Weryfikacja dwuetapowa na forum?

[dobrychemik]

Teraz, seg napisał(a):

Tu proponuję weryfikację dziesięcioetapową, w tym odcisk palca i skanowanie siatkówki.

 

Dziękuję za wiele wnoszący głupi sarkazm. Zastanów się jakie szkody mógłby wyrządzić osobnik mający uprawnienia admina. 

[OnlyAfc]

5 minut temu, seg napisał(a):

Tu proponuję weryfikację dziesięcioetapową, w tym odcisk palca i skanowanie siatkówki.

rozmiar buta pominąłeś.

Weryfikacja dwuetapowa to już standard jest, więc w sumie nie wiem, czemu się oburzasz.

[seg]

Ależ proszę. Istnieją jeszcze ludzie, którzy od kiludziesięciu lat używają internetu i nikt im sie na żadne konto nie włamał. Tak jak wcześniej ktos napisał, każdy niech dba o swoje - jak dbasz, tak masz. Rozumiem, że te weryfikacje są potrzebne osobom, które spędzają tu 70+% czasu wolnego i bez tego forum ich życie nie ma sensu.

Edytowane 21 Kwietnia przez seg

[OnlyAfc]

8 minut temu, seg napisał(a):

jak dbasz, tak masz

Ale to zabezpieczenie jest nie tylko dla Ciebie, żeby nie stracić dostępu, ale też zabezpieczenie innych, przed oszustwem, tak jak było w przypadku giełdy ostatnio.

[seg]

8 minut temu, OnlyAfc napisał(a):

Ale to zabezpieczenie jest nie tylko dla Ciebie, żeby nie stracić dostępu, ale też zabezpieczenie innych, przed oszustwem, tak jak było w przypadku giełdy ostatnio.

Oczywiście rozumiem Cię, ale ja tak samo tych zabezpieczeń nie potrzebuję, jak inni ich pragną. Także jeżeli będzie możliwość wyłączenia tego badziewia, to OK. Byle nie przez absurd typu musisz się podwójnie zweryfikować, aby to wyłączyć.

Edytowane 21 Kwietnia przez seg

[Herbert West]

Opcjonalna 2FA - TOTP.

Trudno będzie uzasadnić wymóg dla wszystkich bez wyjątku.

Wymóg 2FA dla kont wystawiających na giełdzie wydaje się rozsądny ale czy wykonalny?

[lkosz]

@Magnetar wymuszanie 2FA w przypadku forum jest kompletnie nieproporcjonalnym rozwiązaniem. 2FA oznacza powiązanie konta z numerem telefonu lub kontem google, tzn. powiązanie w bazie forum, przecież 2FA nie działa na wróżki, i jest to naruszenie prywatności. Powinno to być dostępne, ale jako opcja wyłącznie. Co do tej utraty dostępu do maila - a to już problem użytkownika. Jak straci dostęp do numeru telefonu lub TOTP, sytuacja będzie analogiczna. Celem tej dyskusji jest zminimalizowanie ryzyka kolejnego przejmowania kont na forum, dlatego w pierwszej kolejności należy przestać ułatwiać przejmowanie kont przez prawidłową konfigurację poświadczeń mailowych. To jest rzecz którą można wymusić. 2FA nie.

 

@astrokarol są to powszechnie stosowane terminy, w użyciu od kilkunastu lat. Jak ktoś twierdzi, że nie musi, to jego sprawa. Konsekwencje będzie ponosić sam.

 

@wampum "zaatakowało", tylko o tym nie wiesz. Albo sam gdzieś nieświadomie wpisałeś swoje hasło, z pośpiechu, roztargnienia, przeglądarka sama wpisała. Tego się nie da upilnować. Nie jest pytaniem "czy" tylko "kiedy". Mam na dysku jakieś 100GB wycieków, loginy z hasłami. Moje (stare już) hasła są tam obecne. Twoje z pewnością też. Dlatego 2FA należy używać zawsze gdy jest dostępne i nigdy nie polegać wyłącznie na swojej czujności.

[Rafał K.]

Weryfikacja dwuetapowa to standard ? Hmmm. Gdzie ? Wybrane banki. I to nie wszystkie. Sama płatność jest dodatkowo zabepieczona ale nie logowanie. Allegro tego nie ma. Fb nie ma. I wszystkie inne poważne serwisy jedynie jako opcja mają dwuetapowe zabezpieczenie. Więc jak już trzeba coś zabepieczyć to ewentualnie sam schemat zatwierdzania transakcji w markecie.

