15.12.2014 | 20:30

Adam Haertle

:) Jak absolutnie NIE używać tokenów

Na takie przypadki chyba trzeba stworzyć kategorię SadSec w miejsce FunSec. Tak, to są tokeny w obiektywie kamery internetowej. Pomysłodawcy gratulujemy zwycięskiej walki z zabezpieczeniami 2FA.

Oryginalne użycie tokenów

Oryginalne użycie tokenów

Aktualizacja: Suve wskazał w komentarzu źródło obrazka. Tokeny zabezpieczają finansowe transakcje pewnej firmy. Do autoryzacji przelewu wymagane jest podanie kodu przez 3 osoby. Ten mechanizm ma to zadanie uprościć…

Powrót

Komentarze

  • 2014.12.15 21:05 adrian

    Piękne :D

    Odpowiedz
  • 2014.12.15 22:06 Art

    Bo ja wiem… Jak na karteczkach maił napisane „token1” „token2” to jakie to zagrożenie? A gdyby nawet „bank1” „bank2″… Kierując kamerkę ma tokeny ktoś ma do nich dostęp on-line i nie musi tarmosić po kieszeniach dodatkowych klamotów.

    Odpowiedz
    • 2014.12.18 23:58 Sztefen

      No ale to są tokeny trzech różnych osób :)

      Odpowiedz
  • 2014.12.15 22:10 socar

    No dobra hackerzy, ktoś mi objaśni jak na podstawie tych klucz jest się w stanie cokolwiek zrobi. Serio. Ja wiem że kolega śmieszek umieścił te klucze na publicznej kamerce – ale co z tego? Potrzebne jest jeszcze user i hasło. Do tego trzeba wiedzieć do czego tego użyć i optymistyczne założęnie jest takie żę 1 token to 1 konto, a nie np. kobinacja wszystkich liczb z tokenów to dopiero token do systemu.

    Poza tym nie wpadliście na to że może to być honeypot …

    Odpowiedz
  • 2014.12.15 23:23 Jakub Anderwald

    Ja ostatnio się dowiedziałem, że jest coś takiego, jak token software’owy w formie aplikacji trzymanej na komputerze, który to wykorzystuje hasło z tego tokena do połączenia VPN do firmy.

    Ktoś za daleko poszedł w upraszczaniu życia użytkownikom :)

    Odpowiedz
    • 2014.12.16 09:32 Janusz

      Są, są również tokeny jako appka na telefon do banku np. PEKAO. Przy wejściu do appki należy podać ustalony PIN (8 znaków), następnie na podstawie ostatnich 4 cyfr numeru konta i dodatkowych 4 cyfr wygenerowanych przy danym przelewie generowany jest 6-cyfrowy token. Bardzo wygodne. Po podaniu PINu pojawia się flaga państwa, którą należało zapamiętać przy ustalaniu PINu i należy wybrać Tak lub Nie czy flaga się zgadza. Nie otrzymuje się jasnej odpowiedzi, że PIN jest niepoprawny, mom zdaniem bezpieczne :)

      Odpowiedz
  • 2014.12.16 00:57 Dawid

    A co takiego złego w tokenie softwareowym?

    Odpowiedz
    • 2015.03.19 01:17 Jakub Anderwald

      W tokenie software’owym samym w sobie nic. Ale trzymanie tej aplikacji na tym samym komputerze, który chcemy wpiąć do sieci, powoduje, że mamy 2 x stosowane uwierzytelnianie „Something You Know” – a nie „Something You Have”.

      Telefon komórkowy z Authy daje radę – bo jest jeden taki konkretny telefon z kluczami.

      Odpowiedz
  • 2014.12.16 09:10 suve

    Źródło obrazka dużo wyjaśnia. Rozwiązanie nadal jest niebezpieczne, ale nie aż tak głupie, jak się wydaje.
    http://thedailywtf.com/articles/the-robot-guys

    Odpowiedz
    • 2014.12.16 11:02 Adam

      Dzięki za linka, artykuł zaktualizowany. Rozwiązanie nadal wydaje się mi bardzo głupie z punktu widzenia bezpieczeństwa – choć faktycznie jest funkcjonalne.

      Odpowiedz
  • 2014.12.16 12:08 Liko

    Odnośnie aplikacji z tokenami to jest Authy: http://blog.authy.com/authy-for-pc

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

:) Jak absolutnie NIE używać tokenów

Komentarze