Weryfikacja dwuetapowa na forum?

[tex88]

4 minuty temu, lkosz napisał(a):

no to ja podkreślam, że jest to techniczne i jednoznaczne powiązanie autoryzacji konta na forum, czyli de facto konta na forum, z konkretnym kontem w googlu na którym jest uruchomione dostarczanie TOTP. Tu nie ma pełnej anonimowości, tylko jest pseudonimizacja, a ruch odbywa się z pośrednictwem API serwerów googla. Co umożliwia zdeanonimizowanie użytkownika oraz większe śledzenie aktywności w przypadku wycieku lub luki w zabezpieczeniach.

ale nikt ci nie będzie kazał się dodatkowo zabezpieczyć i możesz zachować swoją anonimowość (jak rozumiem na zdjęciu w awatarze to nie ty)

[lkosz]

1 minutę temu, tex88 napisał(a):

ale nikt ci nie będzie kazał się dodatkowo zabezpieczyć i możesz zachować swoją anonimowość (jak rozumiem na zdjęciu w awatarze to nie ty)

ludzie, czytajcie ze zrozumieniem... ów argument podałem właśnie w kontekście tego, ŻEBY NIE WYMUSZAĆ 2FA I ZAŁĄCZYĆ GO WYŁĄCZNIE JAKO OPCJĘ!

[PrismoSal]

24 minuty temu, lkosz napisał(a):

no to ja podkreślam, że jest to techniczne i jednoznaczne powiązanie autoryzacji konta na forum, czyli de facto konta na forum, z konkretnym kontem w googlu na którym jest uruchomione dostarczanie TOTP. Tu nie ma pełnej anonimowości, tylko jest pseudonimizacja, a ruch odbywa się z pośrednictwem API serwerów googla. Co umożliwia zdeanonimizowanie użytkownika oraz większe śledzenie aktywności w przypadku wycieku lub luki w zabezpieczeniach.

Rozmawialiśmy o naruszeniu prywatności, teraz zmieniasz temat na śledzenie i dziury w zabezpieczeniach. Z zachowanym szacunkiem, nie podejmuję się kontynuowania tej konwersacji, bo po kolejnych trzech zmianach kursu będziemy już tak daleko od wyjściowego argumentu, że tylko śmietnik tu zrobimy, a że jestem tu relatywnie nowy, to pewnie bana dostanę ja

Przy piwie jest lepiej tak se poskakać 😉

[lkosz]

Nie zmieniam kursu, to się łączy wszystko ze sobą. Trochę mnie dziwi że polemizujący tego nie widzą. Ale nie wdaję się w szczegóły, bo nie miejsce i czas na robienie wykładów z security. Zakładam że jak ktoś podejmuje polemikę w temacie, to to wszystko wie. TOTP to jest zwiększenie zabezpieczenia konta kosztem nieznacznego, ale jednak - naruszenia prywatności z przyczyn wyżej wymienionych + standardowych typu ślady w logach po stronie dostawcy, z wszystkimi tego konsekwencjami, w tym skutkami wycieków, włamań.

[seg]

5 godzin temu, dobrychemik napisał(a):

Ludzie od dziecka słyszą, że są wyjątkowi i coś nad nimi czuwa, stąd przekonanie, że nic złego ich nie spotka. I bardzo się później dziwią, bo przecież:

- nigdy wcześniej nie zepsuł mi się dysk

- nigdy wcześniej nie było tu pożaru

- nigdy wcześniej nie zasnąłem podczas jazdy

- nigdy wcześniej mój pies nikogo nie ugryzł

- nigdy wcześniej nie wjeżdżałem na czerwonym

- nigdy wcześniej mnie nie okradziono

itd.

Dobry chemik, wybitny psycholog, znawca życia, król statusów. Nikt nie potrzebuje twojej "troski". Niech każdy decyduje za siebie.

 

Zapomniałeś jeszcze dopisać:

- nigdy wcześniej nie zaginęła mi paczka z teleskopem

Edytowane 22 Kwietnia przez seg

[Gość na chwilę]

Wyhamujcie bo kolejny poważny  temat zaczyna zalatywać szambem.

