אימות דו-שלבי בפורום הסולידית

הנושא בפורום 'אוף טופיק' פורסם ע"י adamshalev, ‏3/9/19.

  1. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    @הסולידית איך את מוסיפה אימות דו-שלבי לפורום ומעבירה את זה בשתיקה?
    קיבלתי פרפרים בבטן כשראיתי את זה :$D:;)

    למי שלא ראה - לוחצים על שם המשתמש שלכם למעלה ומשם על Two step verification.

    האפשרויות הן דרך אפליקציה, ממליץ בחום על Authy או דרך אימייל.

    וגם נקודת זכות שזה אכן נקרא two-step ולא two-factor כי כל אלו: ססמא, קוד חד פעמי, מייל - הם דברים שאתה יודע, ואף אחד מהם הוא לא פקטור שני כמו דברים שאתה מחזיק (מפתח הצפנה במכשיר פיזי) או דברים שהם חלק ממך (ביומטרי).
     
    yrnkrn, marmita ו-sogi אוהבים את זה.
  2. yanosh34

    yanosh34 משתמש ותיק

    הצטרף ב:
    ‏24/1/15
    הודעות:
    647
    לייקים שהתקבלו:
    645
    בהחלט עידכון מבורך
     
  3. חיים 111

    חיים 111 משתמש ותיק

    הצטרף ב:
    ‏28/6/17
    הודעות:
    399
    לייקים שהתקבלו:
    219
    קוד חד פעמי למייל זה אכן דברים שאתה יודע.
    קוד חד פעמי לטלפון (בSMS לסים, או באפליקציה שמותקנת על המכשיר) זה דברים שאתה מחזיק.
     
    לארוצה ו-YPV אוהבים את זה.
  4. foox404

    foox404 משתמש ותיק

    הצטרף ב:
    ‏3/4/17
    הודעות:
    78
    לייקים שהתקבלו:
    69
    יש לי 2FA לפחות שנה וחצי... לא הבנתי מה חדש?
     
    אוהב_ללמוד_ולהחכים אוהב/ת את זה.
  5. סטרבו

    סטרבו משתמש ותיק

    הצטרף ב:
    ‏11/7/18
    הודעות:
    720
    לייקים שהתקבלו:
    547
    מה הסכנה שמגדרים נגדה?
     
    גילגמש אוהב/ת את זה.
  6. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    בפורום??

    זה לא משהו שאתה מחזיק. אתה מקבל מספר לטלפון. ואז אתה מקליד אותו לאתר, אתה מקליד משהו שאתה יודע (המספר הזה), ואם האתר הוא אתר פישינג, אז עכשיו גם הוא יודע את המספר ויכול להזין אותו מאחורי הקלעים לאתר האמיתי.

    במקרה של מפתח פיזי כמו Yubikey זה לא יכול לקרות.
     
  7. foox404

    foox404 משתמש ותיק

    הצטרף ב:
    ‏3/4/17
    הודעות:
    78
    לייקים שהתקבלו:
    69
    אההם בפורום יש לי 2FA אני משתמש Google authenticator. אם לזה הכוונה....
     
  8. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    אז כנראה שאני עיור ממש.
    עדיין ממליץ לך לעבור ל Authy
     
    foox404 אוהב/ת את זה.
  9. foox404

    foox404 משתמש ותיק

    הצטרף ב:
    ‏3/4/17
    הודעות:
    78
    לייקים שהתקבלו:
    69
    כבר למדתי לחיות עם גוגל. אני שומר תמיד את הסיד בנפרד למקרה שהטלפון יוצא משימוש.
     
  10. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    הפעלתי את זה פה כבר לפני כמה חודשים, חשבתי שזה היה פה תמיד. מניח שהגיע עם עדכון לאפליקציה של הפורום בלי שאף אחד שם לב

    קוד חד פעמי זה לא "משהו שאתה יודע" - זה רק אמצעי למימוש הוכחת בעלות על "משהו שאתה מחזיק"
    פקטור אחד - סיסמה, פקטור שני - טלפון בבעלותך (שנבדק ע"י שליחה של קוד חד פעמי אליו במקרה של sms או ע"י אפליקציה כמו authy שמותקנת עליו) אז מהבחינה הזאת אני לא רואה בעיה לקרוא לזה two-factor :)
     
  11. foox404

    foox404 משתמש ותיק

    הצטרף ב:
    ‏3/4/17
    הודעות:
    78
    לייקים שהתקבלו:
    69
    סמס תלוי באבטחה של צד שלישי (מפעיל סלולרי) ולא נחשב בטוח באותה מידה.
     
  12. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    אני שומר את כל הסיסמאות ב-bitwarden. אפשר לשמור שם גם את ה-seed של ה-2fa וזה נראה כך:

    [​IMG]

    גם במובייל אבל לא יכול לצרף עוד תמונה

    אגב, איך אני עולה בדירוג מבוט ליוזר מן המניין שיכול להדביק קישורים וגם יותר מתמונה אחת ? האם זה קורה לבד ? או צריך מודרטור שיעשה את זה ?
     
    grimble grumble אוהב/ת את זה.
  13. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    @goldy
    אתה צריך לחשוב על מודל התקיפה/סיכון.

