Προς το περιεχόμενο

Η Google καταργεί τους κωδικούς SMS στο Gmail για χάρη των QR codes

Crash24

Από τον Crash24
στο Νέα

 Share

Προτεινόμενες αναρτήσεις

  • Moderators
Kercyn Experienced

Kercyn

Δημοσ.
  • Moderators
Δημοσ.
11 λεπτά πριν, lbit είπε

τι σε κανει να πιστευεις οτι δεν μπορει καποιος να εχει προσβαση στους 'authenticators' σου ?

https://answers.microsoft.com/en-us/outlook_com/forum/all/my-microsoft-authenticator-app-seems-to-have-been/b5019607-2ef0-4bd6-9a42-4dce8ff03034

 

Δεν υπάρχει τεχνική λύση που να προσφέρει 100% ασφάλεια. Ο πιο σημαντικός λόγος για αυτό είναι ότι υπάρχει ο ανθρώπινος παράγοντας. Αν ο άλλος έχει κολλήσει 32 malware, τότε προφανώς και καμία τεχνική λύση ασφάλειας δε θα τον βοηθήσει. Όσο καλή και στιβαρή πόρτα ασφαλείας και να έχεις, είναι άχρηστη αν κρεμάς το κλειδί απ' έξω. Το thread που έβαλες είναι ένας χρήστης που δίνει ασαφείς και γενικές πληροφορίες για το τι του συνέβη. Δε μπορεί κάποιος να μυρίσει τα νύχια του για το τι του συνέβη και γιατί, και σίγουρα δεν αποτελεί ούτε καν ένδειξη για το ότι οι authenticators σα λύση είναι μη ασφαλείς.

  • Like 1
lbit Rising Star

lbit

Δημοσ.
Δημοσ.
4 λεπτά πριν, Kercyn είπε

Δεν υπάρχει τεχνική λύση που να προσφέρει 100% ασφάλεια. Ο πιο σημαντικός λόγος για αυτό είναι ότι υπάρχει ο ανθρώπινος παράγοντας. Αν ο άλλος έχει κολλήσει 32 malware, τότε προφανώς και καμία τεχνική λύση ασφάλειας δε θα τον βοηθήσει. Όσο καλή και στιβαρή πόρτα ασφαλείας και να έχεις, είναι άχρηστη αν κρεμάς το κλειδί απ' έξω. Το thread που έβαλες είναι ένας χρήστης που δίνει ασαφείς και γενικές πληροφορίες για το τι του συνέβη. Δε μπορεί κάποιος να μυρίσει τα νύχια του για το τι του συνέβη και γιατί, και σίγουρα δεν αποτελεί ούτε καν ένδειξη για το ότι οι authenticators σα λύση είναι μη ασφαλείς.

το link μπορει να ειναι ασαφεις αλλα ειναι μια πραγματικοτητα, και εχουν συμβει τετοια στο παρελθον...
https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/
https://www.bleepingcomputer.com/news/security/cisco-duo-warns-third-party-data-breach-exposed-sms-mfa-logs/

 

Το αρχικο ερωτημα μου ηταν πιο ειναι πιο σιγουρο, 2FA σε SMS ή Authenticator στο κινιτο ?

 

Τωρα ισως, για ακομα μεγαλυτερη ασφαλεια και εφοσον ο Authenticator ειναι ενα κομματι software καλο θα ηταν να τρεχει απομονωμενα οπως ενα hardware token generator.

 

ramarg Experienced

ramarg

Δημοσ.
Δημοσ.

Ας κάνουμε ακόμα πιο δύσκολο το log in μέχει να κλειδωθείς εντελώς έξω από το προφίλ σου... Καλά χρυσά τα passkeys αλλά η ασφάλεια πρόσβασης στο λογαριασμό μας εξασφαλίζεται από την παράλληλη ύπαρξη πολλών μεθόδων ασφαλείας (σε περίπτωση που αποτύχει ο ένας)... Και τα sms παλαιομοδίτικα ή όχι είναι μία reliable και γρήγορη μέθοδος ταυτοποίησης...

Dimitris_1981 Experienced

Dimitris_1981

Δημοσ.
Δημοσ. (επεξεργασμένο)
7 ώρες πριν, nzeppos είπε

Επειδή τα SMS μπορούν όντως να γίνουν σουρωτήρι.