Cała reszta to ma być czysta przyjemność z rozmów, dywagacji i porad forumowych i gdy tylko mogę to zaglądam na to czy inne forum w wolnej chwili np w pracy i raczej nie wyobrażam sobie że nie będę z automatu zalogowany w przeglądarce telefonu.

[OnlyAfc]

7 minut temu, Rafał K. napisał(a):

Allegro tego nie ma. Fb nie ma.

FB ma https://www.facebook.com/help/148233965247823

Allegro też ma https://allegro.pl/pomoc/dla-kupujacych/logowanie-i-haslo/czym-jest-dwustopniowe-logowanie-i-dlaczego-warto-z-niego-korzystac-dykqg9nMKSZ

 

Banki w zasadzie wszystkie mają. Jest to login i hasło + kod sms lub zatwierdzenie w aplikacji. Jeśli bank nie ma, to ja taki bank omijam z daleka.

 

9 minut temu, Rafał K. napisał(a):

Weryfikacja dwuetapowa to standard ?

Oczywiście że jest. Z bardziej popularnych masz 2fa do usług google (w tym gmail, youtube itd.). Jeśli ktoś gra i używa np. steam, to to samo, 2FA jest.

 

Nawet fatalne olx ma weryfikację dwuetapową przy wystawianiu ogłoszeń.

 

[Rafał K.]

4 minuty temu, OnlyAfc napisał(a):

FB ma https://www.facebook.com/help/148233965247823

Allegro też ma https://allegro.pl/pomoc/dla-kupujacych/logowanie-i-haslo/czym-jest-dwustopniowe-logowanie-i-dlaczego-warto-z-niego-korzystac-dykqg9nMKSZ

 

Banki w zasadzie wszystkie mają. Jest to login i hasło + kod sms lub zatwierdzenie w aplikacji. Jeśli bank nie ma, to ja taki bank omijam z daleka.

 

 

Może się nieprecyzyjnie wyraziłem. FB, allegro, i wiele banków itp oczywiście że mają 2fa ale jako opcja. Sugerują ale nie wymuszają.

[Herbert West]

@lkosz 2FA poprzez jakąś aplikację generującą kody TOTP nie oznacza powiązania z jakimkolwiek innym kontem czy numerem telefonu.

 

Np. aplikacja Authy generuje kody i nie jest związana z google, MS czy innym dystopijnym korpo. I nie wymaga numeru telefonu.

 

Nie optuję za obowiązkowym 2FA na forum a nawet bym się sprzeciwiał takiemu wymogowi, choć sam używam 2FA gdzie tylko mogę.

[OnlyAfc]

11 minut temu, Rafał K. napisał(a):

Może się nieprecyzyjnie wyraziłem. FB, allegro, i wiele banków itp oczywiście że mają 2fa ale jako opcja. Sugerują ale nie wymuszają.

Bo to proste.

Na FB tracisz konto i tyle, twoja wina

Na allegro jest weryfikacja dodatkowa ogłoszeń, wiec też nie wymuszają.

W banku tracisz swoją kasę, to twoja wina.

 

Tutaj sytuacja jest taka, że ktoś traci konto i podszywając się pod niego, inna osoba dokonuje oszustwa na giełdzie.

[Paether]

Na bazie dotychczasowej dyskusji, chyba niezłym rozwiązaniem byłaby możliwość włączenia takiej weryfikacji "kto chce" + ewentualnie wymóg dla moderatorów i adminów 

 

8 minut temu, Herbert West napisał(a):

Np. aplikacja Authy generuje kody i nie jest związana z google, MS czy innym dystopijnym korpo. I nie wymaga numeru telefonu.

 

Ciekawostka: twórcy silnika, na którym stoi forum uznali, że Authy jest przestarzała 

 

[Rafał K.]

4 minuty temu, OnlyAfc napisał(a):

Bo to proste.

Na FB tracisz konto i tyle, twoja wina

Na allegro jest weryfikacja dodatkowa ogłoszeń, wiec też nie wymuszają.

W banku tracisz swoją kasę, to twoja wina.

 

Tutaj sytuacja jest taka, że ktoś traci konto i podszywając się pod niego, inna osoba dokonuje oszustwa na giełdzie.

Nie.

Na fb trace konto i ktoś rozsyła prośbę o bliki np. Dlatego trzeba dbać o hasło a nie dwuetpową weryfikacje.

Na allegro jeśli już to byłby problem z wypłatą gotówki bo autoryzacja nowego konta bankowego odbywa się poprzez przelew na 1zł.

W banku nie trace pieniędzy bo autoryzacja przelewu to albo apka albo sms

Wychodzi na to że forum astro to strona o wiele bardziej wrażliwa niż banki i portale społecznościowe i aukcyjne. Litości. Tak jak pisałem. Wystarczy zadbać o ewentualną autoryzacje transakcji w markecie.

