Zašto verifikacija u dva koraka nije bezbedna koliko se čini?

Svaki Bogonovetni dan plasite ljude sa virusima, malverima, hakerima, spijunima, kradja podataka, gubljenje podataka. Pocece da preskacu tramvajske sine da ih ne udari struja!

Tekst je manje-vise bla bla truc. Aktivirajte verifikaciju u dva koraka.

Kad saberete ceo tekst, ipak ste ga preterali. Ima istine u tome ali ne baš toliko. Two factor authentication je svakako siguran metod ukoliko NE izgubite sekundarni način (najčešće tzv. token koji niste ni spomenuli).
Tako da je ovo prilično paranoičan tekst, i moj stav je da ako se koristi sekundarna autentifikacija, i te kako ste sigurniji nego samo sa lozinkom, a ne da se radi o iluziji na kojoj se ovde baš toliko potencira u tkstu.

Ovo je spinovanje, klasično. Trenutno ne postoji bolja mjera zaštite naloga. Naravno, nije savršeno, ali bolje i dalje nema...

Slobodno koristite verifikaciju u dva koraka .

Koristim SMS pin metod kad placam preko bancinog portala. Znaci ako se desi razorni zemljotres nece raditi SMS poruke pa necu moci platiti struju ili telefon. E bas cu se nasekirao.

Dakle, kao zakljucak, 2FA jeste bezbedna, a korisnicima se ostavlja mogucnost da povrate privilegije u slucaju da izgube jedan od dva faktora. E, taj proces vracanja privilegija moze biti zloupotrebljen i zato treba da bude dovoljno slozen, a NE user friendly. Kad to prihvatite, 2FA je bezbedan.

Ipak, korisnici ne zele bezbednost nego komfor, tako da sami sebi prave mogucnosti za glavobolju...

glupost.

Nista nama ne vredi,ako se nasi podaci cuvaju na nebezbedan(neodgovoran) nacin,tamo gde mislimo da su najsigurniji.
YAHOO je nedavno priznao da su mu provaljeni(ukradeni) podaci 500 miliona korisnika(jos 2013.g).
Sta onda mi da radimo?
Koristim KeePass2 godinama,sve je enkriptovano,generisani passwordi od 20+ nasumicnih karaktera,ukljucujuci i `specijalne`,ali to ne radim samo zbog bezbednosti na licnom nivou,nego,iskreno,mrzi me da pamtim(sto bih se mucio),a ne moram ni da kucam,jer sam popunjava polja za logovanje ili u najgorem slucaju,ako sajt ne dozvoljava,odradim copy/paste.
Za proveru poste koristim Thunderbird,i on zavrsi sve sam,jednim klikom.
Ono sto ne zelim da drugi vide enkriptujem,cuvam kopije eksterno,ali i duplikate na par cloud servisa za svaki slucaj.
Cim se konektujete,zaboravite na bezbednost i privatnost.
Uporedite to sa obicnim zivotom,cim izadjete iz stana(kuce) izlozeni ste potencijalnim rizicima i opasnostima(nekad ne morate ni da izlazite).
Zato,SAMO OPUSTENO,preduzmite ono sto je do vas,cisto da vam je mirna savest!

Ne postoji 100% bezbedan sistem. Toliko je dovoljno.

@(Ivan, 15. oktobar 2017 23:51) # Link komentara

Nisu oni druze pisali nista, a svakako nisu testirali... Ovo je, kao oostalom i svi ostali tektovi na tehnopolisu, prepisan. Na ovom portalu ne rade novinari, vec prevodioci i prepisivaci, koji se, sudeci po prevodima, i ne razumeju previse...

Nisam stručnjak za tehnologiju,ali koliko sam shvatila 2FA postaje nebezbedna ako fizicki ostanem bez SIM kartice na koju mi stiže kod?To je već malo paranoisanja.Bezveze se diže uzbuna.

Ако вам USB меморија заврши у машини за веш са панталонама...

