big_daddy (OP)
|
|
March 01, 2020, 03:05:08 PM |
|
|
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
big_daddy (OP)
|
|
March 01, 2020, 04:25:51 PM |
|
|
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
cryptofrka
Legendary
Offline
Activity: 2436
Merit: 1886
Join the world-leading crypto sportsbook NOW!
|
|
March 01, 2020, 08:31:53 PM |
|
Oprez svim Android korisnicima koji koriste 2FA Google Authenticator aplikaciju
Shit, što sada? Koristim ga doslovno za sve, ima neka sigurna alternativa tome? Imam ga na iOS-u - spašava li me to?
|
|
|
|
big_daddy (OP)
|
|
March 01, 2020, 08:46:04 PM |
|
Oprez svim Android korisnicima koji koriste 2FA Google Authenticator aplikaciju
Shit, što sada? Koristim ga doslovno za sve, ima neka sigurna alternativa tome? Imam ga na iOS-u - spašava li me to? Da, za sad mi koji smo na iOS-u smo po pitanju gore navedenog trojanca mirni
|
If you don't believe it or don't get it, I don't have the time to try to convince you, sorry.
|
|
|
Nenad65
Jr. Member
Offline
Activity: 56
Merit: 4
|
|
March 02, 2020, 06:33:21 AM |
|
Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.
|
|
|
|
cryptofrka
Legendary
Offline
Activity: 2436
Merit: 1886
Join the world-leading crypto sportsbook NOW!
|
|
March 02, 2020, 08:16:11 AM |
|
Da, za sad mi koji smo na iOS-u smo po pitanju gore navedenog trojanca mirni
Ajde, barem nešto. Hvala za info. Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.
Ovo ima smisla ako burzama pristupaš s jednog računala od doma. Slažem se da je dobro rješenje ali ja na žalost na burzu idem bilo gdje ako mi je panika napraviti neki order. Nekako sam mislio da mi je ovo s 2FA authenticatorom sigurno, čini se da nije ni to 100%.
|
|
|
|
slackovic
Legendary
Offline
Activity: 2618
Merit: 1236
|
|
March 02, 2020, 08:21:35 AM |
|
Huh... Srećom da sam odustao od trejdanja pa mi ništa ne mogu uzeti sa burzi. Ali što sad? Kako se zaštititi? U svim člancima piše samo kakva je opasnost, ali nigdje ne piše kako se zaštititi. Osim toga, je li u opasnosti samo Google Authenticator ili i ostali 2FA programi? Recimo, dobra alternatica Google Authenticatoru je Authy. Nisam ga koristio, ali prema ovom članku ispada da je čak i bolji od Google Authenticatora. Je li ga netko koristio? Zapravo me najviše muči što sad moram vjerovati nekoj novoj aplikaciji da mi generira 2FA kodove i da ih neće dijeliti okolo. Prema ovome što sam na brzinu pročitao o Authy aplikaciji, čini mi se da ću se prebaciti na nju. Iskreno, nisam imao pojma da Google Authenticator nije ažuriran od 2017. godine. To me stvarno šokiralo.
|
|
|
|
sbogovac
Legendary
Offline
Activity: 2744
Merit: 1193
I don't believe in denial.
|
|
March 02, 2020, 09:55:58 AM |
|
[...] Nekako sam mislio da mi je ovo s 2FA authenticatorom sigurno, čini se da nije ni to 100%. Jedino smrt je 100% sigurna...
|
0x7442A5c37E513D335F53843cD20c00F77eAC7867
|
|
|
Nenad65
Jr. Member
Offline
Activity: 56
Merit: 4
|
|
March 02, 2020, 10:35:24 AM |
|
Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.
Ovo ima smisla ako burzama pristupaš s jednog računala od doma. Slažem se da je dobro rješenje ali ja na žalost na burzu idem bilo gdje ako mi je panika napraviti neki order. Nekako sam mislio da mi je ovo s 2FA authenticatorom sigurno, čini se da nije ni to 100%. Trgujem na burzama od svuda, ali s drugog mobitela i samo preko apija. Puni pristup burzi ostavljam samo za pc doma jer u pc imam više povjerenja.
|
|
|
|
Pmalek
Legendary
Offline
Activity: 2940
Merit: 7547
Playgram - The Telegram Casino
|
|
March 02, 2020, 01:09:26 PM |
|
Nisam nikad pristupao burzama koje koristim za trejdanje preko mobitela. Imam odvojene računare za različite potrebe. Posao i finansije mi ne idu sa zabavom i ležernijim stvarima.
