В чем именно заключается смысл двухфакторной авторизации с sms?

Это такой компромисс, next best thing.

Тел немного сложнее перехватить. Брутить пароль (в наши дни скорее логин, но суть та же) может любой школьник, а смс перехватить хотя бы с дубликатом симки - уже мозг нужен, ну или админресурс

Брутить пароль (в наши дни скорее логин, но суть та же) может любой школьник

Брутить может. Получить положительный результат, далекоооо не факт что сможет.

Не слышал у себя в стране ни об одном прецеденте,

лол, даже лень писать какой ты дурачок.

В курсе. В среднем 0.03 цента.

Это где ты такую дорогую рассылку смс нашел при объемах в 10млн в день?

Ну в некоторых случаях смысл - в удобстве. Вводить пароль из СМС каждый раз - не очень удобно. Достаточно один раз авторизоваться с СМС, и в следующий раз с этого же ПК можно входить просто по паролю.

и между «есть такой чувак, WitcherGeralt, надо-ка его ломануть» ?

Чтобы совсем просто для тебя - идут к опсосу, находят сговорчивого «товарища» и делают дубликат симки за «3 копейки».

Лет 5 назад были способы ещё проще и вообще бесплатные.

Не слышал у себя в стране ни об одном прецеденте, когда у какого-либо человека целенаправленно увели информацию, используя уязвимость телефонной системы с которой он связан.

Про какую страну речь?

А вообще я как-то тему создавал даже с примерами угонов аккаунтов через взлом sms Еще одна жертва как бы двухфакторной аутентификации с sms

Чтобы совсем просто для тебя - идут к опсосу, находят сговорчивого «товарища» и делают дубликат симки за «3 копейки».

Это уголовка, сговорчивый «товарищ» дорого возьмёт за такое. Абы кого таким манером ломать не будут.

Развод на номер, по которому доступна вся остальная инфа про гражданина.

Онлайн можно за 20к такую услугу купить. Всех подряд не будут, но мы же говорим про таргетированную атаку.

Подозреваю, за 20к вас тупо кинут. Да, тех кого хотят, тех взломают. Тут ни пароль не поможет, ни двухфакторная авторизация.

Подозреваю, за 20к вас тупо кинут.

Неа. Всё это через гаранта делается без проблем. А раньше вообще копейки стоило.

Если так, тогда беда.

SMS вообще дырявая штука, норм тема — TOTP или аппаратные ключи для двухфакторки.

Смысл в том, что логин\пароль в вебе забрутфорсить на порядок легче

Только если кривой сайт, а у пользователя пароль по сложности на уровне qwerty.

По логину на крупном сервисе - вполне. Любителей querty хватает, и если у сервиса хотя бы 1кк юзеров - пару сотен юзеров можно вытащить. И потом поставить сервису ультиматум типа или бабки или данные в твиттор

А вообще я как-то тему создавал даже с примерами угонов аккаунтов через взлом sms Еще одна жертва как бы двухфакторной аутентификации с sms

Ты понимаешь смысл фразы «у человека целенаправленно увели информацию» ?

Только если кривой сайт, а у пользователя пароль по сложности на уровне qwerty.

Супруга работает в приватбанке. Иногда делится. Так вот, догадайся с одного раза, что стоит пином у почти всех пользователей карт (ну по ее скромным подсчетам, процентов 90) ?

Любители qwerty в данном примере надеюсь что в меньшинстве. Хотя конечно чего только не встретишь на просторах. Но опять-таки совсем не факт, что условное qwerty будет в первых строчках wordlist-а. Ненужно сервис позволяющий со «скорость света» перебирать неограниченное кол-во паролей тоже не рассматриваю.
Но вот про что я забыл, так это вири. Да, был не прав. Тригернулся исключительно на брут.

А там что не целенаправленно увели?

GSM - протокол вообще фактически несекурный и его алгоритмы шифрования имеют серьезные уязвимости, о которых известно было еще в 90-е и при наличии специального оборудования всё перехватывалось еще тогда или в начале нулевых, даже репортажи по телевизору были на эту тему с показом изъятого.

Даже в википедии есть про «стойкость», что она даже намеренно ослаблена была A5_алгоритм_шифрования)#Криптостойкость

В 1999 году Вагнеру и Голдбергу без труда удалось продемонстрировать, что для вскрытия системы достаточно перебором определить начальное заполнение R4. Проверка осуществляется за счёт нулевых кадров. Сложность этой атаки равна 2e17, таким образом, на современном компьютере вскрытие шифра занимает несколько секунд.

Емнип что-то там пытались улучшить на современное состояние дел, но ты понимаешь, что на что-то серьезное рассчитывать нереально. Массово не взламывают только потому что все же оборудование нужно специфичное, не всем доступное, стоит денег, практическая информация нарочно скрывается, доступ ко всему этому возможно отслеживается. в общем security through obscurity. Против мамкиных хакеров работает.

Эм, а зачем им с такой пин делают?

Муха-ха. ))) Вся суть банка в одном предложении. Банк экономит на СМС. )))

Он же сказал - ПриватБанк. Он нынче совсем плох. Как я с ним возился.

