אימות דו-שלבי בפורום הסולידית

הנושא בפורום 'אוף טופיק' פורסם ע"י adamshalev, ‏3/9/19.

  1. tdc

    tdc משתמש ותיק

    הצטרף ב:
    ‏25/8/17
    הודעות:
    415
    לייקים שהתקבלו:
    505
  2. YPV

    YPV משתמש ותיק

    הצטרף ב:
    ‏21/8/16
    הודעות:
    609
    לייקים שהתקבלו:
    748
    לא מזלזל באיום אבל זה לא נראה "בקלות":

    The biggest barrier, perhaps, to such attacks is acquiring access to the SS7 network in the first place. Positive's researchers had access to it "for research purposes to identify vulnerabilities and help mobile operators make their networks more secure." Typically, criminals would either have to buy or hack their way onto the network.
     
  3. Shlomi Z

    Shlomi Z משתמש בכיר

    הצטרף ב:
    ‏29/7/18
    הודעות:
    3,172
    לייקים שהתקבלו:
    1,750
    זה לא Phishing?
    שאני מדמה אותך למשהו רשמי אבל אתה העתק ?
     
  4. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    @adamshalev ב-stack exchange:
    Two-Step vs. Two-Factor Authentication - Is there a difference?
    התשובה המקובלת מצדדת בטיעון שלך, אבל יש המון תגובות שיוצאות נגד כך, למשל

     
    נערך לאחרונה ב: ‏3/9/19
  5. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    אין לי בעיה שתגיד שכל אימות דו שלבי הוא עדיף מהיעדר אימות דן שלבי ואני אסכים איתך כי זה נכון.
    אבל אל תגיד שטויות שאתה בעצמך יודע שהן לא נכונות.
    אפשר לשלוח 100 מיליון מיילים לאנשים וחלק מהם יכנסו לאתר הפישינג שלך ויזינו פרטי אימות דו שלבי מבלי לשים לב שהאתר מזוייף - זה scaleable.
    לגנוב משהו פיזי מהבית של אנשים זה לא scaleable (שלא לדבר שרק מייל אקראי ברשת זה לא מספיק כדי לדעת איפה אדם גר, איפה המפתח הפיזי, ולהסתכן בפריצה אליו).
     
  6. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    אתה שוב פעם ושוב פעם מפספס את העקרון הבסיסי - בשביל להעתיק ממני את היוביקי שלי (אם זה בכלל אפשרי טכנית) אתה צריך להשיג אותו פיזית מהידיים שלי.
    בשביל לעקוף את הגנת ה TOTP, אתה לא צריך אפילו להתאמץ להגיע אלי הביתה ולהשיג את המכשיר, כל מה שאתה צריך זה להטעות אותי פעם אחת לעשות לוגין באתר מזוייף.
     
    Benjamin Willard אוהב/ת את זה.
  7. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    ההפרדה הרעיונית שאתה מתאר קיימת כנראה רק בעולם התוכן הפנימי שלך :)
    תראה לי מזכר של NIST, ISO, IETF, או owasp או כל גוף סטנדרטיים שתרצה שבו כתוב שכדי שמשהו יחשב 2nd factor ולא 2nd step הוא צריך להיות משהו שהתוקף צריך להשיג פיזית מהידיים שלך ואז אני אשתכנע :)

    אגב, עוד מישהו שמצדד בטיעון שלי הוא Troy Hunt שאותו אני מעריך, כתב כאן
     
    נערך לאחרונה ב: ‏3/9/19
  8. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    מה אכפת לי מי כתב איזה מזכר?
    אני מסביר לך על הבדל מהותי ועקרוני בין הדברים. ההבדל הזה קיים בלי קשר למי כתב מה.
    רק שתדע שארגונים גדולים כמו גוגל וגם הארגון שבו עבדתי מחלקים לכל עשרות אלפי העובדים שלהם yubikeys בשביל לחזק אבטחה.
    תבין מזה מה שתרצה.
     
    Benjamin Willard אוהב/ת את זה.
  9. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    מאחר ואתה מתעקש על כך שההבדל הזה קיים אז אני לא מוצא לכך הוכחות, למשל במאמר של Troy Hunt הוא נותן כדוגמה את מחוללי ה-OTP של פעם (עם הקודים המתחלפים) בתור 2nd factor. לפי ההגדרה שלך זה לא היה עובר. לא אומר שההגדרה שלו היא נכונה, פשוט לא חושב שיש הגדרה שהיא נכונה

    [​IMG]

    בוודאי לא חולק על זה שזה משפר את האבטחה בהרבה, במיוחד בארגון כמו גוגל וארגונים גדולים אחרים בהם כל עובד הופך ליעד מובחר לתקיפה
    גוגל כתבו על זה גם כאן

    מזמן לא התווכחתי באינטרנט... זה מאד כיף צריך לעשות את זה שוב :)
     
