Weryfikacja dwuetapowa na forum?

[Paether]

W ciągu ostatniego półrocza mieliśmy 3 (o tylu wiemy) przejęcia kont użytkowników forum przez niecne byty (osoby? boty?). Dwa z tych kont posłużyły do prób zrobienia wałka na giełdzie, jedno do spamu o tematyce randkowej.

Dwa z nich wróciły do swoich właścicieli dosyć sprawnie, trzecie jest nadal zablokowane, ponieważ właściciel do tej pory nie odpowiedział na mojego maila. Tu brak zaskoczenia, bo od dawna nie pojawiał się na forum, możliwe że mail też już nieużywany. 

 

Do sedna i od razu oznaczam @Adam_Jesion 

 

@mawmarecki poruszył bardzo ciekawą kwestię w statusach, pytając o ewentualną dodatkową weryfikację. Mamy w silniku forum pewne opcje zabezpieczeń, nad którymi można się zastanowić.  Możliwości weryfikacji dwuetapowej jak na screenie poniżej:

 

 

Taką weryfikację można przypisać do pewnych czynności, jak logowanie, zmiana hasła, zmiana maila, itp. Co ciekawe, nie ma opcji "logowanie z nowego (nieznanego) urządzenia" i nie jestem pewny jak zadziałałoby zaznaczenie "logując się w witrynie" bez zaznaczenia "logowaniu ze znanego urządzenia"

 

 

Z tego jak rozumiem inne ustawienia, jest możliwość wymuszenia skonfigurowania takiej weryfikacji dla danych grup (nawet wszystkich), jak również pozostawienie jej jako dobrowolnej opcji:

 

[mawmarecki]

Myślę że najwygodniejsza opcja, to Google authenticator - pytanie pomocnicze jest średnio bezpieczne (tak jak samo hasło), a weryfikacja SMS/połączenie pewnie będzie wiązała się z kosztami po stronie serwisu. Teraz pytania dotyczące polityki bezpieczeństwa - czy wymuszenie stosowania TFA dla każdego konta czy "tylko dla chętnych", przy każdym logowaniu czy tylko przy pierwszej wizycie w danej przeglądarce/urządzeniu, przy dostępie do wszystkich ustawień konta czy tylko do newralgicznych (zmiana hasła, e-maila itp). Warto przedyskutować ten temat, szczególnie z adminami, bo to ustawienia zależne od możliwości silnika forum. 

Pozdr.

M.

[OnlyAfc]

Jestem za Google authenticator.

Proste, wygodne, bezpieczne. 

Używam regularnie w innych aplikacjach, w pracy itd.

[aleksyb]

Skoro mowa o google authenticator. Będzie można podejrzeć "ziarno" by użyć oprogramowania innej firmy/yubikey? Czy mówimy tutaj o zupełnie inaczej działającym zabezpieczeniu?

[Rafał K.]

O własne dane, konta, hasła i to z jakich urządzeń się korzysta każdy musi dbać indywidualnie. Forum to nie bank, mail, urząd itp newralgiczne miejsce. Dwuetapowa weryfikacja - owszem, ale tylko jeśli będzie dobrowolna lub nie spowoduje wylogowywania mnie z serwisu. Bo jeśli miałbym za każdym razem dopisywać kod z SMS lub token to podejrzewam zwyczajnie zrezygnuje.

[Miesilmannimea]

Może byc i pięcioetapowa byle można było to w diabły wyłączyć.

[Paether]

2 minuty temu, Miesilmannimea napisał(a):

byle można było to w diabły wyłączyć.

 

Jedną z opcji w dyskusji jest wersja "kto chce to sobie włącza"  

[Magnetar]

Popieram wprowadzenie opcjonalnej 2FA z kodami TOTP (Google Authenticator). Używam w wielu miejscach, jest to wygodne, bezpiecznie i nie wiąże się z dodatkowymi kosztami ani dla serwisu, ani dla użytkowników. Można też wymusić skonfigurowanie 2FA dla grup "Administrator" i "Moderator".

 

@aleksyb, zwykle przy konfiguracji skanuje się kod QR. Ja używam open source'owej alternatywy dla Google Authenticatora i nigdy nie miałem problemów. Klucze, na podstawie których generowane są kody można podejrzeć, zbackupować do pliku, skopiować na drugie urządzenie itd.

[wampum]

Pomyślcie  tych , którzy nie są tak biegli w informatyce.....tak napawdę w 80% nie ogarniam o czym Wy tytaj mówicie, oczywiście samo założeni ezabezpiwczenia dostępu jest zrozumaiłe) ale jakieś 2FA, TOTP i inne....czarna magia.

No chyba, że chcecie aby forum zostało tylko dla "młodych i gniewnych"...

[astrokarol]

5 minut temu, wampum napisał(a):

Pomyślcie  tych , którzy nie są tak biegli w informatyce.....tak napawdę w 80% nie ogarniam o czym Wy tytaj mówicie, oczywiście samo założeni ezabezpiwczenia dostępu jest zrozumaiłe) ale jakieś 2FA, TOTP i inne....czarna magia.

No chyba, że chcecie aby forum zostało tylko dla "młodych i gniewnych"...

 

Rozmawiają o technikaliach (ja też nie kumam) - musisz to rozumieć ? Bo raczej z tej "czarnej magii" korzystasz w np. internetowym banku, urzędzie itp..

Edytowane 20 Kwietnia przez astrokarol

[dobrychemik]

Na pewno admini i moderatorzy powinni być zobligowani do wyższych poziomów zabezpieczeń, bo przejęcie takiego konta mogłoby mieć dalece grožniejsze skutki.

[aleksyb]

Hmm. A może wystarczy dwustopniowe tylko dla tych, którzy chcą coś wystawić na giełdzie, bo w sumie o to się najbardziej rozchodzi🤔 O ile technicznie jest taka możliwość

[Paether]

W teorii tak, wystarczy utworzyć osobną grupę i do niej przypisać taki wymóg.

W praktyce, spore zamieszanie z przenoszeniem użytkowników i pewnie mieszane odczucia społeczności.

Podyskutować można  

 

[lkosz]

W całej dyskusji należy najpierw sobie odpowiedzieć jaki był wektor ataku na te konta. No nie był to raczej wyciek z forum, ani bruteforce, bo dozwolone jest 5 nieudanych prób na forum, a i widzielibyście ataki na inne konta. Hasło do skrzynki pocztowej i forum wyciekło przez lewą wtyczkę w przeglądarce, albo to połączenie niefrasobliwości używania tego samego hasła wszędzie i wycieku z jakiegoś innego serwisu. Włamywacz pobrał sobie jakąś bazę loginów i haseł, wszedł na pocztę (niezabezpieczoną 2FA), widział maile z astropolis, więc się zalogował. Wobec tego rozwiązaniem w kontekście giełdy nie jest 2FA, tylko zastosowanie podstaw cyberbezpieczeństwa przez użytkowników (menedżer haseł, hasła losowe, długie, zmieniane przynajmniej raz w roku). Czyli jest to awykonalne.

 

2FA warto załączyć na forum, ale opcjonalnie. Wymuszanie tego, czyli powiązania konta na forum z numerem telefonu lub kontem google będzie naruszające prywatność. O ile w przypadku moderatorów i adminów spełnia to zasadę proporcjonalności, to w przypadku innych użytkowników nie. Do przemyślenia jest wymuszanie zmiany hasła raz do roku u osób bez 2FA i automatyczne blokowanie kont po roku - 2 latach nieaktywności (trzeba wtedy ponownie przejść weryfikację przez email).

 

Podsumowując: forum nie jest w stanie zabezpieczyć użytkowników giełdy. Takie incydenty będą się wydarzać.

 

2 godziny temu, wampum napisał(a):

Pomyślcie  tych , którzy nie są tak biegli w informatyce.....tak napawdę w 80% nie ogarniam o czym Wy tytaj mówicie, oczywiście samo założeni ezabezpiwczenia dostępu jest zrozumaiłe) ale jakieś 2FA, TOTP i inne....czarna magia.

jest 2024 rok, najwyższy już czas, żeby dla własnego dobra doszkolić się z podstaw bezpieczeństwa. To nie jest rocket science ani informatyka śledcza. Na youtubie jest masa poradników jak to zrobić. Czy się to komuś podoba, czy nie, cyberbezpieczeństwo jest równie ważną wiedzą, jak bezpieczeństwo zdrowodne i inne rodzaje wiedzy ogólnej, której braki są dotkliwe w skutkach.

[Paether]

28 minut temu, lkosz napisał(a):

Włamywacz pobrał sobie jakąś bazę loginów i haseł, wszedł na pocztę (niezabezpieczoną 2FA), widział maile z astropolis, więc się zalogował.

 

Dosyć ciekawym przypadkiem jest konto, o którym pisałem wyżej, że było nieużywane od dłuższego czasu.