Государственные услуги в Центре Предоставления Административных Услуг: ноль проблем, «одно окно», очередь в вайбере, услуга 15 минут каждый раз.

Открытие карточки в Приват Банке: очередь 40 минут в вестибюле, потом выдумывает ненужные дополнительные справки, потом у них падает система нужно зайти попозже. Со второй попытки делают покалеченый счет который не может выдать электронную подпись, нужно еще раз донести паспорт.

Раньше было наоборот. Если государственное, то ешь говно на вилах. Если ПриватБанк - то технологии 22го века раньше всех банков в мире.

Господа эксперты по авторизации, что думаете по поводу вот этой штуки?

https://www.youtube.com/watch?v=fMzLM59MHac

Пишут распознает фото лица, дает команды человеку с непредсказуемой последовательностью действий поворота головы и глаз. Потом сразу фотографирует случайное фото процесса.

В принципе могу себе представить пару очень high tech способов это поломать.

Еще представляют конечно способ в котором задействован нож или другое оружие.

Откуда твоя супруга знает пины клиентов банка?

Откуда твоя супруга знает пины клиентов банка?

Оттуда что в отделение приходят люди с просьбой заплатить коммуналку, как подростки, так и пожилого возраста, она чтоб не направлять их в очередь на кассу с конской комиссией, помогает им возле терминала. Пин они и не скрывают.

А там что не целенаправленно увели?

Нет, не целенаправленно.

Целенаправленно, это когда я тебе даю ФИО, например Путин В.В., его номер телефона, а ты уводишь деньги с его счета.

Когда ты шел шел, нашел чей-то телефон, он оказался незапаролен, в заметках на этом телефоне ты узнал что его владелец является клиентом Тинькофф, затем восстановил в их клиентбанке пароль и снял деньги со счета - это не ВЗЛОМ УЯЗВИМОСТИ, а лишь эксплуатация человеческого фактора на рандомном человеке по чистой случайности.

Эм, а зачем им с такой пин делают?

Им делают 0000, а они его уже меняют на свой год рождения, лол

С перехватом относительно ничего сложного, но именно относительно. А наличие специального оборудования для перехвата не имеет отношения к криптостойкости gsm, там немного про другое. Задача оборудования в виде передвижной бэски с ретранслятором, достигнуть регистрации интересующего телефона на ней и удержание этой регистрации что бы не спрыгнул. В условиях города только для 900 не очень сложно достигнуть, с 1800 уже сложнее, могут возникнуть проблемы с отдельно взятым местом.

практическая информация нарочно скрывается

Крайне «низенько» «скрывается». Стандарты gsm я читал выкачивал чуть более 20 лет назад, много усилий для поиска прилагать не пришлось. На каждом углу не валялось, но найти было возможно. Плюс поверхностные тайные знания типа «смс для чайников», «gms 900 для дибилов» в тех или иных изложениях существовали в количествах «на вкус и цвет» с разной глубиной изложения материала.

ЗЫ Моя цитата про шифрование GSM: «Когда в ДС с Норд-Остом хрень была, его отключали. ». Как думаю догадываетесь спец службы и так могли бы получить доступ к звонкам на уровне опсосов, но видимо так было удобнее.

Интересно, они сами прокакали «технологии 22го века» или другое уже оторвались в «23-й век» ?

GSM - протокол вообще фактически несекурный

Ты обсуждаешь НЕ ТО.

Секюрность метода авторизации не имеет ничего общего с секюрностью какого-то там протокола.

Визуальность - еще более несекьюрна. Вот будешь ты снимать бабло с банкомата, а я подойду к тебе и посмотрю какой пин ты вводишь. Это же очень несекьюрно. Мы ведь опустим момент, что ты можешь не разрешить подходить к тебе в такой момент, или же просто не вводить пин когда я смотрю тебе на пальцы, да ?

Для начала, потенциальному хакеру нужно выяснить, что ты являешься клиентом чего-то там, допустим банка.

Затем ему нужно будет выяснить твой номер телефона, подвязанный к этому банку.

После чего, ему нужно будет использовать технологию не для всех, чтобы отправить условную СМС для восстановления пароля, на этот телефон так, чтобы он ее прочитал, а ты ее не прочитал, то есть по сути, вклиниться между тобой и базовой станцией. Будем дальше развивать фантазию про снятие хакером квартиры возле твоего дома, и установки там мини БС включенной именно в тот момент когда ты соберешься авторизоваться, дабы не спалиться тогда когда ты кого-то набираешь при 100% покрытии но не можешь дозвониться ? Или просто поверишь в факт что скорее метеор обнет тебе в голову, нежели это произойдет ?

Это я к чему клоню. Все взломы на которые кидали линки в этом посте - либо не взломы, а «находки карты с написанным на ней пином», либо взломы В СФЕРИЧЕСКОМ ВАКУУМЕ, по согласию тестируемых сторон.

Если же тебе в два часа ночи придет звонок с банка про попытку логина в клиентбанк который ты не совершал, и ты его подтвердишь - то это называется не взлом, а ….

Хуже решения не могли придумать. Молодцы, чё.