    אם המחשב שלך נגוע - זה סוף משחק. אין הגנה שתעזור לך. כל מה שיש על המחשב, כל מה שאתה עושה על המחשב - שייך לתוקף.

    אם התוקף יודע את הססמא שלך (והיוזר שלך), הוא יכול להכנס למערכת בדיוק כמוך. איך הוא יודע את הססמא? אולי הוא ניחש אותה. אולי הוא רימה אותך למסור לו אותה. אולי הוא פיצח אותה בברוט פורס. אולי מחזרת ססמא עם אתר אחר. זה לא משנה. בהנחה שהוא יודע את הססמא וזהו, אז two-factor מגן עליך, בין אם זה אסאמאס, או קוד חד פעמי לטלפון, או הודעה מייל, או שיחת טלפון (יש גם כאלה), או מכתב לבית (יש גם כאלה). כל אלו הם דרכים לקבל פיסת מידע נוספת, שאתה תדע כי אתה קיבלת אותה אבל התוקף לא, וכאשר התוקף ינסה להכנס למערכת במקומך הוא לא יצליח ללא פיסת המידע הנוספת הזאת.

    אם התוקף היתל בך וגרם לך להכנס לאתר שנמצא תחת שליטתו (למשל דרך לינק במייל) אז זאת נקראית מתקפת פישינג. אתה נכנס לאתר שנראה בדיוק כמו האתר האמיתי ואתה מזין לתוכו את המידע שרק אתה יודע, שזה כולל יוזר, ססמא, וכל קוד אימות שתקבל בכל אמצעי (מייל. הודעה, טלפון, שיחה, מכתב ...), ונפוץ היום גם דברים כמו תז, ועוד פרטים אישיים. ברגע שאתה מזין את כל הפרטים הללו שרק אתה יודע, לאתר שנמצא בשליטת התוקף, אז מאותו הרגעה גם הוא יודע אותם - וזה לא משנה כמה פרטים כאלו יש, 1 או 10, כל עוד הם מבוססי ידע - אף פרט נוסף לא מוסיף שום ערך בהגנה כי התוקף ידע את כל מה שתזין באתר, ויזין את זה מאחורי הקלעים לאתר האמיתי.
    שורה תחתונה - two-step authentication לא מגן נגד מתקפת פישינג.

    לעומת זאת, two-factor authentication סוגר מעגל אימות מאובטח ודי-כיווני בינך לבין האתר האמיתי, ואתר פישינג לא יכול להתערב בתהליך ולא יכול לקבל את הauth tokens שנוצרים בתהליך. לכן זה מגן לחלוטין נגד מתקפת פישינג.

    חשוב להבין את ההבדל כדי להבין נגד מה הגנה מסויימת מגנה ונגד מה היא לא.
     
    yrnkrn, shirbi, goldy ומשתמש נוסף אוהבים את זה.
  14. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    כל מה שאמרת נכון מאד. לא כל ה-second factors נבראו שווים. חלקם היום כבר מאד לא מומלצים (sms) אבל הם עדיין נחשבים 2nd factors.
    כל ילד יכול לקחת סיסמה ממאגר שדלף ולנסות להתחבר לשרותים אחרים של אותו משתמש בתקווה שהוא משתמש באותה סיסמה. אבל אם המשתמש הזה הגדיר פקטור נוסף, אפילו אם זה sms שנחשב לא מאובטח, זה עדיין הופך את התקיפה ליותר מסובכת. כנ"ל בהתקפת הפישינג שתיארת - אפשרי אבל לא יעבוד על כולם, ב-scale גדול על המון משתמשים - תצליח לדוג כמה.

    ה-2nd factor היחידי שלא נמצאו לו עדיין דרכי תקיפה (חוץ מגניבה פיסית) הוא באמצעות מפתח כמו Yubikey.
    לי אישית יש Feitian ePass NFC FIDO U2F Security Key (חפשו באמאזון, לא יכול להדביק לינק) עולה 18 דולר (כדאי לקנות 2 ליתירות) ועובד מצויין
     
  15. Shlomi Z

    Shlomi Z משתמש בכיר

    הצטרף ב:
    ‏29/7/18
    הודעות:
    3,172
    לייקים שהתקבלו:
    1,750
    איך ?
    אם יש לי כניסה למייל/פייסוש/פורום הסולידית
    גם עם סיסמא וגם עם SMS,
    נאמר [ואתה האקר על חלל] ופיצחת את הסיסמא כי היא הייתה כושלת
    איך תוכל להתגבר על עניין ה-SMS לנייד שלי ?
     
  16. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    אני שמח שיש לך מפתח פיזי לדברים החשובים. אבל אתה פשוט 100% טועה בטרמינולוגיה ואם אתה לא מאמין לי תקרא ברשת. שום פיסת מידע שתקבל, לא משנה כמה מאובטח האופן שבו קיבלת אותה, לא הופך את זה לפקטור שני, אלא רק לצעד שני, והוא לא מגן עליך נגד פישינג, רק פקטור שני מגן נגד פישינג.
     