    נערך לאחרונה ב: ‏3/9/19
    adamshalev אוהב/ת את זה.
  10. tdc

    tdc משתמש ותיק

    הצטרף ב:
    ‏25/8/17
    הודעות:
    415
    לייקים שהתקבלו:
    505
    כמה מאות דולרים זה לא רף כניסה מטורף.
    כמובן שלשלם כמה מאות בשביל לחטוף גישה לפורום זה טיפה מוגזם :lol: אבל אם זה חשבון בנק או ארנק דיגיטלי...
     
    adamshalev אוהב/ת את זה.
  11. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    @goldy
    טרוי האנט הוא דמות מוערצת בעיני, אז ישר הלכתי לקרוא את הפוסט הרלוונטי (שכבר קראתי בעבר).
    אם קוראים את כולו ובפרט את הקישורים שהוא שם בדיוק בנושא הזה, אז רואים שבהגדרה הנוקשה (strict) הדברים הללו כמו קודים בטלפון אינם פקטור שני. אבל באופן נפוץ נוהגים לקרוא להם פקטור שני כי הם נובעים ממכשיר פיסי כמו מחולל או טלפון נייד.
    בתפיסה של אנשים הם ״משהו שיש לך״ אבל כשזה מגיע לאבטחה בזמן לוגין, הם שקולים לחלוטין ל״משהו שאתה יודע״.

    נ.ב. להתווכח זה מצויין וכיף כאשר נעשה בטעם טוב :)
     
    goldy אוהב/ת את זה.
  12. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    מודה שלא קראתי עד הסוף ורק חיפשתי משהו שיוכיח את הטיעון שלי :)

    אני בכלל חושב שיותר חשוב זה להשתמש במנהל סיסמאות ולא למחזר סיסמאות
    מישהו פעם כתב שאם אתה רוצה להסביר לאנשים למה להשתמש במנהל סיסמאות תראה להם סרטון של שימוש חוזר במברשת השיניים כדי לנקות את האסלה ותסביר שזה כמו להשתמש באותה סיסמה פעמיים.
     
  13. חיים 111

    חיים 111 משתמש ותיק

    הצטרף ב:
    ‏28/6/17
    הודעות:
    399
    לייקים שהתקבלו:
    219
    פישינג מתייחס לחלק של "ננסה לעבוד על הרבה אנשים, מספיק לנו כמה טיפשים בודדים שייפלו בפח". כלול בזה גם המיילים של "זכית במיליון שח, אם תתן לי 1000 שח אני אוכל לשלוח לך אותם", וגם את הניסיון למשוך אנשים לאתר המזוייף למרות כל האזהרות.
    MITM מתייחס לעובדה שאני מציג לך את האתר, בלי שבכלל תשים לב שנתת לי את הסיסמא. אני פשוט מעביר לאתר המקורי את מה שאתה באמת רוצה, ורק קורא בדרך את מה שאני רוצה, כולל הסיסמאות.
     
    Shlomi Z אוהב/ת את זה.
  14. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    זה דוחה ממש.
    מנסיוני מה שעבד באמת טוב היה לתת לאנשים להזין את המייל שלהם ל have I been pawnd.
    האינטגרציה של הממשק גילוי ססמאות שדלפו יחד עם מנהלי הססמאות (למיטב ידיעתי 1password וגם פיירפוקס) זה גם מצויין להעלאת המודעות.
     
  15. Arrow

    Arrow משתמש סולידי

    הצטרף ב:
    ‏30/8/19
    הודעות:
    44
    לייקים שהתקבלו:
    16
    אדם, עשית לי חשק לנסות לבדוק סיסמאות ב-have I been pawnd.
    אבל אני כ"כ פרנואיד. אני חושש שכל מה שאני מקיש שם, נשמר איפה שהוא.
    הכוונה אם אני משתמש בסיסמה arrow ואני אנסה את זה שם, אז גם אם זה מעולם לא הופץ/דלף/לא עלו על זה
    מעתה זה כבר לא ככה. עם כמה שמסקרן אותי, אני אוותר על בדיקה. נקווה שאף אחד לא יודע את הסיסמאות שלי.
     
  16. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    אתה בצדק לא צריך למסור את הססמא שלך לשום שירות שבודק ססמאות.
    לא אנסה לשכנע אותך אחרת.
    אבל -
    טרוי האנט הוא מומחה אבטחה עם שם עולמי. הוא אוסטרלי שחי באוסטרליה וזומן על ידי הקונגרס האמריקאי להעיד בשימוע בנושא של פריצות והלדפות של מידע פרטי. אין יותר לג׳יט ממנו.
    יש לו פוסט מאד מפורט על העניין עם בדיקת הססמא ושם הוא מסביר איך הססמא שלך בכלל אף פעם לא מגיעה לשרתים שלו בשביל שהוא יוכל לבדוק אם היא דלפה או לא, ובלי קשר לכל זה - אתה יכול פשוט להוריד את כל חצי מיליארד הססמאות למחשב שלך ולבדוק אם הססמא שלך נמצאת שם. כמובן שהססמאות הן hashed כדי לא לחשוף את המידע, אז אתה צריך לעשות hash לססמא שלך ואז לבדוק אם היא במאגר.
    אני אישית עשיתי את זה. זה לא מסובך ואתה אפילו לא צריך לדעת לתכנת, אבל כן קצת לדעת לעבוד עם קבצים גדולים.

