AfterGlow Skrevet 2. august 2018 Del Skrevet 2. august 2018 Erfaringen er at SMS-basert autentisering ikke er sikkert.Hackere brøt gjennom Reddits forsterkede innloggingssikkerhet Lenke til kommentar
Mixy Skrevet 2. august 2018 Del Skrevet 2. august 2018 På bakgrunn av dette oppfordrer Reddit nå brukere å benytte den maskinvarebaserte formen for 2FA. Slike omfatter blant annet fysiske sikkerhetsnøkler og kodebrikker. Hva med software-løsninger som Google Authenticator? Lenke til kommentar
morten7 Skrevet 2. august 2018 Del Skrevet 2. august 2018 (endret) (...) Hva med software-løsninger som Google Authenticator? Google Authenticator, Facebook 2auth og BankID (kryptert SMS) er eksempel på trygge(re) løsninger.Et av de største problemene er svakhet i SS7 standarden og muligheten til å lytte inn på trafikk fra basestasjoner. Diskuteres og vises til andre eksempler på det samme i tråden hos HN (HackerNews): https://news.ycombinator.com/item?id=17664301 Endret 2. august 2018 av morten7 2 Lenke til kommentar
Lostfields Skrevet 2. august 2018 Del Skrevet 2. august 2018 (...) Hva med software-løsninger som Google Authenticator? Google Authenticator, Facebook 2auth og BankID (kryptert SMS) er eksempel på trygge(re) løsninger.Et av de største problemene er svakhet i SS7 standarden og muligheten til å lytte inn på trafikk fra basestasjoner. Diskuteres og vises til andre eksempler på det samme i tråden hos HN (HackerNews): https://news.ycombinator.com/item?id=17664301 Ville det egentlig hjulpet i dette tilfellet? Hackere fikk tilgang til brukernavn, saltede og hashede passord, e-postadresser og alt innhold, inkludert private meldinger. Det vil si at den private nøkkelen for MOTP (Google Authenticator) ville hackere også hatt tilgang på. Nøkkelen for MOTP må være lagret serverside (den kan selvsagt krypteres, men ikke hashes) for at engangskoden skal kunne valideres. Lenke til kommentar
Gavekort Skrevet 2. august 2018 Del Skrevet 2. august 2018 Sikkerhet hjelper ikke om de som sitter med tilgangen ikke har tilstrekkelig kunnskap. Lenke til kommentar
si-m1 Skrevet 2. august 2018 Del Skrevet 2. august 2018 Ville det egentlig hjulpet i dette tilfellet? Hackere fikk tilgang til brukernavn, saltede og hashede passord, e-postadresser og alt innhold, inkludert private meldinger. Det vil si at den private nøkkelen for MOTP (Google Authenticator) ville hackere også hatt tilgang på. Nøkkelen for MOTP må være lagret serverside (den kan selvsagt krypteres, men ikke hashes) for at engangskoden skal kunne valideres. Det var vel akkurat disse dataene de fikk tilgang til pga. de kom seg rundt 2fa via SMS og fikk logget inn som noen av de ansatte. Så med en annen 2fa enn SMS så hadde de aldri fått tak i disse i utgangspunktet. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå