https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:16 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4253 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Oj, to jestem złym adresatem takiego pytania. Telefon to tylko sprzęt, dla mnie bardziej liczy się informacja. Na temat popatrzyłbym bardziej od strony zabezpieczenia poufności danych zapisanych na telefonie oraz posiadania ich kopii zapasowych. Jeśli chodzi o bezpieczeństwo sprzętu, to bardziej sensownym podejściem wydaje mi się ubezpieczenie telefonu. U części operatorów można coś takiego dokupić przy podpisywaniu umowy. Ale zdaję sobie sprawę, że znaczna część telefonów nie pochodzi (bezpośrednio) od operatora i takiej opcji nie ma. Fri, 26 Aug 2011 07:29:25 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4253 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4249 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (uzyszkodnik) Całkowicie nie na temat i pewnie Ci się nie chce :D ale odnośnie Androida fajny byłby artykuł o sposobach ochrony przed złodziejami telefonu, aplikacjach pozwalających zlokalizować/odzyskać telefon np. po kradzieży. Czy opłaca się w ogóle korzystać z takich aplikacji? Thu, 25 Aug 2011 22:19:09 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4249 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4212 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (markus) zgadzam się w zupełności:). Thu, 11 Aug 2011 21:13:43 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4212 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4209 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Ale trochę mieszasz dwie rzeczy :) Uwierzytelnienie dwuskładnikowe jest bezpieczniejsze, niż jednoskładnikowe, o czym zresztą pisałem i z czym dyskutować nie zamierzam. Pokazuję natomiast to, że telefon, wbrew pozorom, nie jest zaufanym urządzeniem i nie broni się przed różnymi atakami równie skutecznie, jak urządzenie dedykowane (np. token). W tym konkretnym przypadku brak dodatkowego zabezpieczenia klucza całe zadanie czyni jeszcze łatwiejszym. Druga sprawa - zdarzenie "malware na stacji" i "malware na telefonie" nie są zdarzeniami rozdzielnymi. Atakujący dysponując malware na stacji może skłonić użytkownika do zainstalowania sobie malware również na telefonie (socjotechnika). Dokładnie w ten sposób przecież działał malware atakujący banki - w większości przypadków użytkownik sam go sobie instalował na swoim telefonie zachęcony do tego przez komunikat wyświetlony na komputerze przez malware (np. w trakcie logowania do banku). Thu, 11 Aug 2011 07:37:32 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4209 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4208 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (markus) No tak. Ale jeśli dobrze rozumiem to w przypadku korzystania z autoryzacji dwuetapowej w Google statyczne hasło nie jest używane do logowania z Androida. Do aplikacji niewspierających tokena np. Thunderbird, Picassa, Android(chyba) itd. wykorzystywane są "hasła aplikacji", które możemy sobie dla takiej aplikacji wygenerować tylko i wyłączenie poprzez zalogowanie do konta Google w przeglądarce. żródło: http://www.google.com/support/accounts/bin/static.py?page=guide.cs&guide=1056283&topic=1056286 W każdym razie nawet jeśli hasło mamy w telefonie to i tak bezpieczniej skorzystać z dodatkowej weryfikacji niż tego nie zrobić. Choćby dla ochrony przed zwykłym keyloggerem na nieznanym komputerze. Sam z tego jeszcze nie korzystam, bo po prostu mi się nie chcę, ale uważam, że w miarę znacząco podnosi to bezpieczeństwo konta. Zresztą zdecydowana większość osób z tego nie korzysta - więc może mało komu będzie się chciało to łamać :) Tue, 09 Aug 2011 23:47:24 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4208 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4206 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Pozornie masz rację. Teoretycznie dwuskładnikowe uwierzytelnienie działa właśnie na tej zasadzie, że jest coś, co wiesz (hasło "statyczne") i coś, co masz (w tym przypadku: OTP generowany przez token). Tylko, że w przypadku telefonu z Androidem najprawdopodobniej wszystkie jajka będą w jednym koszyczku. Hasło do konta google będzie najprawdopodobniej zapisane gdzieś w telefonie, przecież do pewnego stopnia moc Androida polega właśnie na tym, że integruje się/korzysta z usług oferowanych przez Google. Usług, do których musisz się uwierzytelnić i raczej przy każdym uwierzytelnieniu nie wpisujesz hasła od nowa. Pod spodem siedzi zapewne coś, co się nazywa AccountManager (android.accounts.AccountManager), który to moduł gdzieś te dane o kontach przechowywać musi. Tue, 09 Aug 2011 21:10:20 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4206 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4205 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (markus) Ale te kody nic nam nie dadzą same bez hasła którym normalnie się logujemy do konta Google :) Czyli dostajemy dodatkową warstwę ochronną, która jest token, a w razie utraty telefonu po prostu dodatkowa warstwa znika, ale zostaje zwykłe hasło do konta Google. Czyli lepiej mieć token niż nie mieć, nic nie tracimy ale zyskujemy, bo ktoś musi nam nie tylko zhackowac kompa ale również telefon. Tue, 09 Aug 2011 18:02:17 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4205 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4152 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (olo16) Też mam takie odczucia. Ta cała "przyjazność" wszystkiego nikomu nie pomaga, za to przeszkadza tym, którzy wiedzą robią (lub co chcą, ale nie mogą zrobić bo interfejs jest zbyt "przyjazny"). Thu, 14 Jul 2011 18:02:45 