    עוד משהו - אם אתה משתמש ב-1Password, הם עושים את הבדיקה הזאת בשבילך ומתריעים אם הססמאות שלך נמצאות במאגר של טרוי האנט. כמובן שהם לא שולחים לו את הססמאות (אפילו לא hashed) אלא משתמשים במאגר אופליין.
    עוד ועוד מנהלי ססמאות מוסיפים את התמיכה הנפלאה הזאת. אפילו שירותים אונליין כמו מיקרוסופט וגוגל (לא זוכר מי בדיוק) עושים את הבדיקה הזאת כאשר אתה בוחר ססמא לחשבון, ואוסרים עליך להשתמש בססמא שדלפה.
     
    yrnkrn, יובל ו-goldy אוהבים את זה.
  17. goldy

    goldy משתמש ותיק

    הצטרף ב:
    ‏3/10/18
    הודעות:
    57
    לייקים שהתקבלו:
    35
    יש גם את https://monitor.firefox.com
    שם אתה יכול להכניס את האמייל שלך והם יגידו לך אם הוא היה חלק מדליפה או לא.
    הם גם יתריעו לך בעתיד אם הוא יהיה חלק מדליפה וישלחו לך אימייל

    שרות של מוזילה, נראה לי משתמשים ב-HIBP
    https://blog.mozilla.org/blog/2018/...ping-people-take-control-after-a-data-breach/

    למי שרוצה לדעת איך הם שומרים על האימייל בעצמם:
    https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/
     
    adamshalev ו-יובל אוהבים את זה.
  18. paskar

    paskar משתמש ותיק

    הצטרף ב:
    ‏5/6/16
    הודעות:
    668
    לייקים שהתקבלו:
    227
    למה פרפרים?

    לגבי התועלת ב-OTP ששמור ביחד עם הסיסמא, עדיין נראה לי מוסיף ערך.
    לא כל ההתקפות יהיו מתוחכמות מספיק, וזה טוב למשל נגד keyloggers.
     
  19. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,873
    סתם בדיחה, כי אני מעריך לחיוב כאשר אתרים לוקחים אבטחה ברצינות, משהו שכמעט ולא קיים בארץ.
    כל תוספת באבטחה היא מבורכת, פשוט צריך להכיר בערך האמיתי של ההגנה ולא להיות מושלים. לא כל האימותים הדו שלביים שווים בערכם.
    למשל אימות דו שלבי עם SMS, שנהיה כל כך ממוסד בארץ שאתרים מסויים כמו חברות ביטוח כבר לחלוטין זנחו ססמאות ומאמתים גישה אך ורק דרך SMS, זה קצת צעד לאחור. כן - אימות SMS הוא עדיף על ססמאות חלשות של רוב המשתמשים, אבל ססמא אקראית יחודית וחזקה - היא אמצעי אבטחה מאובטח יותר מאשר SMS, וקצת חבל לי לראות שהחברות בארץ בוחרות להקריב אבטחה חזקה יותר בשביל למשוך את הממוצע למעלה.
    יצא לי אפילו לגשש קצת בחברה שבה עבדתי, שבה לכולם היה כרטיס סים דרך העבודה (כצ׳ופר), מה נדרש כדי ״לחטוף״ סים של מישהו אחר. זה אפשרי עם קצת שיתוף פעולה של IT או אולי אפילו עם social engineering. שלא לדבר על מה שכבר פורסם פה שמאפשר לך לחטוף הודעות SMS עם ציוד בכמה מאות דולרים.
    אז כן - בשביל לראות את דוחות הפנסיה שלך, אף אחד לא יטרח. אבל בשביל לחטוף גישה לחשבון מסחר הביטקוין שלך, או לחשבון בנק שלך - בהחלט.
     
  20. חיים 111

    חיים 111 משתמש ותיק

    הצטרף ב:
    ‏28/6/17
    הודעות:
    399
    לייקים שהתקבלו:
    219
    זו בדיוק הסיבה שחברות הגמל יכולות להסתפק בOTP והבנקים דורשים סיסמא לצפייה ואימות דו-שלבי לפעולות שמוציאות כסף החוצה.
    אני מאמין שדלת הכניסה שלך לבית לא דומה לדלת הכספת של הבנק. תמיד צריך לשקול עלות של אבטחה מול התועלת שלה (או הסיכון בהיעדרה).
     
מוזמנים להשתמש בקישורי השותפים הבאים כדי לקנות באמאזון , להוריד ספרי שמע, או להקים אתר אינטרנט משלכם (מדריך מפורט - כאן). תודה על תמיכתכם באתר.
טוען...
נושאים דומים פורום תאריך
כשמחפשים ומנסים לדחוף בכוח כותרות מאימות ומפחידות אוף טופיק ‏1/9/19
אימות דו שלבי לחשבון ה- PayPal. אוף טופיק ‏13/1/19
  1. אתר זה משתמש בעוגיות דפדפן. אין באמור בפורום כדי להוות ייעוץ השקעות ו/או תחליף לייעוץ השקעות המתחשב בצרכיו של כל אדם.