…descoperi că serviciul de autentificare e picat.
De câteva ore, serviciul ăla care trimite smsuri de la Meta e mort. Nu mă pot loga pe Instagram sau Facebook fără codul ala primit prin sms.
Și acum să ne gândim și să ne facem cruce cu limba că nu am adoptat toți repede mailul de la facebook, că acum eram pe copcă.
Image by upklyak on Freepik
Și iată, dragii Moșului, de ce confirmarea SMS nu este 2FA.
Nu stiu de ce iti iei minusuri, asta e singurul raspuns corect
“SMS 2FA is a type of authentication often used next to the standard password during Two-Factor Authentication (2FA) or Multi-Factor Authentication (MFA). SMS 2FA involves sending a short one-time password (OTP) to the user via text message”
Cu ocazia asta am aflat ca exista MFA si 2FA. Ce zice vali e mfa din ce inteleg.
Dar o sa fim cu totii de acord ca peste tot e promovat ca 2FA, deci o lasam asa, non nerdish.
e 2FA-ul săracului (sărac e ăla ce implementează, nu ăla ce e forțat să-l folosească)
Doamnele din ING, se aude acolo în spate ?
Boss, ce faci tu se numește argumentum ad populum. Faptul că e folosit de toți nu înseamnă mare lucru.
Singurele argumente PRO 2FA prin SMS sunt că funcționează cu dumb phones și că nu este nevoie să instalezi nimic.
În rest: este nesigur și depinde de prea multe rețele pentru a funcționa:
– serviciul care trimite SMS (e.g. twillio)
– serviciul care primește SMS (e.g. vodafone)
– dispozitivele care trimit SMS (i.e. antene)
Apoi, mai este problema cu timpul de livrare: un cod 2FA este valabil 60sec, codul primit pe SMS e valabil… depinde de serviciu, dar ar trebui să fie minimum zece minute, pentru a asigura livrarea.
Și pentru isteții care dau cu laba jos: 2FA prin SMS e mai bine decât nimic. Dar nu ar trebui să fie prima opțiune.
Boris, comentariile de pe zoso.ro nu se bazeaza pe logica si ratiune, se bazeaza pe hate. Dai plus doar daca esti 100% de acord cu comentariul, in rest, de la 99% in jos, dai minus.
Nu stiu cat de nesigur e daca e in combinatie cu aplicatie pe mobil, sa simplu e drept ca e mai putin sigur, pe mine ma mira ca avem ai .. fingerprinting dar o ardem cu parole si kkturi.. singularity my ass
2FA este MFA cu doua metode de autentificare. Prima e in cel mai des caz parola. SMS-ul poate fi a doua.
Rar mai gasesti azi sisteme doar 2FA. Pe langa parola si otp (sms-ul fiind si el o otp), alti factori uzuali sunt device-ul, locatia, momentul, un certificat digital, un usb key, o amprenta, recunoasterea faciala.
Lumea confunda 2-steps-verification cu 2FA, de-aia asuma ca MFA=2FA.
Orice autentificare MFA se face in doi pasi, ultimul devenind optional daca o parte din factorii de autentificare sunt deja confirmati (ex. acelasi device pentru un anumit numar de zile).
Eu pe un cont de munca am 2FA prins SMS, alt mail, sau authenticator. Si poti alege pe care sa il folosesti. La facebook doar e implementat prost.
Facebook mai cer sa le trimiti poza de buletin cu CNP ca sa le demonstrezi ca esti tu titularul contului FB?
Facebook acum are SMS, authenticator app si back-up codes.
solutia e blockchain. practic aveai un cont cryptobroh cu autentificare prin nft cu ledger pe blockchain. practic AI-ul cu blockchain autentifica autentificarea nft-ului uniq prin MD5 optic cable , confirmai foarte simplu dupa care te logai linsitit in wallet-ul tau, si integrai totul acolo pamant metavers multivers AI ChatGTP integrat.
dar voi sunteti hateri.
E picat si 2FA de la Microsoft. Efectiv nu vin mailurile cu acel cod. Am schimbat sa primesc pe SMS si imi spune ca validarea dureaza 30 zile.
Aplicatia functioneaza. E mai simplu decat mail.
stai domle, nu privim partea plina a paharului?
nu intri tu dar nu intra nici hotul.
si mai e una, a salvat minute (ore, Doamne da zile, ani si-n faliment sa-i bagi) bune din viata multora. poate au privit pe geam, facut orice altceva.
Si dupa aflam ca hotul a putut intra in tot timpul asta.
Ghinion, dar oricum sa stiti ca ne preocupa securitatea datelor dvs, sa nu plecati nicaieri. -ING
“nu intri tu dar nu intra nici hotul”
daca tu nu poti intra, nu inseamna ca hotul nu a intrat deja.
Si, cati ziceati ca au dat afara companiile ale mari de IT ca sa le ramana profitul neatins?
Personal nu am niciun cont pe siteuri din astea de socializare dar daca sunt multi care le folosesc in scop lucrativ o treaba din aceasta s-ar putea sa ii coste pe astia de la FB.
Parcă era authentication.
fostul hautenticheișăn
Ops, au disponibilizat persoana gresita
Cică twitter plătea 60 milioane USD pe an pentru SMS-urile astea. Așa a zis Elon Musk mai la începutul anului.
S-or fi hotărât să trimită cu rândul: azi la ăia al căror nume începe cu vocală, mâine la ăia cu consoană.