Хуже решения не могли придумать. Молодцы, чё.

Неважно. Это я к тому, что никогда не следует недооценивать предсказуемость человеческой тупизны (с)

Я не знаю, у них как-то процессы и инфраструктура трещит по швам.

Сделали селф-сервис, сам фотаешься дома сидя на толчке, документы фотаешь. Оно отправляется на ревью, тебе открывают счет.

Приложение спрашивает только один документ, любой, допустим загран. Заливаешь. Через час приходит ответ - документы не приняты, идите в отделение.

Там… оператор пользуется тем же приложением. Фейлит до тех пор пока «опытные» не подскажут что вместо одного ID нужно еще много чего. Но у них тоже падает приложение.

Это тот банк который исторически вводил в принципе любую банковскую технологию одним из первых в мире.

Визуальность - еще более несекьюрна. Вот будешь ты снимать бабло с банкомата, а я подойду к тебе и посмотрю какой пин ты вводишь. Это же очень несекьюрно. Мы ведь опустим момент, что ты можешь не разрешить подходить к тебе в такой момент, или же просто не вводить пин когда я смотрю тебе на пальцы, да ?

Какие-то сложности выдумываете. Пин - магаз. Над кассами зачастую вешают камеры, подсматривающему даже не надо рядом с вами находиться.

перехватить смс - это как?

коррумпированный товарищ майор, например. Ну или через дырки в SS7

бабу судили за госизмену в 2017-2018 за то что она смс в 2008 отправила своему грузинскому мачо, о том, что из Сочи к границам Грузии танки идут

Забавно. А в 2018ом уже бы сам танкист ливстримил.

Похоже на стандартный вариант: «А чего это мы вон той кучке туловищ так много бабла платим? У меня сын/брат/сват/кошка/внучка/жучка с корешами тоже так умеют.» И поначалу принятое решение полностью подтверждает, что принявший его абсолютно прав. В дальнейшем любые факапы сваливаем на на тех кто был до... что ещё больше укрепляет принявшего решение во мнении что он принял единственно верное решение. Ну а дальше... бывает и второе пришествие случается, но редко.

Борьба с анонимностью.

Э, нет, не легче. Пробив СМС-ок на чёрном рынке стоит гораздо дешевле, чем ботнет на брутфорс.

коррумпированного трищ майора найти сложнее, чем сотрудника опсоса с ипотекой.

перехватить смс - это как?

Несколько способов есть. Начиная от ломания телефона и засаживания туда троянца, до взлома оператора сотовой связи и дырявых протоколов между вышками (хоть их и латают, но они дырявые). Самое изощрённое из того про что я слышал - липовая вышка, к которой подключается телефон жертвы, т.к. она даёт более сильный сигнал если ломаемый абонент рядом. А дальше просто пересылает сообщение дальше как будто это аппарат абонента.

Только не вышка, бибика :)

Боюсь что это практика. То что ты не слышал, не значит что этим не занимаются очень нехорошие люди разных сортов и мастей.

ППКС

Терморектальным - сложнее. Потому что сначала надо знать у кого вымогать.

Именно!

Ух какая же безопасность. Какой-то челик в банке знает пины. Ух, безопасность. Дядь, пины вообще никто знать не должен. В принципе, если мы о безопасности говорим. Там только хеши должны быть, да и те солёные.

Э, нет, не легче. Пробив СМС-ок на чёрном рынке стоит гораздо дешевле, чем ботнет на брутфорс.

Ну пробьешь ты мою СМСку, дальше что ? Ты мой дорогой типичный красноглазый друг, споришь как всегда с одним пунктом. А он не один.

Для начала тебе нужно в принципе связать меня с каким-то сервисом. Ну например, что я являюсь клиентом именно ЭТОГО банка, а не какого-то другого, или вообще никакого.

Затем, тебе нужно произвести на искомом ресурсе, какие-то определенные действия, например «восстановить пароль».

В этот же момент, тебе нужно пробить СМСку, то есть по сути в реалтайме (любой уважающий себя сервис экспайрит отосланный код в течении 30 сек).

Пробив СМСку, тебе нужно сделать так, чтобы она не дошла ко мне, иначе я сразу же позвоню в СБ банка, те в СБУ\ФСБ и за тобой приедет пативен пока ты еще тепленький и без моих денег.

И вот когда ты ВЫПОЛНИШЬ ОДНОВРЕМЕННО ВСЕ ЧЕТЫРЕ ПУНКТА - тогда сможешь получить желанный доступ к моим данным.

Ух какая же безопасность. Какой-то челик в банке знает пины. Ух, безопасность. Дядь, пины вообще никто знать не должен. В принципе, если мы о безопасности говорим. Там только хеши должны быть, да и те солёные.

Какие накуй хеши, ты о чем, красноглазик ? К офисной банковской мышке в отделении, подходит тётя с просьбой «помогите мне заплатить за коммуналку», мышка идет к терминалу говорит тёте вставить туда карту, на что тетя отвечает «мышка, вот тебе карта, сделай все сама, пин код - 1975, мой год рождения».

Касса - это тебе не твой уютный локалхост, где ты бог хешей )))