About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Kétlépcsős hitelesítést vezet be az Instagram  


Instagram social media 2-FA ITsec azonosításIgazából nem világos, hogy miért csak most, de a Techcrunch értesülése szerint az Instagram bevezeti a kétlépcsős hitelesítést, ami a felhasználókat megvédi a közönséges jelszólopáson alapuló támadásoktól azzal, hogy ha szokatlan helyről próbál valaki belépni az Insta-fiókjába, pluszban egy, a mobilszámára érkező, számjegyekből álló tokent is meg kell adnia a felhasználói név és a jelszó megadásán túl a sikeres belépéshez.  
 
Egy 400 milliós felhasználói bázissal rendelkező közösségi szolgáltatás esetén ez már erősen időszerű volt, akinek pedig nincs beállítva mobilszám az Instagram-fiókjához, érdemes megadni azt a későbbi fennakadás megelőzése érdekében.  
 
Ami miatt még nem biztos, hogy mindenki találkozik a jelenséggel, ha kilép az Insta-accountjából, majd megpróbál ismét belépni, az egyik oka lehet az, hogy az Instagram az új featuret folyamatosan vezeti be, azaz nem feltétlenül érhető el még mind a sokszázmillió felhasználó számára már holnaptól, a másik, sokkal valószínűbb ok pedig az, hogy az Insta-fiók tipikusan össze van drótoza a Facebook-fiókkal, márpedig ha él egy legitim Facebook-munkamenet, azaz asztali gépen be vagyunk jelentkezve, mobilon pedig a Facebook-alkalmazás szabályosan fut, az is képes azonosítani a felhasználó kilétét, így nem érkezik pluszban SMS-token, amit meg kellene adni.  
 
A 2-FA egyébként a Facebook esetén hasonlóan a többi webes óriáshoz, 4-5 éve érhető el világszerte és érdemes is bekapcsolni.  
 
Kép: techcrunch.com 

0 Tovább

Email biztonság, újragondolva – jelszó nélkül


Mióta az azonosításhoz használnak jelszavakat, gyakorlatilag ugyanaz a probléma velük: a felhasználó leírja, elhagyja, lenyúlják, lelesik, kölcsönadja, a jelszó túl gyenge és folytathatnám a sort. A blogon már többször is téma volt az egyre több helyen bevezetett többlépcsős, konkrétabban kétlépcsős hitelesítést valamilyen formában, azaz amikor a felhasználói nevünk és a jelszavunk, - mint két statikus azonosító – mellett meg kell adni még egy, egyszer használatos azonosítót is, ami például egy SMS-ben érkező token vagy egy mobilalkalmazás által generált, adott ideig érvényes számsor. Tanulságos, hogy ezt a netbankos rendszereknél vezették be először, majd jóval később, sorra azok a szolgáltatók, akiknél nagy mennyiségű információ tárolódik, mára pedig támogatja gyakorlatilag minden komolyabb webszolgáltatás.

Ami még érdekesebb, hogy a Yandex január táján gondolt egy nagyot és a nagy és ingyenes szolgáltatók közt elsőként opcionálisan olyan authentikációt tett elérhetővé a belépéshez, amivel a jelszó teljes egészében nélkülözhető: csak a felhasználói nevet kell megadni, a jelszót pedig képletesen egy olyan állandóan kulcs helyettesíti, ami végülis mindig nálunk van.

A beállítási folyamat meglehetősen egyszerű, az okostelefonunkra le kell tölteni a Yandex Key alkalmazást, majd a lépésről lépésre történő webes beállításkor megjelenő QR-kódot beolvasni vele, de megadhatjuk a képernyőn megjelenő átmeneti karaktersorozatot is. Jó, jó, de ezt eddig tudta többek közt a Google Authenticator, a Microsoft Authenticator, a Duo Mobile és a többi is, nem? Itt jön a csavar: a Yandex Key beállításához kötelezően be kell állítani egy négy számjegyből álló alkalmazás PIN-t is.

Innentől kezdve, ha megpróbálunk belépni a Yandex-fiókba, a Yandexen csak a felhasználói nevet kell beírni, majd a jelszó helyett a QR-kód ikonjára kattintani, ekkor egy QR-kód jelenik meg a képernyőn. Ezt be kell olvastatni a Yandex Key appal és a beléptetés megtörténik. Viszont! Abban az esetben, ha a Yandex Key megnyitása után hibás PIN-t adunk meg, szintén bescannelhető ugyan a QR-kód, viszont azzal a beléptetés nem fog menni és – ami a lényeg – ha valaki mondjuk az ellopott mobilunkkal próbálni így belépni, nem fog  tudni, mivel az alkalmazás PIN-t nem ismeri. Ha eddig nem lenne eléggé csavaros a dolog, az alkalmazás nem figyelmeztet érvénytelen PIN esetén sem, így a támadónak nagyon megnehezíti a dolgát, mert még ha neki is állna végigpróbálgatni a 10000 ismétléses permutációt, ami a PIN lehet 0000-9999 tartományban, nem fogja tudni könnyen megállapítani, hogy mikor talált.  

Akkor ez most végülis kétlépcsős hitelesítés vagy sem? Végülis igen, de eddig nem látott kivitelben. Jelszó helyett mindössze a négy számjegyű alkalmazás PIN az egyetlen fix elem, amire emlékezni kell, meg persze a saját felhasználói nevünk.

Természetesen a többi 2-FA megoldáshoz hasonlóan itt is van lehetőség alkalmazásjelszavakat létrehozni vagy visszavonni például levelezőklienshez, viszont vegyük észre, hogy a Yandex ezzel a módszerrel kiiktatta a felhasználók azonosításában örök problémát jelentő tényezőt, a statikus jelszót!

Abban az esetben, ha a mobil nem alkalmas QR-kód olvasására, a QR-kód helyett a webes belépésnél kérhetjük azt is, hogy egy egyszer használatos karaktersorozatot kelljen megadni, ami szintén a Yandex Key-en olvasható le.

Amíg nagyon bétában futott, tapasztaltam olyat, hogy nem sikerült belépni a helyes PIN ellenére sem, a hibát azóta már javították, az ok valószínűleg az volt, hogy a mobilalkalmazás más időzónát használt, mint ami a Yandex-fiókban be volt állítva. Hogy ennek mi a jelentőssége, azzal senkit sem büntetnék, erre lehet olvasni róla

A posztnak azt a címet adtam, hogy „Email biztonság”, mert a Yandexet évek óta elsősorban levelezésre használom. Viszont érdemes tudni, hogy az orosz google-nek is csúfolt webes óriás a levelezésen túl fájlhoszting szolgáltatóként is működik, van benne térképalkalmazás, webes fordító, naptár, gyakorlatilag minden, ami a Google-account vagy éppen Microsoft-accountok használatakor is elérhető.

Az ok, ami miatt a Yandex alig ismert Európa nyugati régióiban, egyszerű, konkrétan az, hogy nagyon sokáig nem volt elérhető angol nyelven, néhány éve viszont szinte minden szolgáltatását elérhetővé tették angol nyelven is. Ha először használod és oroszul jelenik meg, de nem tudsz oroszul, egyetlen kattintással állítható át a teljes felület angolra.

0 Tovább