  17. YPV

    YPV משתמש ותיק

    הצטרף ב:
    ‏21/8/16
    הודעות:
    609
    לייקים שהתקבלו:
    748
    מספר טלפון מקושר למכשיר פיזי ששייך לך. וה-SMS נשלח אליו. לכן זה משהו שיש לך.
    ואם הוא מוגן בתביעת אצבע/אפליקציית הפעלה שמחייבת תביעות אצבע, זה גם זיהוי ביומטרי.
     
    לארוצה אוהב/ת את זה.
  18. חיים 111

    חיים 111 משתמש ותיק

    הצטרף ב:
    ‏28/6/17
    הודעות:
    399
    לייקים שהתקבלו:
    219
    בוא נניח ואני בונה אתר זהה לאתר של הסולידית, וגורם לך להיכנס אליו. האתר יהיה זהה לחלוטין בתוכן שלו לאתר הזה.
    אתה תכניס את הסיסמא שלך, אני אעביר אותה לאתר של הסולידית. הסולידית תשלח לך SMS עם OTP. אתה תכניס אותו לאתר שלי, ואני (שוב) אעביר אותו הלאה. מרגע זה, גם אני, וגם אתה מחוברים לאתר.

    להתקפה הזו קוראים Man in The Middle, והדפדפן אמור לסווג אותה כחשודה, אבל עדיין בסקלה גדולה, אם חלק ממי שינסה להיכנס לאתר של הסולידית יקבל אזהרה מהדפדפן ויסמן "אני רוצה להיכנס בכל זאת", ייפול ברשת.

    בניגוד לסיסמא שבה אני אוכל להשתמש גם בעתיד, ב-OTP אני יכול להשתמש רק כל עוד הוא בתוקף. אבל בשביל זה, אני יכול לדאוג שהאתר שלי יישאר מחובר כל הזמן, גם אחרי שהמשתמש חושב שהוא התנתק.

    אני לא בקי בפרטים של "איך התקן פיזי מתמודד עם התקפות דומות", אולי @adamshalev מכיר את המנגנון.

    ולא נשכח שכשנרשמתי לאתר בכלל לא היה https... לא היה צריך לבנות אתר בשביל לקבל את הסיסמאות, היה מספיק לקבל את התקשורת בנקודה כלשהי באמצע ולחלץ ממנה את הסיסמא.
     
    Shlomi Z אוהב/ת את זה.
  19. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    מבחינתי, מפתח פיזי ומכשיר הטלפון הם אותו הדבר מבחינה רעיונית - שניהם משמשים כמשהו שיש לך. מבחינת האבטחה, האחד מגן גם מפני פישינג והשני לא. שניהם אגב לא מגינים מ-social engineering.
    להונות מישהו להכניס את הקוד שקיבל ב-sms לאתר שנראה זהה לאתר שהוא רוצה להיכנס אליו משול מבחינתי ללהונות מישהו למסור את המפתח הפיזי בצורה כלשהי, יכול לחשוב כל מיני דרכים יצירתיות אך לא פשוטות ובעיקר - it doesn't scale.

    אם אנחנו נכנסים להגדרות המדוייקות של כל דבר, אז אני כבר לא יודע להגיד לך כי לא בדקתי לעומק אם זה מוגדר כ-factor או לא. מה שבטוח הוא שההוספה של ה-פקטור / סטפ היא משמעותית יותר טובה מאשר אי ההוספה שלו אפילו אם מדובר ב-sms. זה לא יגן עליך מהארגון ביון ממשלתי שרוצה לפרוץ לחשבון הסולידית שלך, אבל יעזור לך מפריצות המוניות שעוברות על מאגרים שדלפו ומחפשות מטרות קלות.
     
    נערך לאחרונה ב: ‏3/9/19
  20. YPV

    YPV משתמש ותיק

    הצטרף ב:
    ‏21/8/16
    הודעות:
    609
    לייקים שהתקבלו:
    748
    האימות הדו שלבי נועד לאמת (ברמת ודאות מסוימת) זהות של אדם. הוא לא נועד למנוע מתקפות.
     
מוזמנים להשתמש בקישורי השותפים הבאים כדי לקנות באמאזון , להוריד ספרי שמע, או להקים אתר אינטרנט משלכם (מדריך מפורט - כאן). תודה על תמיכתכם באתר.
טוען...
נושאים דומים פורום תאריך
כשמחפשים ומנסים לדחוף בכוח כותרות מאימות ומפחידות אוף טופיק ‏1/9/19
אימות דו שלבי לחשבון ה- PayPal. אוף טופיק ‏13/1/19
  1. אתר זה משתמש בעוגיות דפדפן. אין באמור בפורום כדי להוות ייעוץ השקעות ו/או תחליף לייעוץ השקעות המתחשב בצרכיו של כל אדם.