:) Jak absolutnie NIE używać tokenów
Adam Haertle dodał 15 grudnia 2014 o 20:30 w kategorii FunSec
z tagami: 2FA • kamera • token
Na takie przypadki chyba trzeba stworzyć kategorię SadSec w miejsce FunSec. Tak, to są tokeny w obiektywie kamery internetowej. Pomysłodawcy gratulujemy zwycięskiej walki z zabezpieczeniami 2FA.
Oryginalne użycie tokenów
Aktualizacja: Suve wskazał w komentarzu źródło obrazka. Tokeny zabezpieczają finansowe transakcje pewnej firmy. Do autoryzacji przelewu wymagane jest podanie kodu przez 3 osoby. Ten mechanizm ma to zadanie uprościć…
Podobne wpisy
- Jak sprytni włamywacze ominęli korporacyjne uwierzytelnienie dwuskładnikowe
- Podstawy Bezpieczeństwa: Uwierzytelnianie dwuskładnikowe – po co i jak go używać
- Dodanie 2FA do dowolnej aplikacji WWW w kwadrans? Też nie wierzyliśmy
- Zapłacisz kartą na cudzym smartfonie? Analiza terminali na telefonie
- [Aktualizacja] Błędy w routerach przyczyną rachunków na wiele tysięcy PLN
Piękne :D
Bo ja wiem… Jak na karteczkach maił napisane „token1” „token2” to jakie to zagrożenie? A gdyby nawet „bank1” „bank2″… Kierując kamerkę ma tokeny ktoś ma do nich dostęp on-line i nie musi tarmosić po kieszeniach dodatkowych klamotów.
No ale to są tokeny trzech różnych osób :)
No dobra hackerzy, ktoś mi objaśni jak na podstawie tych klucz jest się w stanie cokolwiek zrobi. Serio. Ja wiem że kolega śmieszek umieścił te klucze na publicznej kamerce – ale co z tego? Potrzebne jest jeszcze user i hasło. Do tego trzeba wiedzieć do czego tego użyć i optymistyczne założęnie jest takie żę 1 token to 1 konto, a nie np. kobinacja wszystkich liczb z tokenów to dopiero token do systemu.
Poza tym nie wpadliście na to że może to być honeypot …
Ja ostatnio się dowiedziałem, że jest coś takiego, jak token software’owy w formie aplikacji trzymanej na komputerze, który to wykorzystuje hasło z tego tokena do połączenia VPN do firmy.
Ktoś za daleko poszedł w upraszczaniu życia użytkownikom :)
Są, są również tokeny jako appka na telefon do banku np. PEKAO. Przy wejściu do appki należy podać ustalony PIN (8 znaków), następnie na podstawie ostatnich 4 cyfr numeru konta i dodatkowych 4 cyfr wygenerowanych przy danym przelewie generowany jest 6-cyfrowy token. Bardzo wygodne. Po podaniu PINu pojawia się flaga państwa, którą należało zapamiętać przy ustalaniu PINu i należy wybrać Tak lub Nie czy flaga się zgadza. Nie otrzymuje się jasnej odpowiedzi, że PIN jest niepoprawny, mom zdaniem bezpieczne :)
A co takiego złego w tokenie softwareowym?
W tokenie software’owym samym w sobie nic. Ale trzymanie tej aplikacji na tym samym komputerze, który chcemy wpiąć do sieci, powoduje, że mamy 2 x stosowane uwierzytelnianie „Something You Know” – a nie „Something You Have”.
Telefon komórkowy z Authy daje radę – bo jest jeden taki konkretny telefon z kluczami.
Źródło obrazka dużo wyjaśnia. Rozwiązanie nadal jest niebezpieczne, ale nie aż tak głupie, jak się wydaje.
http://thedailywtf.com/articles/the-robot-guys
Dzięki za linka, artykuł zaktualizowany. Rozwiązanie nadal wydaje się mi bardzo głupie z punktu widzenia bezpieczeństwa – choć faktycznie jest funkcjonalne.
Odnośnie aplikacji z tokenami to jest Authy: http://blog.authy.com/authy-for-pc