Βέβαια όσες λύσεις ασφαλείας και να βρεθούν από τους ξένους, θα υπάρχει πάντα ο κίνδυνος της Ελλάδας, μιας και εδώ είναι η μόνη χώρα που κρεοπώλες μπορούν να βρουν προπληρωμένη SIM στο δρόμο, να μαντέψουν το PIN της και μετά να αρχίσουν υποκλοπές πολιτικών προσώπων. Εδώ όσα QR και να βάλει η Google, θα βρεθεί τρόπος. 

Πολύ καλό κανάλι το Veritasium. Είναι από τα λίγα που αξίζουν subscribe.

Επεξ/σία από Dimitris_1981
  • Like 1
  • Moderators
Kercyn Experienced

Kercyn

Δημοσ.
  • Moderators
Δημοσ.
1 ώρα πριν, lbit είπε

το link μπορει να ειναι ασαφεις αλλα ειναι μια πραγματικοτητα, και εχουν συμβει τετοια στο παρελθον...
https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/
https://www.bleepingcomputer.com/news/security/cisco-duo-warns-third-party-data-breach-exposed-sms-mfa-logs/

 

Το αρχικο ερωτημα μου ηταν πιο ειναι πιο σιγουρο, 2FA σε SMS ή Authenticator στο κινιτο ?

 

Τωρα ισως, για ακομα μεγαλυτερη ασφαλεια και εφοσον ο Authenticator ειναι ενα κομματι software καλο θα ηταν να τρεχει απομονωμενα οπως ενα hardware token generator.

 

Δεν υπάρχει καμία αμφιβολία ότι ο authenticator είναι πιο ασφαλής λύση από το SMS. Στο πρώτο link πήρανε αριθμούς τηλεφώνων, στο δεύτερο πήρανε logs. Τα πέρασα λίγο γρήγορα, αλλά δεν είδα σε κανένα κάτι που να υποδεικνύει ότι μπόρεσαν να σπάσουν τον authenticator. Όχι ότι δε μπορεί να γίνει, αλλά δε μπορεί να υπάρχει σοβαρή σύγκριση με το SMS. Υπάρχουν και hardware authenticators, όπως το YubiKey, που είναι πιο ασφαλή από software authenticators.

1 ώρα πριν, ramarg είπε

Ας κάνουμε ακόμα πιο δύσκολο το log in μέχει να κλειδωθείς εντελώς έξω από το προφίλ σου... Καλά χρυσά τα passkeys αλλά η ασφάλεια πρόσβασης στο λογαριασμό μας εξασφαλίζεται από την παράλληλη ύπαρξη πολλών μεθόδων ασφαλείας (σε περίπτωση που αποτύχει ο ένας)... Και τα sms παλαιομοδίτικα ή όχι είναι μία reliable και γρήγορη μέθοδος ταυτοποίησης...

Υπάρχουν recovery codes και backup keys για περιπτώσεις ανάγκης. Reliable τα SMS δεν τα λες σίγουρα όταν έρχονται τις μισές φορές και τις άλλες μισές δεν έρχονται.

ckom26 Mentor

ckom26

Δημοσ.
Δημοσ.

Κοινώς, πρέπει να έχεις και δεύτερη συσκευή με spyware google services framework, προκειμένου να ξεκλειδώσεις το κινητό σου μετά από εργοστασιακή επαναφορά.

JPaxilleas Experienced

JPaxilleas

Δημοσ.
Δημοσ. (επεξεργασμένο)

Αναφορικά με τις ασφάλεια των λογαριασμών και τις μεθόδους που χρησιμοποιούνται για την ταυτοποίησή μας ισχύουν τα κάτωθι:

1. Username & QR Code (χωρίς password) – Πιο ασφαλές

Σε αυτό σε λίγο θα προχωρήσει η Google βλέπε εδώ.

Πλεονεκτήματα:

  • Ο κωδικός πρόσβασης δεν υπάρχει, άρα δεν μπορεί να υποκλαπεί (phishing, keylogging, credential stuffing).
  • Αν εφαρμοστεί σωστά (π.χ., το QR code να ισχύει μόνο για λίγα δευτερόλεπτα και είναι συνδεδεμένο με συσκευή χρήστη), τότε η μέθοδος είναι ανθεκτικότερη σε phishing από τους άλλους μηχανισμούς.