Ne tako davno se je pojavio korisnik koji je u temi od FortuneJack-a u gambling sekciji pisao da može pristupiti bilo kojem FJ nalogu iako ima aktivirana 2FA zaštita. Naravno treba imati korisničke podatke (email + lozinku). Čak je zamolio nekog da napravi novi nalog, aktivira 2FA, i pošalje mu te podatke ali na tome je sve stalo i niko se nije javio.
|
|
|
|
▄▄███████▄▄███████ ▄███████████████▄▄▄▄▄ ▄████████████████████▀░ ▄█████████████████████▄░ ▄█████████▀▀████████████▄ ██████████████▀▀█████████ █████████████████████████ ██████████████▄▄█████████ ▀█████████▄▄████████████▀ ▀█████████████████████▀░ ▀████████████████████▄░ ▀███████████████▀▀▀▀▀ ▀▀███████▀▀███████ | ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ Playgram.io ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀ | ▄▄▄░░ ▀▄ █ █ █ █ █ █ █ ▄▀ ▀▀▀░░
| │ | ▄▄▄███████▄▄▄ ▄▄███████████████▄▄ ▄███████████████████▄ ▄██████████████▀▀█████▄ ▄██████████▀▀███▄██▐████▄ ██████▀▀████▄▄▀▀█████████ ████▄▄███▄██▀█████▐██████ ██████████▀██████████████ ▀███████▌▐██▄████▐██████▀ ▀███████▄▄███▄████████▀ ▀███████████████████▀ ▀▀███████████████▀▀ ▀▀▀███████▀▀▀ | | │ | ██████▄▄███████▄▄████████ ███▄███████████████▄░░▀█▀ ███████████░█████████░░█ ░█████▀██▄▄░▄▄██▀█████░█ █████▄░▄███▄███▄░▄██████ ████████████████████████ ████████████████████████ ██░▄▄▄░██░▄▄▄░██░▄▄▄░███ ██░░░█░██░░░█░██░░░█░████ ██░░█░░██░░█░░██░░█░░████ ██▄▄▄▄▄██▄▄▄▄▄██▄▄▄▄▄████ ███████████████████████ ███████████████████████ | | │ | ► | |
[/
|
|
|
slackovic
Legendary
Offline
Activity: 2618
Merit: 1236
|
|
March 02, 2020, 01:15:23 PM |
|
Nisam nikad pristupao burzama koje koristim za trejdanje preko mobitela. Imam odvojene računare za različite potrebe. Posao i finansije mi ne idu sa zabavom i ležernijim stvarima.
Ne tako davno se je pojavio korisnik koji je u temi od FortuneJack-a u gambling sekciji pisao da može pristupiti bilo kojem FJ nalogu iako ima aktivirana 2FA zaštita. Naravno treba imati korisničke podatke (email + lozinku). Čak je zamolio nekog da napravi novi nalog, aktivira 2FA, i pošalje mu te podatke ali na tome je sve stalo i niko se nije javio.
Mislim da programu koji prikupi 2FA kodove nije problem otkriti i poslati korisničko ime i lozinku koje korisnik upisuje kad se prijavljuje na burzu. Mene i dalje zanima i ne mogu nikako otkriti je li ugrožena samo Google Authenticator aplikacija ili bilo koja 2FA aplikacija.
|
|
|
|
cryptofrka
Legendary
Offline
Activity: 2436
Merit: 1886
Join the world-leading crypto sportsbook NOW!
|
|
March 02, 2020, 01:53:24 PM |
|
Mene najviše brine to što je zapravo 2FA jedina zaštita kojoj sam vjerovao. Što sada?
Za 2FA ne moraš imati niti internet vezu. Kako netko to hakira pobogu?
|
|
|
|
slackovic
Legendary
Offline
Activity: 2618
Merit: 1236
|
|
March 02, 2020, 02:23:14 PM |
|
Mene najviše brine to što je zapravo 2FA jedina zaštita kojoj sam vjerovao. Što sada?
Za 2FA ne moraš imati niti internet vezu. Kako netko to hakira pobogu?
