP)
Legendary
*
Offline Offline

Activity: 2562
Merit: 2640


View Profile
May 20, 2020, 12:14:36 PM
 #23

Bella questa novitá
Mi viene un’idea in mente: fare un backup dei miei codici 2FA su un smartphone che non uso piú, in caso di perdita puó levare di mezzo un bel pó di mal di testa Smiley

Fallo però nel caso in cui questo smartphone di riserva sia stato nel frattempo aggiornato con patch di sicurezza perché se fosse vecchio vecchio e quindi probabilmente non più aggiornato rischieresti che possano esserci serie vulnerabilità.
Il metodo più sicuro per conservare le chiavi dei sistemi 2FA secondo me resta quello di farsi una copia del codice iniziale e conservarlo offline da qualche parte al sicuro.



LordStapy
Member
**
Offline Offline

Activity: 110
Merit: 94


View Profile
May 30, 2020, 04:22:18 PM
 #24

A mio avviso l'aggiornamento lo rende meno sicuro.
Perché? Per lo stesso motivo per cui considero authy insicuro, la possibilità di fare il backup!

Questa sottospecie di analisi riguarda esclusivamente la componente "mondo reale".
Immaginiamo un utente standard con un solo smartphone, no permessi di root e backup dei seed fatti al momento dell'attivazione del 2FA.

Se il seed non può essere estratto l'utente ha la (quasi) certezza di avere un 2FA non compromesso, nel momento in cui smarrisce lo smartphone o subisce un furto tutti i codici sono da considerare compromessi, a quel punto l'utente prende i suoi backup, si collega ai vari servizi e reimposta 2FA.
L'unico modo che un attaccante ha di impossessarsi dei codici 2FA (seed o OTP) è impossessarsi del dispositivo, ma a quel punto l'utente se ne accorge e può proteggersi.
Attacco:
  • inserire il codice 2FA di fronte alla vittima
  • rubare il dispositivo
Difesa:
  • no root (permette l'accesso diretto al db contenente i seed)
  • possedere il dispositivo

Ora passiamo all'altro scenario, l'utente non ha modo di "verificare" che i suoi seed 2FA siano ancora sicuri perché ad un attaccante basterebbe impossessarsi del dispositivo solo per il tempo necessario a effettuare il backup.
Attacco:
  • tutte le precedenti
  • "posso fare una telefonata" e backup
Difesa:
  • nessuna delle precedenti
  • non lasciare mai il dispositivo a terzi

Riassumendo, la funzione backup rimuove uno strato di sicurezza e aggiunge un vettore di attacco.

BTC: 1Lord4dwWriXw7T8QoyaNmamYWup8g76Tu
Pages: « 1 [2]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!