1337 Posted March 30, 2014 Report Posted March 30, 2014 Se poate implementa destul de usor cu tokenuri date de Authy.Exista atat in Play Store cat si in Apple Store, tokenurile se pot trimite prin SMS si se regenereaza o data la 20 de secunde.Mai multe detalii aici: https://www.authy.com/ @Nytro Quote
Byte-ul Posted March 30, 2014 Report Posted March 30, 2014 (edited) A mai fost propusa ideea. https://rstforums.com/forum/search.phpEdit: Nu vad ce ar fi de castigat daca s-ar implementa asa ceva. Edited March 30, 2014 by Byte-ul Quote
1337 Posted March 30, 2014 Author Report Posted March 30, 2014 Byte-ul said: A mai fost propusa ideea. https://rstforums.com/forum/search.phpEdit: Nu vad ce ar fi de castigat daca s-ar implementa asa ceva.Pai cred ca stii ca serverele au fost "confiscate" acum ceva timp si cred ca esti constient ca baza de date se afla pe undeva pe-acolo, eu mi-am schimbat parola dar poate ca altii nu au facut-o inca. Quote
yo20063 Posted March 30, 2014 Report Posted March 30, 2014 Ma scuzi @1337 dar mie nu mi se pare necesara chestia asta pe un forum! Adica daca esti atat de neatent incat sa iti fie frica ca baza de date a rst e la gabori si plm, o sa gresesti in alta parte...Secretele care ai vrea sa le protejezi nu au ce cauta pe un forum, punct! Cand vine vorba de valori(bani, proiecte importante etc.) sunt de acord ca e musai sa fie autentificare in 2 pasi, dar in rest nu....cred ca doar irita lumea. Quote
aelius Posted March 30, 2014 Report Posted March 30, 2014 Poate reusiti sa rezolvati si tcp/ip flaws, special pentru RST. Pe mine ma enerveaza ca headerele pachetelor pot fi alterate Quote
Guest Posted March 30, 2014 Report Posted March 30, 2014 Eu nu inteleg ceva, inteleg ca baza de date este la gabori, dar nu inteleg autentificarea in doi pasi, cum adica ( DE CE )?Tu vrei sa nu se poata loga gaborii pe contul tau sau ce, omule?Tu crezi ca aia ti se logheaza in contul tau?Doamne fereste de are vreun sens ce ai spus mai sus... Quote
aelius Posted March 30, 2014 Report Posted March 30, 2014 (edited) DaLy said: inteleg ca baza de date este la gaboriEste un db fara adrese ip. Toate au fost inlocuite de mine cu cateva zile inainte (127.0.0.1) iar restul de autentificari sunt cu adresa ip a frontendului. Edited March 30, 2014 by aelius Quote
Elohim Posted March 30, 2014 Report Posted March 30, 2014 V-au dat baietii SSL, aveti sistem de private messaging, aveti buton de delete in el, socks-uri pe net cat sunt ungurii de prosti, mai departe nu e problema nimanui in ce cacaturi umblati.Atat timp cat dupa ce un mesaj e sters, nu se face vreun backup pe undeva, eu zic ca s-a facut destul pe aici. Quote
1337 Posted March 30, 2014 Author Report Posted March 30, 2014 (edited) Elohim said: V-au dat baietii SSL, aveti sistem de private messaging, aveti buton de delete in el, socks-uri pe net cat sunt ungurii de prosti, mai departe nu e problema nimanui in ce cacaturi umblati.Atat timp cat dupa ce un mesaj e sters, nu se face vreun backup pe undeva, eu zic ca s-a facut destul pe aici.Chiar crezi ca SSL-ul rezolva totul?Uita-te aici: Google users targeted by forged security certificate - Telegraph 2FA-Auth este pentru siguranta utilizatorului (NU ALA CARE FACE MAGARII PE RST).De unde stii ca nu se face backup la mesaje?In baza aia de date sunt niste hash-uri, e o chestiune de timp pana le sparg pe toate,socks-urile iarasi nu te apara de nimic daca esti inapt si nu stii sa le folosesti.Thread-ul e deschis in categoria "sugestii" deci nu inseamna ca o sa se implementeze sau nu, asta ramane la latitudinea lui Nytro. DaLy said: Eu nu inteleg ceva, inteleg ca baza de date este la gabori, dar nu inteleg autentificarea in doi pasi, cum adica ( DE CE )?Tu vrei sa nu se poata loga gaborii pe contul tau sau ce, omule?Tu crezi ca aia ti se logheaza in contul tau?Doamne fereste de are vreun sens ce ai spus mai sus...De ce cacat te-ar deranja un sistem de genul mai ales cand e FACULTATIV, daca vrei il activezi iar daca nu,nu.Data viitoare adu niste argumente solide, eu vreau sa cred ca le-am adus deja. Edited March 30, 2014 by 1337 Quote
mrreboot Posted March 30, 2014 Report Posted March 30, 2014 On: Ideea e ok.Off: Mi se pare mai interesant "Latch" decat authy --> https://latch.elevenpaths.com/ Quote
bcman Posted March 30, 2014 Report Posted March 30, 2014 Legat de faza cu gaborii: Voi chiar crede?i c? parolele sunt ?inute in plain text in baza de date? Ideea ar fi bun?, dar nu cred c? se merit? aplicat? ?i nici nu cred c? o s? se oboseasc? cineva. Dac? chiar e s? fie aplicat?, mai bine cu un Authentification Grid (ca la Last Pass) sau eventual s? vorbi?i cu @Cheater. El are un SMS Gateway pus la punct ?i poate e de acord s?-l folosim la 2FA-Auth. Quote