Ponad 4 lata od ostatniego logowania, mamy pierwsze (14.12.2023) podejrzane logowanie (IP z Maroka), po czym prawie dwa tygodnie zerowej aktywności i jednego dnia (27.12) wszystko na raz (zmiana hasła, maila, ogłoszenie na giełdzie).

[Koperson]

ja jestem za, po tym co sie stalo  

[lkosz]

26 minut temu, Paether napisał(a):

Ponad 4 lata od ostatniego logowania, mamy pierwsze (14.12.2023) podejrzane logowanie (IP z Maroka), po czym prawie dwa tygodnie zerowej aktywności i jednego dnia (27.12) wszystko na raz (zmiana hasła, maila, ogłoszenie na giełdzie).

teraz sprawdziłem - forum przy zmianie maila wysyła link aktywacyjny na nowy adres. To trochę zmienia sprawę, bo nie trzeba mieć dostępu do starej skrzynki, żeby przejąć komuś konto. Użytkownik tylko dostaje maila na starą skrzynkę z informacją o zmianie maila. Jest to poważny błąd z punktu widzenia bezpieczeństwa. Link najpierw powinien być wysyłany na stary email, potem na nowy. To jest pierwsza rzecz do poprawy, powiedziałbym - krytyczna. Druga to potwierdzenie zmiany hasła mailem (lub 2FA). Trzecie usprawnienie - publikacja postu na giełdzie warto żeby również była potwierdzana linkiem aktywacyjnym w mailu lub 2FA. Oczywiście w dalszym ciągu to nie chroni przed lekkoduchami mającymi jedno hasło do wszystkiego, ale trochę utrudni atak złodziejowi. Wygląda że forum jest na celowniku jakiegoś lokalnego złodziejaszka logującego się przez TOR lub jakieś urządzenie będące częścią botnetu, robiące za darmowy VPN.

[Magnetar]

44 minuty temu, lkosz napisał(a):

Wobec tego rozwiązaniem w kontekście giełdy nie jest 2FA, tylko zastosowanie podstaw cyberbezpieczeństwa przez użytkowników (menedżer haseł, hasła losowe, długie, zmieniane przynajmniej raz w roku).

2FA oczywiście w nie rozwiąże wszystkich problemów, ale trochę by poprawiło sytuację, bo nawet jak użytkownik ma jedno hasło do wszystkiego i dojdzie do wycieku, to włamywacz po ściągnięciu bazy i tak się nie zaloguje. Główną wadą wymuszania dwuskładnikowego uwierzytelniania jest zamieszanie, do którego dojdzie jak każdy przed publikacją pierwszego ogłoszenia będzie musiał prosić admina o dodanie do grupy, czekać na zatwierdzenie, a następnie włączyć 2FA. Dla wielu będzie to zniechęcające.

 

 

48 minut temu, lkosz napisał(a):

Wymuszanie tego, czyli powiązania konta na forum z numerem telefonu lub kontem google będzie naruszające prywatność.

2FA nie oznacza konieczności powiązania konta na forum ani z numerem telefonu, ani z kontem Google. Korzystam z 2FA w wielu serwisach prywatnie i w pracy, a z zasady nie wiążę żadnych kont z kontem Google. Numer telefonu jest wymagany przez niektóre serwisy jako metoda zapasowa, ale nie jest to powszechne.

 

 

4 minuty temu, lkosz napisał(a):

teraz sprawdziłem - forum przy zmianie maila wysyła link aktywacyjny na nowy adres. To trochę zmienia sprawę, bo nie trzeba mieć dostępu do starej skrzynki, żeby przejąć komuś konto. Użytkownik tylko dostaje maila na starą skrzynkę z informacją o zmianie maila. Jest to poważny błąd z punktu widzenia bezpieczeństwa. Link najpierw powinien być wysyłany na stary email, potem na nowy. To jest pierwsza rzecz do poprawy, powiedziałbym - krytyczna. Druga to potwierdzenie zmiany hasła mailem (lub 2FA).

To rozwiązanie ma swoje zalety, ale ma też pewną wadę - w razie utraty dostępu do starego maila traci się możliwość jego zmiany. Z kolei włamywacz, który uzyska dostęp do forum za pomocą wykradzionego hasła i tak będzie mógł z konta korzystać. W przypadku kont nieużywanych od kilku lat, prawowity właściciel raczej się nie zorientuje. Uważam, że lepiej potwierdzać niektóre operacje przez 2FA. Zwłaszcza, że silnik forum na to pozwala.