Ne znam koliko si upućen ali postoje programi koji se zovu Remote Access Tool (RAT) koji vlasniku omogućavaju potpuni pristup zaraženom uređaju. Na taj način mogu prikupljati korisničke podatke, a od sad očito i 2FA kodove. Naravno, ako sve to koristiš na mobitelu koji nije povezan s Internetom onda si bez brige. Ali ionako si bez brige jer ako se ne spajaš na Internet, onda ne možeš dobiti virus, odnosno taj RAT.
|
|
|
|
Trofo
Legendary
Offline
Activity: 2660
Merit: 2704
Join the world-leading crypto sportsbook NOW!
|
|
March 02, 2020, 07:58:23 PM |
|
Uvijek se vraćamo na istu priču. Svatko treba naći kompromis između sigurnosti i praktičnosti koji njemu osobno odgovara. Valjda je svima jasno ako bilo što držiš na uređaju koji ima pristup internetu da uvijek postoji mogućnost nekakvog hakiranja. Jedino sigurno rješenje je uređaj koji se ni na koji način ne može spojiti na mreže i koji nitko drugi ne zna da imaš. To jest ne može ti ga otuđiti. Naravno da takva varijanta nije praktična.
Meni osobno paše varijanta skoro bez ikakve sigurnosti za male iznose i relativno sigurna varijanta s hardverskim novčanikom za veće. Ako ikada budem imao stvarno značajne iznose onda slijedi neko moje osobno računalo bez pristupa na internet sastavljeno od starijih provjerenih komponenti (pogotovo matična ploča iz doba prije nego su na nju počeli trpati sve i svašta) s open source operativnim sustavom i zaštićeno svime što mi padne na pamet.
|
|
|
|
cryptofrka
Legendary
Offline
Activity: 2436
Merit: 1886
Join the world-leading crypto sportsbook NOW!
|
|
March 03, 2020, 07:31:31 AM |
|
Ma ja kužim da ti netko hakira komp. Ali ne kužim kako se hakira 2FA aplikacija, hakiraju li tvoj uređaj ili samu 2FA bazu kodova? Jer ako se i osiguraš na najbolji mogući način (čisti mobitel bez interneta) a netko provali u 2FA bazu koja generira te kodove, opet će ti uspjeti ući u sve račune jer su hakirali source informacija.
Možda najbolje ni ne razmišljati o tome - jednog dana ako ćemo imati previše para ne tome jednostavno podijeliti na 10 računa i zaštititi na 5 različitih načina.
|
|
|
|
ljudotina
Legendary
Offline
Activity: 1260
Merit: 1029
|
|
March 03, 2020, 08:52:43 AM |
|
Jedan mob koristim samo za 2FA Google Authenticator, nema ni sim kartice. Mislim da je to dovoljno sigurno.
Ako ne spajaš taj mob na WIFI i/ili mobile net (pošto nemaš karticu, ovo drugo niti ne možeš), onda je to i te kako sigurno jer google auth radi offline a hack ne možeš popušiti na taj način. Praktički, pretvorio si taj mobitel u dedicirani 2fa hardware. Kad smo kod toga, postoji li dedicirani 2fa hardware?
|
|
|
|
sbogovac
Legendary
Offline
Activity: 2744
Merit: 1193
I don't believe in denial.
|
|
March 03, 2020, 08:58:13 AM |
|
[...] postoji li dedicirani 2fa hardware? Mislis na ovako nesto...?
|
0x7442A5c37E513D335F53843cD20c00F77eAC7867
|
|
|
ljudotina
Legendary
Offline
Activity: 1260
Merit: 1029
|
|
March 03, 2020, 08:59:16 AM |
|
"When the [Authenticator] app is running, the Trojan can get the content of the interface and can send it to the [command-and-control] server," they added. Praktički, dovoljno je odspojiti mobitel sa neta u trenutku upisivanja 2fa, te ga spojiti na net kad se kodovi refreshaju i ugasi auth app (obavezno ugasiti app i pričekati jedan ciklus redreshanja kodova koji je nekih...30-60 sec ili tako nešto). Ako vam je mogitel i zarašen, poslat će napadačima stare kodove koji više ne vrijede.
|
|
|
|
ljudotina
Legendary
Offline
Activity: 1260
Merit: 1029
|
|
March 03, 2020, 09:00:37 AM |
|
[...] postoji li dedicirani 2fa hardware? Mislis na ovako nesto...? E viš, čuo sam ga to davno davno prije, no nikada nisam tražio ništa više od auth app-a. Ako je kompatibilno sa auth app-om, skroz ok alterantiva. Ako nije, onda je pretvaranje starog mobitela u offline 2fa uređaj najbolja opcija.
|
|
|
|
dkbit98
Legendary
Offline
Activity: 2408
Merit: 7560
|
|
March 03, 2020, 09:04:37 AM |
|
Odavno sam govorio da google 2FA nije siguran koliko ljudi misle, ali izgleda da je trebalo da se desi ovako nešto... Alternativa bi možda mogao biti d2FA - Decentralized Two Factor Authentication ili nešto slično. https://zel.network/project/zelid/
|
|
|
|
|