Komentáře: Přeposílání SMS na Mac efektivně překonává dvoufázové ověření

Od: Eva

Eva — Wed, 10 Dec 2014 19:35:00 +0000

Potřebuji radu proc mi najednou nejde odeslat mmskou krátké video , ktere bylo doteď mozné? Není tam možnost proste vložit video , nereaguje to ne nevklada to do zprávy
Děkuji

Od: Tomáš Grohmann

Tomáš Grohmann — Wed, 26 Nov 2014 21:27:00 +0000

Super věc má unicredit. Smartklíč kdy nechodí klasická smska ale jednorázové heslo si vygeneruju v mobilní aplikaci.

Od: Ondrej Nekola

Ondrej Nekola — Mon, 17 Nov 2014 13:53:00 +0000

Odpověď na Michal.

Jeste jednou – za beznych okolnosti 2FA resi i situace typu „muj Mac je hacknuty a nevim o tom“. Protoze tehdy muzes predpokladat, ze Mac tvoje heslo ke sluzbe zna (at uz ho mas ulozene nebo si ho poslechne pri dalsim prihlaseni do sluzby). A ted muzes cekat, ze bude znat i SMS (resp. muze si o ni kdykoli pozadat a dostane ji).

Od: Michal

Michal — Mon, 17 Nov 2014 12:54:00 +0000

Odpověď na Ondrej Nekola.

Ja jsem myslel, ze 2FA znamena, ze se musim prokazat 2 vecmi, napriklad:
– heslem
– telefonem, ktery prijme SMS
No a preposilani SMS na Mac k tomu telefonu jeste pridava jako alternativu ten mac (nebo vic macu a iPadu, ktere mam zparovane), ale porad je to 2FA. Nebo ne?

Od: Ondrej Nekola

Ondrej Nekola — Mon, 17 Nov 2014 09:46:00 +0000

Odpověď na Petr. Pokud se neco nezmenilo, tak hodne sluzeb chtelo telefon a nechat SMS jako zalozni variantu. Takze si nahackovany pocitac zazada. U velkeho mnozstvi bank ani na vyber neni, proste SMS a basta.

Od: Petr

Petr — Sun, 16 Nov 2014 20:37:00 +0000

Odpověď na Ondrej Nekola. To ať si klidně zažádá. Pokud mám zapnuté dvoufázové ověření s generováním jednorázového kódu pomocí aplikace, tak daná služba žádné SMS nerozesílá.

Od: Karel Petr Havlik

Karel Petr Havlik — Sun, 16 Nov 2014 19:10:00 +0000

Jedna z možností jak tohle zastavit je nahradit generování kodu pres nejaky dongle (napriklad tohle: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) bezpecne to je a umoznuje to vyssi bezpecnost, neco podobneho delava treba i KB – certifikat nahrany na usb disk, bez ktereho se clovek nepripoji na internetbanking, plus obcas se mu posle jednorazove heslo na telefon atp… Tech moznosti je hodne, ale kazdy si musi rozhodnout jestli je pro nej bezpecnost dulezita (jestli ma maca na heslo a nebo ne? atp)

Od: Ondrej Nekola

Ondrej Nekola — Sun, 16 Nov 2014 15:12:00 +0000

Odpověď na Filip Ambrož.

Kde beres jistotu, ze se ti z browseru neproboura ven? Podle aktualnich vysledku Pwn4Fun a Pwn2Own to vypada, ze existuji minimalne dva zero days pro Safari:

„At Pwn4Fun, Google delivered a very impressive exploit against Apple Safari launching Calculator as root on Mac OS X“

„By Liang Chen of Keen Team:
Against Apple Safari, a heap overflow along with a sandbox bypass, resulting in code execution.“

Od: DusanK

DusanK — Sun, 16 Nov 2014 12:35:00 +0000

Tenke biele pismo na zelenom pozadi – lepsie by to ani ziak osobitnej skoly nenavrhol…

Od: Filip Ambrož

Filip Ambrož — Sun, 16 Nov 2014 10:00:00 +0000

Ale dvoufázová autentizace je přece o tom, že útočník potřebuje dvě potvrzení: HESLO A SMS. To znamená, že pokud mám strach že mi někdo vezme napárovaný Mac neukládám tam heslo a pokud mi někdo nabourá browser nedostane se do iMessage.