...никако је не укључујте наредних 7 дана док не буде сува као барут. Ако је влажну укључите, црћи ће у тренутку укључивања. Ако се укључи тек након што се доообро осуши, све ће бити у реду.

Kradjom baze podataka korisnicki naloga uglavnom ne moze da se dodje do sifara, jer se one nikad ne cuvaju u originalnom obliku, vec kao hash, dakle sifra nepovratnom matematickom operacijom daje uvek isti niz koji se poredi sa bazom i tako se proverava njena ispravnost, a ne istovetnoscu unete sifre sa onom u bazi. Ko ima tu hash reprezentaciju sifre ne moze iz nje da povrati sifru.

Bolje od toga za sada nema. Zapravo ima, ali je totalno neprakticno. U svakom slucaju je bolje nego alternativa, koja se po pravilu svodi na obican username/password. Besmisleno je neko resenje proglasavati losim zato sto nije savrseno, a onda to koristiti da se opravda koriscenje jos goreg resenja.

Kada se pojavi verifikacija u 8 koraka opet će postojati velika opasnost od zloupotrebe i gubitka privatnosti i podataka. Važno je da se ljudi zaštite najbolje što mogu i da se nadaju da serveri provajdera neće biti provaljeni. I, naravno, bekapovati sve važne podatke.

GEneralno logovanje nije sigurno, npr izgubim pamcenje i zaboravim korisnicki nalog. Kako da dodjem do podataka posle ?

Za one najvaznije lozinke najbolje je unositi ih preko reda koristeci mis. Npr unese se drugo i trece slovo pa sedmo, onda se misem vrati na prvo mesto za prvo slovo, itd. Neke banke to vec rade, trazeci pojedine karaktere nasumicnim redom. Isto je preporucljivo za ukucavanje broja kreditne kartice.

Zato sto postoji i treci korak...

telefonska mreza >facebook >broj > ja > mreza> zamena broja> facebook novi broj prihvacen >restart lozinke > poruka stigla> ponovo zamena broja > obavestenje o logovanju stiglo > meni

Nista nama ne vredi,ako se nasi podaci cuvaju na nebezbedan(neodgovoran) nacin,tamo gde mislimo da su najsigurniji.
YAHOO je nedavno priznao da su mu provaljeni(ukradeni) podaci 500 miliona korisnika(jos 2013.g).
Sta onda mi da radimo?
Koristim KeePass2 godinama,sve je enkriptovano,generisani passwordi od 20+ nasumicnih karaktera,ukljucujuci i `specijalne`,ali to ne radim samo zbog bezbednosti na licnom nivou,nego,iskreno,mrzi me da pamtim(sto bih se mucio),a ne moram ni da kucam,jer sam popunjava polja za logovanje ili u najgorem slucaju,ako sajt ne dozvoljava,odradim copy/paste.
Za proveru poste koristim Thunderbird,i on zavrsi sve sam,jednim klikom.
Ono sto ne zelim da drugi vide enkriptujem,cuvam kopije eksterno,ali i duplikate na par cloud servisa za svaki slucaj.
Cim se konektujete,zaboravite na bezbednost i privatnost.
Uporedite to sa obicnim zivotom,cim izadjete iz stana(kuce) izlozeni ste potencijalnim rizicima i opasnostima(nekad ne morate ni da izlazite).
Zato,SAMO OPUSTENO,preduzmite ono sto je do vas,cisto da vam je mirna savest!

telefonska mreza >facebook >broj > ja > mreza> zamena broja> facebook novi broj prihvacen >restart lozinke > poruka stigla> ponovo zamena broja > obavestenje o logovanju stiglo > meni

Dakle, kao zakljucak, 2FA jeste bezbedna, a korisnicima se ostavlja mogucnost da povrate privilegije u slucaju da izgube jedan od dva faktora. E, taj proces vracanja privilegija moze biti zloupotrebljen i zato treba da bude dovoljno slozen, a NE user friendly. Kad to prihvatite, 2FA je bezbedan.