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4152 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4143 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Moim zdaniem selekcja naturalna przestaje działać. To znaczy my jej nie pozwalamy działać przez te wszystkie programy pomocowe i powszechną modę na "opiekuńczość". Ale to już zupełnie inny wątek, choć uważam, że jednak trochę to wpływa na bezmyślność podejmowanych decyzji. Po co myśleć, skoro przyjdzie wielki brat i pomoże. Wed, 13 Jul 2011 07:21:53 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4143 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4142 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (olo16) To już selekcja naturalna - złodzieje muszą z czegoś żyć, więc niech żyją z tych niemyślących, nikomu myślącemu krzywdy to nie zrobi. Skoro user nie zadba o swoje bezpieczeństwo, bo nie umie myśleć, to nikt za niego myśleć nie będzie. Tue, 12 Jul 2011 23:50:06 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4142 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4141 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Pamiętaj, że żyjemy w czasach, w których jakieś 25% przystępujących do egzaminu nie zdaje matury, a problemem jest odpowiedź na pytanie kto napisał autobiografię Józefa Piłsudskiego. Myślenie boli, a już to logiczne (czy też krytyczne) to już kompletna abstrakcja! :P Tue, 12 Jul 2011 22:35:17 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4141 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4140 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (olo16) "prezentacje z lock pickingu to magia" - a z hackingu to nie? :P Dla usera, który nie zna się na zabezpieczeniach danego typu wszystkie ataki na nie będą magiczne. I tu własnie jest problem, brak świadomości jakie naprawdę są zabezpieczenia. Jak mocne, jak słabe, przed czym chronią a przed czym nie. Co do papki marketingowej: dokładnie o tym mówiłem. Celem dostawcy zabezpieczenia jest zarobek a nie bezpieczeństwo klienta. Tak naprawdę chodzi o to samo: samo to, że zabezpieczenie "jest" powoduje, że klient usypia swoją czujność. Przypomina mi to zdjęcia z sieci "Ten samochód jest chroniony przez naklejkę antykradzieżową". Tak więc, żadne zabezpieczenie nie zastąpi myślenia. Nie można usypiać czujności ani z kluczem do zamka, tokenem sprzętowym czy software-tokenem w komórce. To że user nie zna internalsów - nie musi. Ale musi logicznie myśleć. Ktoś może mieć mój klucz = potencjalne kłopoty. A to, czy klucz jest do domu, banku, czy jest kawałkiem metalu, urządzeniem czy programem nie ma znaczenia. Tue, 12 Jul 2011 22:25:49 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4140 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4139 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Analogie mają to do siebie, że trochę odbiegają od sytuacji, której mają dotyczyć :) Z kluczem do drzwi przykład jest o tyle dobry, że prawie każdy go ma i z niego korzysta, ale ilość osób potrafiących w sposób prawidłowy ocenić ryzyko związane z chwilową lub trwałą utratą kontroli nad kluczem (że o "side channel" w postaci zdjęć nie wspomnę) jest niewielka. Po prostu z kluczy korzystamy, a nie doktoryzujemy się na ich temat. Podobnie jest z otwieraniem zamków - prezentacje z lock pickingu to magia. Moim zdaniem analogiczna sytuacja jest z telefonem, jest to przedmiot użytkowy, gadżet, narzędzie lansu. Dla niewielkiej części osób z niego korzystających interesujące są jego internalsy. To trochę tak, jak z usuwaniem danych. Niby każdy wie, że skasowane dane da się odzyskać, ale jak przyjdzie co do czego, to nośniki i tak okazują się wcale nie tak bardzo wyczyszczone. Co do "świadomości". Powinien (w teorii), zgadzam się. Przypuszczam, że w w praktyce nie jest. Bo i sam wybór takiego rozwiązania nie jest świadomy. Doradca klienta dostanie zadanie "wciskać klientom token GSM, bo wtedy nam koszty spadną o 1,21%". Gdy czasami zadam sobie trud i przeczytam informacje, które otrzymuje klient, to informacje merytoryczne są przykryte marketingowym blablingiem, czasami również odbiegają od rzeczywistości (no, przyjmijmy, że stanowią twórczą interpretację wyjątkowego przypadku). Tue, 12 Jul 2011 22:04:44 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4139 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4138 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (olo16) Analogia nie jest dokładna. Wymiana zamka to problem o wiele większy niż unieważnienie klucza w banku. I dochodzi jeszcze inna kwestia: wszyscy (?) korzystają z kluczy i zamków w domach. Ale wybierając token programowy w telefonie użytkownik powinien być świadomy wad takiego rozwiązania i o wiele bardziej uczulony. Tue, 12 Jul 2011 19:53:52 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4138 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#c4127 https://archive.mroczna-zaloga.org/archives/1031-o-google-authenticator.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1031 nospam@example.com (Paweł Goleń) Skoro przeszedłeś do analogii związanej z kluczami (fizycznymi) do drzwi. Czy potrafisz mi udzielić odpowiedzi na takie pytanie: "obca osoba miała mój klucz przez 5 minut, czy to wystarczy, by mogła zrobić jego kopię?" W temacie: Reproducing Keys from Photographs (http://www.schneier.com/blog/archives/2009/10/reproducing_key.html). Jak zareaguje "użytkownik" w takich przypadkach: - zgubił klucz do mieszkania, - jakaś obca osoba oddaje mu klucze mówiąc (bo rzekomo je upuścił), - ktoś robi zdjęcie, gdy trzyma klucz w ręce, Przypuszczam, że nawet pierwsze zdarzenie nie zawsze skończy się wymianą zamka :) Sun, 10 Jul 2011 22:09:33 +0200 https://archive.mroczna-zaloga.org/archives/1031-guid.html#c4127