[mawmarecki]

Widzę, że temat ma zadatki na przerodzenie się w zwykłą "gównoburzę", jakich tu sporo pojawia się od czasu do czasu. Aby ukrócić dalsze dywagacje, proponuję aby rozważyć możliwość zastosowania:

1. aby 2FA było możliwe do włączenia jako opcja,

2. Google authenticator jako podstawa usługi 2FA,

3. sposób zabezpieczenie transakcji na giełdzie, choć powiązane z bezpieczeństwem, powinno być skonsultowane pod względem prawnym - w zakresie możliwej odpowiedzialności forum za dokonany fraud.

Jeśli ktoś nie orientuje się, czym jest 2FA, polecam popularne publikacje w tym temacie na portalach Niebezpiecznik, Sekurak lub zaufana3strona.

Pozdr.

M.

 

Edytowane 21 Kwietnia przez mawmarecki

[Miesilmannimea]

Na giełdzie nie ma żadnych "transakcji"..

[astrokarol]

10 godzin temu, lkosz napisał(a):

jest 2024 rok, najwyższy już czas, żeby dla własnego dobra doszkolić się z podstaw bezpieczeństwa. To nie jest rocket science ani informatyka śledcza. Na youtubie jest masa poradników jak to zrobić. Czy się to komuś podoba, czy nie, cyberbezpieczeństwo jest równie ważną wiedzą, jak bezpieczeństwo zdrowodne i inne rodzaje wiedzy ogólnej, której braki są dotkliwe w skutkach.

 

1 godzinę temu, mawmarecki napisał(a):

Jeśli ktoś nie orientuje się, czym jest 2FA, polecam popularne publikacje w tym temacie na portalach Niebezpiecznik, Sekurak lub zaufana3strona.

 

Tylko używacie tu jakiś nazw, terminów, które nie są powszechnie znane. I wydaje mi się, że nie ma potrzeby tego się dowiadywać. Nie wystarczy znać podstawy cyberbezpieczeństwa ? Mam myśli takie jak np. nie ustawianie haseł typu "1234", nie zapisywać haseł w przeglądarce (a najlepiej w ogóle nigdzie), zmieniać hasła co jakiś czas, dwuskładnikowe logowanie (hasło i hasło z sms-a) jest bezpieczniejsze niż jednoskładnikowe.

 

Nie muszę znać zasady działania ani nazw typów zamków w drzwiach by wiedzieć, że ich użycie zabezpiecza dom przed kradzieżą. Choć nie zaszkodzi dowiedzieć się, które zamki są uznawane za najlepsze.

 

A co do samego tematu. Opcja wyboru jest najlepsza.

 

 

[wampum]

11 godzin temu, lkosz napisał(a):

 

 

jest 2024 rok, najwyższy już czas, żeby dla własnego dobra doszkolić się z podstaw bezpieczeństwa. To nie jest rocket science ani informatyka śledcza. Na youtubie jest masa poradników jak to zrobić. Czy się to komuś podoba, czy nie, cyberbezpieczeństwo jest równie ważną wiedzą, jak bezpieczeństwo zdrowodne i inne rodzaje wiedzy ogólnej, której braki są dotkliwe w skutkach.

Zdaję sobie z tego sprawę.....jestem " pełnym użytkownikiem" dobroci internetowych (Youtube itd...) i jakoś, jeszcze mnie nic nie zaatakowało. Płacę co roku za progran zabezpieczjący, i nie klikam linków, załączników i innych pierdół, jakoś (tfu tfu) przez tyle lat nic mnie nie zaatakowało, chciaż czasami dostaję alarm o zagrożeniu itp. To się chyba nazywa świadome użytkowanie.

[Pawcio]

Jeżeli o mnie chodzi fajnie gyby włączyć opcjonalną dwuetapową weryfikację (głosuję za Google Authenticator) a w dodatkowo można np. w ogłoszeniu na giełdzie lub przy awatarze użytkownika dodać znacznik, że użytkownik jest dodatkowo zweryfikowany

[M_H]

+1 do opcjonalnego TOTP (kto jakiej appki użyje nie ma znaczenia). Im szerzej stosowane tym bezpieczniej.

 

Dla zainteresowanych polecam rozpoznać zalety:

 

[seg]

14 godzin temu, dobrychemik napisał(a):

Na pewno admini i moderatorzy powinni być zobligowani do wyższych poziomów zabezpieczeń, bo przejęcie takiego konta mogłoby mieć dalece grožniejsze skutki.

Tu proponuję weryfikację dziesięcioetapową, w tym odcisk palca i skanowanie siatkówki.