Ipak, korisnici ne zele bezbednost nego komfor, tako da sami sebi prave mogucnosti za glavobolju...

Kad saberete ceo tekst, ipak ste ga preterali. Ima istine u tome ali ne baš toliko. Two factor authentication je svakako siguran metod ukoliko NE izgubite sekundarni način (najčešće tzv. token koji niste ni spomenuli).
Tako da je ovo prilično paranoičan tekst, i moj stav je da ako se koristi sekundarna autentifikacija, i te kako ste sigurniji nego samo sa lozinkom, a ne da se radi o iluziji na kojoj se ovde baš toliko potencira u tkstu.

Tekst je manje-vise bla bla truc. Aktivirajte verifikaciju u dva koraka.

Koristim SMS pin metod kad placam preko bancinog portala. Znaci ako se desi razorni zemljotres nece raditi SMS poruke pa necu moci platiti struju ili telefon. E bas cu se nasekirao.

Svaki Bogonovetni dan plasite ljude sa virusima, malverima, hakerima, spijunima, kradja podataka, gubljenje podataka. Pocece da preskacu tramvajske sine da ih ne udari struja!

Slobodno koristite verifikaciju u dva koraka .

glupost.

Za one najvaznije lozinke najbolje je unositi ih preko reda koristeci mis. Npr unese se drugo i trece slovo pa sedmo, onda se misem vrati na prvo mesto za prvo slovo, itd. Neke banke to vec rade, trazeci pojedine karaktere nasumicnim redom. Isto je preporucljivo za ukucavanje broja kreditne kartice.

Zato sto postoji i treci korak...

Ovo je spinovanje, klasično. Trenutno ne postoji bolja mjera zaštite naloga. Naravno, nije savršeno, ali bolje i dalje nema...

Kada se pojavi verifikacija u 8 koraka opet će postojati velika opasnost od zloupotrebe i gubitka privatnosti i podataka. Važno je da se ljudi zaštite najbolje što mogu i da se nadaju da serveri provajdera neće biti provaljeni. I, naravno, bekapovati sve važne podatke.

GEneralno logovanje nije sigurno, npr izgubim pamcenje i zaboravim korisnicki nalog. Kako da dodjem do podataka posle ?

Kradjom baze podataka korisnicki naloga uglavnom ne moze da se dodje do sifara, jer se one nikad ne cuvaju u originalnom obliku, vec kao hash, dakle sifra nepovratnom matematickom operacijom daje uvek isti niz koji se poredi sa bazom i tako se proverava njena ispravnost, a ne istovetnoscu unete sifre sa onom u bazi. Ko ima tu hash reprezentaciju sifre ne moze iz nje da povrati sifru.

Ne postoji 100% bezbedan sistem. Toliko je dovoljno.

Nisam stručnjak za tehnologiju,ali koliko sam shvatila 2FA postaje nebezbedna ako fizicki ostanem bez SIM kartice na koju mi stiže kod?To je već malo paranoisanja.Bezveze se diže uzbuna.

@(Ivan, 15. oktobar 2017 23:51) # Link komentara

Nisu oni druze pisali nista, a svakako nisu testirali... Ovo je, kao oostalom i svi ostali tektovi na tehnopolisu, prepisan. Na ovom portalu ne rade novinari, vec prevodioci i prepisivaci, koji se, sudeci po prevodima, i ne razumeju previse...

Bolje od toga za sada nema. Zapravo ima, ali je totalno neprakticno. U svakom slucaju je bolje nego alternativa, koja se po pravilu svodi na obican username/password. Besmisleno je neko resenje proglasavati losim zato sto nije savrseno, a onda to koristiti da se opravda koriscenje jos goreg resenja.

Ако вам USB меморија заврши у машини за веш са панталонама...

...никако је не укључујте наредних 7 дана док не буде сува као барут. Ако је влажну укључите, црћи ће у тренутку укључивања. Ако се укључи тек након што се доообро осуши, све ће бити у реду.