[dobrychemik]

Godzinę temu, seg napisał(a):

Dobry chemik, wybitny psycholog, znawca życia, król statusów. Nikt nie potrzebuje twojej "troski". Niech każdy decyduje za siebie.

Zapomniałeś jeszcze dopisać:

- nigdy wcześniej nie zaginęła mi paczka z teleskopem

 

Nie ma obawy, nie kieruje mną troska o Ciebie. Ale zżyłem się z tym Forum i jego społecznością i siłą rzeczy zależy mi, by to forum nie padło ofiarą ataku oszustów. To wystarczający powód do kpin.

 

Sugerowałem, by wyższy poziom zabezpieczeń obowiązywał adminów i moderatorów. O ile się orientuję, @seg ani nie pełnisz takiej funkcji obecnie, ani w najbliższym czasie Ci ona nie grozi. Więc w czym masz problem?

 

P.S. Co do paczki z teleskopem: pieniądze odzyskałem, bo zakupu dokonałem nie u oszusta, ale w wiarygodnym sklepie.

Edytowane 22 Kwietnia przez dobrychemik

[seg]

22 minuty temu, Gość na chwilę napisał(a):

Wyhamujcie bo kolejny poważny  temat zaczyna zalatywać szambem.

Dla Ciebie poważny, dla mnie zbędny. Mam uczulenie na wszystkich, którzy wiedzą lepiej ode mnie co jest dla mnie dobre i właściwe, a może nawet jedynie słuszne.

[ZbyT]

Ja tam zupełnie się nie znam na tych wszystkich zabezpieczeniach ale odnoszę wrażenie, że ewentualna kradzież tożsamości zdecydowanie bardziej naruszy moją prywatność niż dwuetapowa weryfikacja

 

kradzież cudzej tożsamości na giełdzie też znacząco może mi zagrozić i moja dwuetapowa weryfikacja temu nie zapobiegnie. Albo wszyscy albo nikt bo częściowe zabezpieczenia dają tylko złudzenie bezpieczeństwa, a to może być groźniejsze niż ich brak

 

pozdrawiam

[Adam_Jesion]

To co możemy zrobić i prawdopodobnie zrobimy, to:

1. sprawdzamy aspekt implementacji uwierzytelniania 2FA dla każdego chętnego,

2. wymusimy aktualizację adresu email dla starych kont i te, które przez 3 miesiące nie zostaną potwierdzone - zablokujemy,

3. umieścimy dodatkową informację o odpowiedzialności/ryzyku na każdej stronie giełdy (każdy musi być świadomy, że nasza giełda nie zabezpiecza i nie przeprowadza żadnych transakcji - jest tylko "słupem słupem ogłoszeniowym" i każdy musi sam weryfikować swojego kontrahenta).

 

Sytuację monitoruję i do czasu, kiedy takie "akcje" zdarzają się sporadycznie (szczególnie porównując je do innych miejsc w internecie), to nie będziemy wprowadzać żadnych dodatkowych ograniczeń utrudniających funkcjonowanie 99% użytkowników forum. Bez obaw - wiemy, do czego to forum służy

[lkosz]

Oczywiście - kradzież tożsamości bardziej narusza prywatność niż 2FA. ALE - żeby miała ona zabezpieczyć giełdę, musi być obowiązek stosowania 2FA u wszystkich użytkowników. No i tu wracamy do zasady proporcjonalności. O ile firmy mają realne podstawy do wprowadzania obowiązkowego 2FA wszystkim swoim pracownikom, tak forum takich podstaw nie ma, ewentualnie ograniczony - jedynie do adminów i moderatorów. Dobrowolnie 2FA będzie używała tylko część użytkowników.

 

To, co admini mogą zrobić w zamian bez wpływu na użytkowników, to zmodyfikować zasady potwierdzania zmiany hasła i emaila, o których pisałem. Bo w tej chwili ułatwione jest przejmowanie kont (nie trzeba mieć dostępu do poczty ofiary). Oraz załączyć 2FA jako opcję dla chętnych. Wówczas jak się połączy te kilkadziesiąt procent osób z 2FA na forum, z kilkudziesięcioma procentami osób z 2FA na poczcie, może się okazać, że nawet przy tym samym haśle do forum i poczty (co też nie wszyscy praktykują), ataki na giełdę będą utrudnione.

