עבור לתוכן

2 factor security לא שווה ואפילו מזיק?

Featured Replies

פורסם

 

 

 

ערוץ יוטיוב של יוטיובר בשם בוגי עם יותר ממליון רשומים נסגר לחלוטין בגלל שמישהו השיג את המספר טלפון שלו.

לא מוסבר איך, אבל אני מניח שבאמצעות ה2 FACTOR SECURITY וזה שהוא מקבל SMS לאישור, היה אפשרי פשוט לשנות את הסיסמא אם אתה יכול לקבל את הSMS של המספר איכשהו.

נשמע הגיוני?

כבר שמעתי ש 2 FACTOR SECURITY עם פלאפון זה לא הכי בטוח, אבל אוליי זה אפילו יותר מזיק.

אפשר לעשות 2 FACTOR SECURITY עם האפליקציה הזו של גוגל נראה לי...

אז בעצם הסיסמא לא משנה ברגע שאפשר לשנות אותה עם 2 FACTOR SECURITY?

 

פורסם

לא מספיק שאתה משיג את מספר הטלפון אתה צריך גישה למכשיר עצמו עם המספר הזה. אם מישהו יכול לקבל סים עם המספר שלך יש לך בעיה אחרת והגיע הזמן לעבור חברת סלולר.

גוגל אוטנטיקטור קצת יותר מאובטח כי הוא מסונכרן למכשיר אחד בלבד אבל פה אם אתה מאבד את הטלפון אתה מאבד גישה (אז תשמור את הקודים לשחזור שאתה מקבל) ומי שמוצא/גונב את הטלפון יכול תאורטית לקבל גישה כשב sms אתה פשוט מבטל את הסים או המספר ואין יותר גישה מאותו הטלפון

אבל שים לב לשלב הראשון של ה 2fa שזה להזין את הסיסמה שלך. ככה שבכל מקרה מישהו צריך גם את הסיסמה שלך וגם גישה לטלפון שלך כדי להתחבר עם 2fa ולא משנה אם זה גוגל או sms.

מה גם מהסרטונים שיצא לי לראות של gradea הוא בד״כ עושה פיל מנמלה אז קח מה שהוא אומר בערבון מוגבל

פורסם
  • מחבר

ה 2FACTOR גם לא אמור לעזור לך להחליף סיסמא במקרה ששכחת? או שזה רק האימייל החלופי?

פורסם

זה two factor authentication ולא security.

היי, תראה איזה פלא! הצלחתי לרשום כמה מילים באנגלית מבלי שזה נראה כאילו אני צורך אותם. :)

 

המטרה של 2FA היא היכולת למנוע גניבה של סיסמה או שכבת בקרה נוספת במקרה של PKI.

פתרונות אימות שמות שונים עושים בערך אותו דבר - מספקים לך מזזהה זמני שמקושר אליך ואתה יכול להשתמש בו לזמן מוגבל יחד עם המזהה הקבוע שלך (תעודה דיגיטלית או סיסמא).

פורסם
  • מחבר

משתמשים גם במושג two factor security

זה לא שם מדעי של זן של חיפושית אפריקאית.

העצלנות שלי לכתוב באנגלית נובעת מהתמיכה העלובה של עברית ואנגלית לרוב...

ולא מבין מה זאת אומרת "צורך אותם" כאילו אני משתמש בזה מבלי להבין?

יש לי הרבה ידע ואני מבין דברים מורכבים בתיכנות(אוליי יותר ממך) אבל גם אין לי בעיה לשאול כמו הכי בור והכי אידיוט משהו פשוט אפילו שאני עלול לא לצאת הכי חכם בפורום לשניה אחת... די עם ההתנשאות שלך.

נערך על-ידי Sargon

פורסם

האמת שמעולם לא שמעתי שמשתמשים ב 2 factor security.

 

ציטוט של Sargon

ה 2FACTOR גם לא אמור לעזור לך להחליף סיסמא במקרה ששכחת? או שזה רק האימייל החלופי?

זה לא עוזר בכלל במקרה ששכחת סיסמה.

זה פשוט עוד שלב לפני שאתה מתחבר לחשבון שלך - שלב 1: סיסמה, שלב 2: קוד זמני שאתה מקבל במייל/SMS/אפליקציה/וואט אבר. אם שכחת את הסיסמה אתה לא יכול לעבור לשלב השני ולהתחבר.

 

פורסם

אפשר "לגנוב" את ה-SMS. אבל צריך להיות קרוב פיזית למכשיר שאליו מחובר הקו. דוגמא עם whatsapp:

 

פורסם
  • מחבר

הSMS מוצפן יותר חזק מהWIFI.

בכל מקרה... הנה בוגי מסביר מה קרה... מה שכנראה קראה זה פשוט הנדסה אנושית, ה"האקר" התקשר לחברת סלולר שלו והם פשוט נתנו לו גישה לחשבון שלו בלי סיסמא.

אבל אחריי שהיה לו את הפלאפון הוא היה מסוגל לשנות דברים מבלי שיש לו את הסיסמאות... אז אני לא בטוח למה אתם אומרים ש2FV לא עוזר בלי שיש לך את הסיסמא...

 

 

 

פורסם
ציטוט של Sargon

אבל אחריי שהיה לו את הפלאפון הוא היה מסוגל לשנות דברים מבלי שיש לו את הסיסמאות

לא הוא לא. אתה לא יכול להתחבר לחשבון רק עם הקוד אבטחה של ה 2FA.

מה שהוא כן יכול לעשות אחרי שהצליח לעשות "עקוב אחרי" למספר טלפון זה brute force לסיסמה. ברגע שהוא יגיע לסיסמה הנכונה הוא יקבל את קוד האבטחה ב- SMS לנייד שלו מה שיתן לו גישה לחשבון.

 

פורסם
  • מחבר

ממש לא נשמע הגיוני...

לוקח זמן לSMS להגיע, יכול לקחת לו שנים ככה לעשות BRUTE FORCE...

מה קורה כשמישהו שוכח את הסיסמא שלו? איך הוא מבקש ססימה חדשה?

אני לא זוכר את התהליך...

אוליי הוא גם צריך לקרוא את המייל שלו בנוסף...

פורסם

יש שרותים שמאפשרים לעשות שחזור סיסמא על ידי sms, ואז אם יש לך גישה לטלפון שלו אתה יכול לאפס לו את הסיסמא. אולי על זה מדובר...

 

. אבל זה בכלל לא קשור ל-2FA. יש שרותים שאין להם 2FA ומאפשרים לשחזר סיסמא עם SMS, ויש שרותים עם 2FA שלא מאפשרים לשחזר סיסמא עם SMS. אלה שני פיצ'רים לא קשורים.

פורסם

וזה קורה שוב... הפעם לליינוס מ- linus tech tips. הוא מסביר קצת יותר טוב מה קרה ואיך

 

 

פורסם

"and in some cases it can even act as a single authentication factor for lost password requests"

כמו שאמרתי, יש שרותים שמאפשרים לאפס סיסמא באמצעות sms ללא אמצעי זיהוי נוספים, שם הבעיה. לא 2FA. 

 

בג'ימייל (למשל) מספיק שתגדיר מייל-גיבוי, ואז בשביל לאפס סיסמא חובה גישה אליו (או לענות על הרבה שאלות אישיות ולחכות כמה ימים עד שמישהו יבדוק את הפרטים). לא מספיק שיהיה לך גישה לשיחות/הודעות של מישהו. 

 

 

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

דיונים חדשים