Μειονεκτήματα:

  • Εξαρτάται από την ασφάλεια της συσκευής που θα σαρώσει τον QR code (αν η συσκευή είναι ευάλωτη δηλαδή κάνουμε τις γνωστές «χαζομάρες» εγκατάσταση προγραμμάτων από μη αξιόπιστες πηγές, όπως το Play Store κ.λπ., η ασφάλεια μειώνεται).
  • Αν δεν έχει εφαρμοστεί σωστά (π.χ., το QR code ισχύει για μεγάλο χρονικό διάστημα), τότε η μέθοδος μπορεί να εκτεθεί σε session hijacking (βλέπε εδώ).

2. Username - Password & Authenticator Code (TOTP) – Πολύ ασφαλές

Πλεονεκτήματα:

  • Το Authenticator app (π.χ., Google Authenticator, Microsoft Authenticator) δημιουργεί one-time codes, που δεν μπορούν εύκολα να υποκλαπούν.
  • Η μέθοδος είναι ανθεκτική σε επιθέσεις αναπαραγωγής (replay attacks - βλέπε εδώ), επειδή οι κωδικοί είναι χρονικά περιορισμένοι.
  • Δε βασίζεται σε δίκτυο κινητής τηλεφωνίας (όπως το SMS – που μπάζει από παντού απλά διότι όταν πρωτο-χρησιμοποιήθηκε δεν είχαν στο νου τους την ασφάλεια).

Μειονεκτήματα:

  • Κίνδυνος phishing: Ένας επιτιθέμενος μπορεί να ξεγελάσει το χρήστη να πληκτρολογήσει το TOTP σε ψεύτικη σελίδα.
  • Οι χρήστες μπορεί να εκτεθούν αν επαναχρησιμοποιούν passwords.
  • Αν χαθεί το κινητό ή δεν υπάρχει backup των secret keys, υπάρχει πρόβλημα ανάκτησης.

3. Username - Password & SMS – Λιγότερο ασφαλές

Πλεονεκτήματα:

  • Είναι εύκολο στην υλοποίηση και δεν απαιτεί πρόσθετες εφαρμογές.
  • Οι περισσότεροι χρήστες έχουν κινητό με δυνατότητα λήψης SMS.

Μειονεκτήματα:

  • Κίνδυνος SIM Swapping: Επιτιθέμενοι μπορούν να ανακατευθύνουν τα SMS τους σε δικές τους SIM κάρτες (βλέπε εδώ).
  • Μη Κρυπτογράφηση Δεδομένων: Τα SMS δεν είναι κρυπτογραφημένα, άρα μπορούν να υποκλαπούν αν κάποιος έχει πρόσβαση στο δίκτυο.
  • Επιθέσεις Phishing: Μπορούν να ξεγελάσουν τους χρήστες να δώσουν τα OTP σε ψεύτικες σελίδες.

Γενικά οι passwordless λύσεις είναι αυτές που είναι πιο ασφαλείς και εκεί πάνε οι περισσότεροι σιγά σιγά.

Επεξ/σία από JPaxilleas
  • Like 1
universe88 Contributor

universe88

Δημοσ.
Δημοσ.
Στις 25/2/2025 στις 2:45 ΜΜ, Black Demis είπε

Και σας δίνω κλασσική περίπτωση, έχω ένα κινιτο με το google account μέσα, και το χάνω η το σπάω η τέλος πάντων δεν έχω πρόσβαση σε αυτό, και αγοράζω καινούργιο κινιτο και πάω να βάλω το gmail μέσα και Ουαλα η μόνη επηλογη επαλήθευσης είναι να πατήσω approve Στην άλλη συσκευή η να σαρωσω το barcode... Από την ίδια την συσκευή που δεν υπάρχει πλέον.

Αντίο google account αντίο τα data μέσα

Αυτό ακριβώς έπαθε ένας φίλος μου χθες, χάλασε το κινητό του. Μία ώρα πάλευα να του κάνω ανάκτηση λογαριασμού στο καινούργιο κινητό. Αν και έχει τη SIM με τον αριθμό που έχει δηλώσει στο Google account για ανάκτηση και επιλέγω να αποσταλεί SMS, εμφανίζει ότι συνέβη ένα σφάλμα και δεν έρχεται ποτέ το SMS.