 

Jeśli to nie pomoże, to dopiero myśleć o np. potwierdzaniu zamieszczania ogłoszenia na giełdzie przez 2FA.

[Pawcio]

Tak jak napisałem wcześniej można dodać jakiś znacznik do użytkowników, którzy zdecydują się na dwuetapową weryfikację - zaraz mnie pewnie zaatakują niektórzy, że jestem za wybieraniem lepszych i gorszych ale przy wyborze ogłoszenia nie ukrywam, że taka informacja wiele by pomogła, co nie zmienia że u pozostałych po odpowiedniej weryfikacji ( np. dodatkowe zdjęcie) także można dobić interesu. Swoją drogą dziwię się temu całemu zamieszaniu - chcesz aktywujesz dwuetapową weryfikację, nie  - proszę bardzo. Że nasza rada myśli o włączeniu dodatkowego zabezpieczenia dla siebie to tylko dobrze o niej świadczy ( lizus mode off)

[sp3uca]

To jeszcze jedno. Proponuje do logowania konieczność obliczenia prostej całki lub np. 10 liczb pierwszych. Wykluczy to przypadkowe wpisy "po 4 głębszych". Wiem o czym mówię , bo mi się zdarzyło.🤣

 

A.

Edytowane 22 Kwietnia przez sp3uca

[Miesilmannimea]

Alfabet od końca jak na amerykańskich filmach

[rybek0s]

3 hours ago, Pawcio said:

Tak jak napisałem wcześniej można dodać jakiś znacznik do użytkowników, którzy zdecydują się na dwuetapową weryfikację - zaraz mnie pewnie zaatakują niektórzy, że jestem za wybieraniem lepszych i gorszych ale przy wyborze ogłoszenia nie ukrywam, że taka informacja wiele by pomogła, co nie zmienia że u pozostałych po odpowiedniej weryfikacji ( np. dodatkowe zdjęcie) także można dobić interesu. Swoją drogą dziwię się temu całemu zamieszaniu - chcesz aktywujesz dwuetapową weryfikację, nie  - proszę bardzo. Że nasza rada myśli o włączeniu dodatkowego zabezpieczenia dla siebie to tylko dobrze o niej świadczy ( lizus mode off)

To nie do końca bezpieczne rozwiązanie. Problemem są konta ze słabymi hasłami. Jeżeli ktoś znowu przejmie takie konto, to włączy sobie dodatkowa weryfikację (już przejętego) konta i dzięki takiemu znacznikowi uśpi czujność innych użytkowników.

 

2FA to w mojej opinii dobry kierunek, ale pomoże głównie osobom już świadomym zagrożeń. Ci co mają słabe hasło, i tak nie włączą 2fa. To samo się tyczy kont duchów, na których nikt się od lat nie logował.

 

@Adam_Jesion już chyba wyczerpał temat. Opcja blokowania porzuconych kont pewnie w wielkim zakresie ograniczy nasz giełdowy problem, a dodanie 2fa sprawi frajdę tym co chcą tego użyć (i później nie udowadniać, że to nie oni wystawili ogłoszenie na giełdzie)

 

PS. Ciekawe czy bezpieczniejsze by nie było proszenie sprzedającego i zdjęcie sprzętu wraz z kartka z nazwą użytkownika i data. Czasem najprostrze rozwiązania są najlepsze

Edytowane 22 Kwietnia przez rybek0s
Dodano PS

[Ainar]

Fajnie że temat został poruszony, tym bardziej, że (chyba?) większość osób już korzysta z menedżerów haseł gdzie można dodać seed z kodów i mieć generowane wszystko w jednym miejscu. I skoro temat wypłynął i są badane możliwości to przy okazji zaproponuję - a może passkeys?

Edytowane 22 Kwietnia przez Ainar