Sithalkes Posted March 30, 2014 Report Posted March 30, 2014 (edited) La o autentificare cu sms, automat in caz de "magarie" daca se confisca iar serverele, o sa aiba acces si la numarul de telefon . Ulterior, se poate face tracking/istoric pe localizarea telefonului, apeluri, sms-uri si alte elea inclusiv numerele de telefon anterioare/ulterioare folosite in acel telefon, identificate/localizate dupa IMEI-ul telefonului.Un vechi proverb spune "Ai grij? s? nu cazi din lac în pu?". Edited March 30, 2014 by Sithalkes Quote
bcman Posted March 30, 2014 Report Posted March 30, 2014 Sithalkes said: La o autentificare cu sms, automat in caz de "magarie" daca se confisca iar serverele, o sa aiba acces si la numarul de telefon . Ulterior, se poate face tracking/istoric pe localizarea telefonului, apeluri, sms-uri si alte elea inclusiv numerele de telefon ulterioare folosite in acel telefon, identificate/localizate dupa IMEI-ul telefonului.Un vechi proverb spune "Ai grij? s? nu cazi din lac în pu?".Num?rul de telefon va fi ?inut criptat în baza de date, iar cheia de decriptare va fi parola raw, introdus? la logare. Quote
TheTime Posted March 30, 2014 Report Posted March 30, 2014 @1337. Fiind un forum de securitate IT, poate ar trebui sa promovam si astfel de masuri mai exotice. Dar veniti cu o solutie concreta si fiabila dpdv al costurilor. Quote
eusimplu Posted March 30, 2014 Report Posted March 30, 2014 Cea mai eficienta metoda privind costul este ca al doilea factor sa fie un email de la gmail, iar acel email sa aibe autentificarea oferita de google prin SMS.Gen, RST trimite mail la gigel@gmail.com, iar Gigel trebuie sa se conecteze la gmail pentru a vedea mailul cu codul pentru autentificare, google trimite SMS iar Gigel e fericit ca are autentificare in "trei factori". Quote
Silviu Posted March 30, 2014 Report Posted March 30, 2014 Mie mi se pare o prostie, cât timp nu e magazin online sau site-ul unei b?nci. În plus, nu au existat deloc probleme pân? acum din cauza asta, aici, pe forum. Quote
awnly3jhc2g Posted March 31, 2014 Report Posted March 31, 2014 (edited) Teoretic vorbind, implementarea celei de-a doua metoda de autentificare, este relativ folosituare in prea putine cazuri (din punctul meu de vedere) :1. Anti-tepe (anti-furt)."Nu i-am dat eu teapa, poti sa te uiti in loguri, mi-a furat cineva contul si a vorbit in locul meu si i-a dat teapa lui X" Ar mai scapa adminii de verificari and stuff, aici ar fi foarte folositor ce-a de-a doua metoda de autentificare, zic eu.2. Paranoia.Mergi la un prieten, mergi la o sala de internet, ai un keylogger (fara sa stii, binenteles), etc.3. Pentru ochii lumii.Depinde de ochii lumii in functie de ce metoda de autentificare s-ar folosi pe RST, ar deschide ochii si altor persoane pentru o implementare asemanatoare, pentru site-urile proprii. Aici daca s-ar gasi o metoda super tare, ingenioasa (desi nu vad altele in afara de sms, email, aplicatie pt telefoane si tablete), daca s-ar gasi o metoda unica.Sa nu va treaca prin cap ca daca ar exista a doua metoda de autentificare, v-ar ajuta sa faceti mai multe ilegalitati sau sa opreasca in vre-un fel politia.Dpmdv ar fi indicat sa spuneti voi la ce ar fi de folos a al doilea factor, dupa care sa spuneti voi care ar fi acesta (al doilea factor). Pentru ca daca nu s-ar gasi nici un folos (bine intemeiat), atunci nu are rost de implementat. @sleed niciodata sa nu spui ca RST este prea securizat. Niciodata nu ai sa auzi pe absolut nimeni ca o sa zica "X este prea securizat". Niciodata si nimic, cel putin nu pentru prea multi timp, nu poate fi prea securizat. Edited March 31, 2014 by awnly3jhc2g Quote
sleed Posted March 31, 2014 Report Posted March 31, 2014 Parerea mea e ca nu se merita, e foarte securizat RST-ul si nu are rost, sa fie cu verificari prin SMS-uri trimise si cerere de token etc.. pentru ca nu este Swiss Bank.. Quote
1337 Posted March 31, 2014 Author Report Posted March 31, 2014 Gecko said: @1337 cred ca esti putin paranoic, no offence. Dar sunt si eu pro daca, cum s-a mentionat si de catre altcineva anterior, va fi optional.Pai pentru ce mai e nevoie de parole daca continutul e si el tot acolo? Doar n-o sa stea aia DIN COT sa iti incerce tie conturile pe alte site-uri, chiar daca ar face crack la vreo parola. Si-ar taia singuri craca de sub picioare intr-un tribunal.Baietii o sparg, verifica daca inca ai aceeasi parola, in caz afirmativ stau si iti urmaresc contul (stau pe el, practic).Sa va reamintesc de episodul cu vulnerabilitatea din VBSeo de pe RST? Quote