[Magnetar]

1 godzinę temu, Herbert West napisał(a):

Np. aplikacja Authy generuje kody i nie jest związana z google, MS czy innym dystopijnym korpo. I nie wymaga numeru telefonu.

Authy wymaga rejestracji konta i podania numeru telefonu https://help.twilio.com/articles/19753662697627-Welcome-to-Authy-

"Please note, you must use a phone number to create an Authy account. It is needed to both verify account ownership, and to register the app. It is not possible to use Authy without a phone number."

 

Ja używam Aegis Authenticator https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis . Wszystkie dane są przechowywane lokalnie i nie są nigdzie wiązane z nr telefonu ani żadnym innym kontem.

 

 

[tex88]

2 godziny temu, Rafał K. napisał(a):

Nie.

Na fb trace konto i ktoś rozsyła prośbę o bliki np. Dlatego trzeba dbać o hasło a nie dwuetpową weryfikacje.

Na allegro jeśli już to byłby problem z wypłatą gotówki bo autoryzacja nowego konta bankowego odbywa się poprzez przelew na 1zł.

W banku nie trace pieniędzy bo autoryzacja przelewu to albo apka albo sms

Wychodzi na to że forum astro to strona o wiele bardziej wrażliwa niż banki i portale społecznościowe i aukcyjne. Litości. Tak jak pisałem. Wystarczy zadbać o ewentualną autoryzacje transakcji w markecie.

To jakie wielkie kwoty idą w przelewach za przedmioty na giełdzie powinno nas skłonić do zwiększenia bezpieczeństwa, a nie lekceważenia. Na dodatek, dla kogoś 500zł może być również ogromnym wydatkiem dlatego należy objąć właściwą ochroną wszystkich chętnych. Jak ktoś nie chce, to się nie weryfikuje i zwiększa prawdopodobieństwo na atak. Lepiej zapobiegać niż leczyć
 

Edytowane 21 Kwietnia przez tex88

[dobrychemik]

Ludzie od dziecka słyszą, że są wyjątkowi i coś nad nimi czuwa, stąd przekonanie, że nic złego ich nie spotka. I bardzo się później dziwią, bo przecież:

- nigdy wcześniej nie zepsuł mi się dysk

- nigdy wcześniej nie było tu pożaru

- nigdy wcześniej nie zasnąłem podczas jazdy

- nigdy wcześniej mój pies nikogo nie ugryzł

- nigdy wcześniej nie wjeżdżałem na czerwonym

- nigdy wcześniej mnie nie okradziono

itd.

[PrismoSal]

To ja powiem krótko: jeśli będzie opcja 2FA, bardzo chętnie z niej skorzystam w imię bezpieczeństwa swojego i innych, którzy mogliby paść ofiarą oszusta przejmującego moje konto, jeśli więc Administracja ma  możliwość zaimplementowania takiego rozwiązania, uprzejmie o nie proszę.

Niech będzie to opcja, a nie obowiązek, bo nie od dziś wiadomo, że Polak mądry dopiero po szkodzie, inaczej niczego się nie nauczy, a niekiedy i po szkodzie dalej głupi. Wszystkim nie da się dogodzić.

Edytowane 22 Kwietnia przez PrismoSal

[Vader]

Ja również, gdzie tylko mogę, korzystam jako 2FA kluczy Yubico (klucz fizyczny U2F https://niebezpiecznik.pl/post/klucze-u2f-pytania-i-odpowiedzi/) albo innych już wspomnianych form 2FA. Do tego polecam korzystać z menedżera haseł (innego niż wbudowany w przeglądarkę). Hasła inne do każdego serwisu, losowe, których nie muszę pamiętać. Na początku jest upierdliwe, ale szybko pomaga z korzystania i logowania, i również zabezpiecza przed podaniem danych logowania na podstawionej stronie. https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/
 

Podsumowując, oczywiście chętnie włączę opcję 2FA na tutejszym forum, ale jako opcja dla zainteresowanych. Warto też poinformować banerem czy przypiętym temat na stronie głównej informującym o aktywowaniu takiej opcji.

Edytowane 22 Kwietnia przez Vader

[PrismoSal]

W dniu 21.04.2024 o 00:38, lkosz napisał(a):

Wymuszanie tego, czyli powiązania konta na forum z numerem telefonu lub kontem google będzie naruszające prywatność.

