Opublikowano 12 godzin temu

Zabezpieczenie logowania, gmail, facebook, whatsapp

Cześć,
znacie jakiś prosty sposób zabezpieczenia logowania do powyższych aplikacji? Wiem, że są klucze Yubico, ale może jest jakaś aplikacja która może to wszystko spiąć?

Mam problem tego typu, że poznałem pewną lukę... w moim przypadku przejąć facebooka pozwoliło uzyskanie dostępu do adresu e-mail. Następnie na facebooka można się zalogować poprzez kod... wysłany na email. Co nie pozostawiło od razu śladu, bo nie wymagało zmiany hasła.

Ktoś napisze - a bank? Facebook ważnieszy od banku?

Na facebooka loguje się jednak częściej.
Aktualizacje społecznościowe

10 Komentarzy

sortowanie:
Awatar użytkownika
  1. Awatar użytkownika czaplell
    MFA z aplikacją
    Awatar użytkownika Deltakron
    Autor
    No tak, mam Microsoft Authenticator, zaskoczyła mnie tylko ta furtka z kodem logowania...


    Nauczyłem się też jednej rzeczy... stworzyłem sobie adres email specjalny do aplikacji. Taki który będzie tylko używany do dostępu do różnych, że tak to ujmę, ważnych stron. Natomiast do masówki podstawowy, aby zmniejszyć ryzyko nieautoryzowanego dostępu do tych ważniejszych zakamarków internetu.
  2. Awatar użytkownika adam45648
    Facebook jest strasznie dziurawy, to że masz włączone 2FA nie oznacza, że działa ono wszędzie. Np. messenger podczas logowania wysyłał mi sms z kodem prawdopodobnie na stary numer którego nigdzie nie było już w systemie, dopiero po ponownej aktualizacji ich system załapał nowy numer, mimo, że na komputerze działało tylko z nowym i tylko taki był widoczny.
    Drobna zmiana w zabezpieczeniach, typu skasowanie autentykacji sms przestawiała poprzednio ustawione logowanie kluczem Yubico na logowanie hasłem.
    Na wersji mobilnej facebooka nikt do tej pory nie pytał mnie o zgody marketingowe mimo, że na wersji komputerowej taka zgoda mi wyskakuje.
    Nie wiem czy jesteś go w stanie porządnie zabezpieczyć jak przy takich prostych przypadkach widać jak to jest dziurawe.
    Awatar użytkownika Deltakron
    Autor
    Aż tęskno za starym gadu gadu które na dobrą sprawę jak nie miało się latwowiernych znajomych to nawet włam nie pozwalał na wyciągnięcie informacji, bo i tak na serwerach nic nie było.
  3. Awatar użytkownika grzesiek666
    Mnie przejęli konta na Onet. Konta użyłem tylko do założenia fałszywego konta Facebooka do czytania dla osoby w rodzinie. 2 konto też na Onet zabezpieczone kluczem U2F do którego nie mogę się dostać. Po podaniu pinu klucza wyskakuje błąd że to nie ten klucz a mam tylko 1. Ciekawi mnie w jaki sposób uzyskano dostęp do konta które było tylko raz użyte do Rejestracji FB i miało unikalne hasło. Inne konta OLX allegro itd. Nie zostały przejęte.
  4. Awatar użytkownika BigSmoke
    Menedżer haseł to podstawa. Masz wtedy unikalne hasło do każdej witryny.
    Darmowy Bitwarden jest bardzo dobry i większości osób w zupełności wystarczy, ale jakbyś chciał coś lepszego, to za około 180 zł rocznie jest 1Password.

    Druga sprawa to weryfikacja dwuetapowa, najlepszy kompromis między bezpieczeństwem a wygodą daje aplikacja (Microsoft Authenticator, 2Fas, Google Authenticator).
    Nie polecam korzystać z weryfikacji dwuetapowej za pomocą maila lub SMS. Facebook i Google na pewno dają możliwość wyłączenia takiej weryfikacji.
    Polecam włączyć na każdej możliwej stronie weryfikację przez aplikację i wyłączyć przez e-mail/sms.

    Jeśli chodzi o banki, to korzystaj z aplikacji bankowej do autoryzacji, staraj się unikać SMS ze względu na atak SIM swap.
    Większość dużych banków wprowadziła też weryfikację konsultanta na infolinii za pomocą aplikacji, więc masz pewność, że dzwoni do ciebie pracownik banku.
    Jak byś chciał jeszcze większe bezpieczeństwo, to ING wprowadził możliwość korzystania z kluczy sprzętowych, ale jest to dosyć upierdliwe, bo za każdym logowaniem do aplikacji musisz przyłożyć taki klucz do telefonu.

    Polecam też, tę stronę można sprawdzić, czy z naszym mailem powiązany jest wyciek z serwisów.
    haveibeenpwned.com/ (Edytowano)
    Awatar użytkownika Deltakron
    Autor
    O właśnie, takiego menadzera haseł potrzebuje. Ale całościowo dziękuję za udział w dyskusji, u mnie nie tyle nastąpił wyciek hasła ile faktycznie chodziło o zdobycie dostępu do mojego komunikatora w celu pozyskania konkretnych treści, których notabene tam nie było, więc pozyskać się nie udało.
  5. Awatar użytkownika Poli3
    Medazder haseł i kody MFA to teraz podstawa, warto używać kodów dla kluczowych usług. Bitwarden dobry na wszystko, ale inne wspomniane też dają radę.
Awatar użytkownika