Άραγε να ξεκίνησαν ήδη την κατάργηση των κωδικών μέσω SMS;

Black Demis Veteran

Black Demis

Δημοσ.
Δημοσ. (επεξεργασμένο)
2 hours ago, universe88 said:

Αυτό ακριβώς έπαθε ένας φίλος μου χθες, χάλασε το κινητό του. Μία ώρα πάλευα να του κάνω ανάκτηση λογαριασμού στο καινούργιο κινητό. Αν και έχει τη SIM με τον αριθμό που έχει δηλώσει στο Google account για ανάκτηση και επιλέγω να αποσταλεί SMS, εμφανίζει ότι συνέβη ένα σφάλμα και δεν έρχεται ποτέ το SMS.

Άραγε να ξεκίνησαν ήδη την κατάργηση των κωδικών μέσω SMS;

και sms να ερθει σου λει ενα ωραιο δεν ειναι επαρκη τα στοιχεια για νε ταυτοποιήσουμε και φιλακια πολλα ο λογαριασμος 

και που ειχε την επηλογη για ανακτηση λογαριασμου ηταν σχεδον αχρηστη πρακταικα το να εχεις την sim και να ξερεις κωδικους δεν σε αφηνε να μπεις ηθελε την συσκευη ντε και καλα και αν δεν υπαρχει συσκευη (πες την κλεψανε) φιλια πολλα ο λογαριασμος

Επεξ/σία από Black Demis
  • Like 1
JPaxilleas Experienced

JPaxilleas

Δημοσ.
Δημοσ.

Για να διασφαλίσει ένας χρήστης ότι δεν θα χάσει την πρόσβαση στον Google λογαριασμό του στην περίπτωση που χαθεί ή κλαπεί το κινητό του, θα πρέπει να ικανοποιούνται τουλάχιστον οι παρακάτω ελάχιστες απαιτήσεις:

1. Πρόσβαση σε εναλλακτικές μεθόδους ανάκτησης

  • Εναλλακτική διεύθυνση email: Να έχει καταχωρημένο ένα δευτερεύον email ανάκτησης στον Google λογαριασμό του.
  • Επαληθευμένος αριθμός τηλεφώνου: Να υπάρχει αριθμός κινητού συνδεδεμένος με τον λογαριασμό για ανάκτηση μέσω SMS ή κλήσης.

2. Ενεργοποίηση και διαχείριση 2FA (Two-Factor Authentication)

  • Χρήση εφαρμογής επαλήθευσης (όπως το Google Authenticator ή Microsoft Authenticator) αντί για SMS.
  • Αποθήκευση εφεδρικών κωδικών (backup codes): Να έχει αποθηκευμένους offline τους 10 εφεδρικούς κωδικούς που παρέχει η Google για είσοδο όταν δεν είναι διαθέσιμος ο δεύτερος παράγοντας στο 2FA.

3. Πρόσβαση από εναλλακτικές συσκευές

  • Είσοδος σε υπολογιστή ή άλλη συσκευή: Να έχει συνδεθεί τουλάχιστον σε μία ακόμη αξιόπιστη συσκευή όπου μπορεί να ανακτήσει τον λογαριασμό του.

5. Διαχείριση αποθηκευμένων κωδικών

  • Να χρησιμοποιεί μια εφαρμογή αποθήκευσης των κωδικών πρόσβασης (π.χ. τον Google Password Manager ή το KeyPass,κ.λπ.), για να έχει πρόσβαση σε μια άλλη συσκευή ώστε να ανακτήσει τους κωδικούς του.

Να αναφερθεί επίσης ότι η Google δε χρησιμοποιεί πια την απάντηση σε μια Security Question στη διαδικασία ανάκτησης.

Eloy Experienced

Eloy

Δημοσ.
Δημοσ. (επεξεργασμένο)

Λογικά θα είναι προαιρετικός o QR code μεχρι να περπατήσει το σύστημα και να λυθούν οι όποιες αδυναμίες... Αν το ρίξουν έτσι χύμα και καταργήσουν τα sms θα γελάσει και το παρδαλό κατσίκι... Το να καταφέρουν οι μεγαλύτερες ηλικίες να δουλέψουν με QR code το βλέπω επιεικώς αδύνατον και οι μισοί νεότεροι δεν ξέρουν καν τι είναι το QR code... Απλά θα βρούν κάτι μη-google...

Επεξ/σία από Eloy

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...