Przepraszam, ale nie mogę zgodzić się z tym stwierdzeniem, ponieważ forum to w chwili obecnej już przetwarza dane prywatne, i to za zgodą każdego użytkownika, oto bowiem:

 

Cytat

2. SPOSÓB PRZETWARZANIA DANYCH

 

2.1. Cel i zakres przetwarzanych danych osobowych określa zakres zgód oraz uzupełnionych danych przesłanych za pomocą odpowiedniego formularza. Przetwarzanie danych osobowych Użytkowników może dotyczyć imienia i nazwiska, numeru telefonu, adresu poczty elektronicznej, adresu IP komputera, danych do faktury i danych zbieranych przez Google Analytics oraz innych danych koniecznych w celu wykonywania usług świadczonych zgodnie z Regulaminem. Charakter usług świadczonych przez Usługodawcę uniemożliwia ich świadczenie w sposób anonimowy.

 

Nie można naruszyć prywatności powiązując numer telefonu z kontem, jeśli w trakcie tworzenia konta zgodziłeś się na przetwarzanie tych danych.

To powiedziawszy, jestem za opcjonalnością Uwierzytelniania Dwuetapowego - niech chętni sobie to włączą, a kto nie chce, niech nie włącza.

[Miesilmannimea]

Amen.

[lkosz]

@PrismoSal o ile je podali. A nie wszyscy podali np. numer telefonu. I owszem można naruszać prywatność nawet mając zgodę na przetwarzanie. Nie rozumiem do czego te polemiki mają prowadzić, skoro sami jesteście przeciwni wymuszaniu 2FA.

[WielkiAtraktor]

Mnie też podoba się opcja dobrowolnego włączenia. Przy ogłoszeniach giełdowych forum mogłoby dodawać znacznik/odznakę "konto ofertodawcy zweryfikowane 2FA".  Wtedy potencjalni kupujący sami ocenią ryzyko, czy chcą kupować bez tego.

[PrismoSal]

34 minuty temu, lkosz napisał(a):

o ile je podali. A nie wszyscy podali np. numer telefonu.

To trochę martwy już argument, bo z trzech dostępnych opcji przedstawionych w pierwszym poście, tylko Google Authenticator ma jakiś większy sens. Pytania sprawdzające nie pomogą jeśli włamywacz zna hasło, a płatne usługi podmiotów trzecich nie przejdą z całą pewnością. Pozostaje Google Authenticator, który wszystkie dane szyfruje na smartfonie i w powiązaniu z kontem Google, nie wymaga więc podania telefonu tutaj, na forum.

 

37 minut temu, lkosz napisał(a):

I owszem można naruszać prywatność nawet mając zgodę na przetwarzanie.

Jak wyżej, możemy dalej brnąć w hipotezy i dywagacje, ale nie wniesie to nic do tematu.

 

37 minut temu, lkosz napisał(a):

Nie rozumiem do czego te polemiki mają prowadzić, skoro sami jesteście przeciwni wymuszaniu 2FA.

Do sprostowania Twojego stwierdzenia, które wprowadza w błąd, zwłaszcza tych, dla których 2FA to zupełne novum. Dodatkowe zabezpieczenie przez GA nie naruszy niczyjej prywatności i to chciałem podkreślić.

[lkosz]

18 minut temu, PrismoSal napisał(a):

Do sprostowania Twojego stwierdzenia, które wprowadza w błąd, zwłaszcza tych, dla których 2FA to zupełne novum. Dodatkowe zabezpieczenie przez GA nie naruszy niczyjej prywatności i to chciałem podkreślić.

no to ja podkreślam, że jest to techniczne i jednoznaczne powiązanie autoryzacji konta na forum, czyli de facto konta na forum, z konkretnym kontem w googlu na którym jest uruchomione dostarczanie TOTP. Tu nie ma pełnej anonimowości, tylko jest pseudonimizacja, a ruch odbywa się z pośrednictwem API serwerów googla. Co umożliwia zdeanonimizowanie użytkownika oraz większe śledzenie aktywności w przypadku wycieku lub luki w zabezpieczeniach.

 

19 minut temu, WielkiAtraktor napisał(a):

Przy ogłoszeniach giełdowych forum mogłoby dodawać znacznik/odznakę "konto ofertodawcy zweryfikowane 2FA".

to akurat jest bardzo zły pomysł, bo 2FA nie zabezpiecza przed kradzieżą ciasteczka sesji z przeglądarki (chyba że będzie wymuszane ponowne logowanie po kilku minutach nieaktywności jak w banku, co jest absurdem w przypadku forum) lub przed atakami MITM. Za to taki znaczek częściowo uśpi czujność kupującego i daje fałszywe poczucie bezpieczeństwa. Z tego powodu zniknęły zielone kłódki na stronach z HTTPSem.

Edytowane 22 Kwietnia przez lkosz