D’aia Musk si-a botezat copilul numai cu cifre si simboluri
Ce zice Musk e posibil sa fie real. E greu de calculat un cost mediu al unui SMS A2P ca difera mult de la o tara la alta dar in general nu prea mai sunt tari sub 0.01 EUR iar valoarea „maxima” e pe la 0.08(putine retele au pretu asta).
Daca ar fi sa presupunem ca toti utilizatorii ar fi in US si punem un 0.01 EUR/sms (unele retele sunt mai ieftine, altele au surchargeuri etc.) Ar insemna vreo 16 milioane de cereri de autentificare/sau la ce mai foloseste el serviciul. El zice ca twitter are cam 260 mil utilizatori zilnici deci e destul de „accurate” zic eu.
Mai era unu Heiuș, care vorbea lal general, si el “cunostea cazuri”. Tu ce cazuri cunosti? Ca asta te-am intrebat din prima. Zi un singur caz, cu nume, prenume, companie telefonica, in Romania, si te cred. Daca nu, ramane cum am stabilit.
Este recomandat sa nu se mai foloseasca metode pe baza de numar de telefon. Sunt destul de usor de interceptat sau dat niste $$ la un baiat de la provider ca sa-ti schimbe SIM-ul.
Nu mai folosesc nicaieri numarul de telefon, chei hardware sau aplicatii de autentificare. https://www.yubico.com/be/product/yubikey-5c-nfc/
“metodele pe baza de numar de telefon sunt destul de usor de interceptat sau dat niste $$ la un baiat de la provider ca sa-ti schimbe SIM-ul”
Ce dovezi ai de exemplu ca e usor sa-ti fie schimbat SIM-ul? Daca n-ai nici o dovadă, ca aberatie mi se pare si amuzantă.
bună ziua, mi-am pierdut cartela, se poate una nouă vă rog.
da, sigur, ce număr aveați?
sigur. ne puteti spune ce numere apelati frecvent, cand ati incarcat ultima data, de unde ati cumparat-o, cam cand si ce credit mai aveti pe cartela?
buna ziua, uitati 1000 eur, mai e nevoie de ceva?
* da, cunosc cazuri
Plus ca inclusiv Microsoft recomanda sa se renunte la SMS: https://www.zdnet.com/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/
Dar uite, o sa te ascult ca se pare ca te pricepi. Ce alte sfaturi mai ai?
Zi un caz. Nume, prenume, companie.
@bosuleanu – pentru replica de la commentul anterior.
Cam cum ar fi sa incep sa dau nume si prenume de persoane fizice doar ca sa te conving pe tine, ah?
Vezi la Linus Sebastian cum a patit fix faza asta.
SIM-ul nu are numarul de telefon hardcoded, in sistemele de telefonie se face link intre ID-ul SIM-ului si numarul de telefon. Dar stiai asta.
Probabil esti unul dintre cei care cred si povestea cu „demagnetizarea SIM-ului”, nu?
la Linus Sebastian nu se gaseste pe nicaieri scris clar ca i-a schimbat “un baiat de la provider” SIM-ul. In fine. Ii ceri un caz si iti vine cu deductii.
identity theft sau „un baiat”, cred ca ideea principala este ca e destul de usor si metoda folosirii unui numar de telefon este cea mai nesigura: https://youtu.be/LlcAHkjbARs?t=235
Been there, done that. Codul ăla nu vine prin SMS când încerci să te loghezi pe Facebook de pe un dispozitiv nou de pe care nu te-ai mai logat, codurile de la instagram îmi ajung.
Însă, dacă apeși pe ”didn’t receive the code” sau ceva de genul o să îți dea două posibilități:
1. bagi codul primit prin SMS care de fapt nu ajunge niciodată
2. te duci pe al doilea dispozitiv unde ești logat pe Facebook și o să vezi că ai o notificare cum că un dispozitiv nou încearcă să se logheze, ești tu? Alegi că ești tu, bagi parola și gata, o să te logheze și pe dispozitivul nou.
Instagram permite si authenticator app, Facebook nu stiu.
De cand Apple a bagat support in Passwords pt OTPs, mi se pare cea mai buna solutie pentru ca are si autocomplete pt OTPs.
lol, credeam ca doar dumbo de Elon Musk e in stare de asta (citat aproximativ de la el: ce plm atatea microservicii, hai sa dam jos cateva, inclusiv ala care trimite SMS-uri pentru 2FA), dar se pare ca nu e singurul
Stai, nu ai că opțiune să-ți trimită un cod de logare și prin mail-ul de recuperare a contului sau așa știam eu. Oricum, ce-a mai sigură metodă rămâne printr-o aplicație tip Authenticator, cea de la Microsoft fiind preferata mea. Culmea, are și Google una de ceva ani, dar nu e actualizată.
Yubikey ftw!
NU MAI FOLOSITI AUTENTIFICARE PRIN SMS.
SMS-ul ala nu ajunge de la Meta direct la Vodafone sau unde ai tu abonament, ci trece prin cateva „maini”. Tot continutul poate fi vazut de oricine din HUB-urile alea de SMS, chiar este scanat pentru spam/phishing.
Codul pe mail e mult mai sigur decat SMS, dar o aplicatie pe mobil ar fi ideala.
foloseste Google Authenticator, nu mai trebuie sa stai dupa sms.
Parca aud autistic screeching de la baietii de la IT de la ING.
Nu ma loghez 24 de ore pe PC pe HomeBank, apoi direct notificari pe telefon si mail-uri la logarea peste 24 de ore cu „SIGURI ESTI TU COAIE?!???”. Evident trebuie SMS cu codul de auth care vine cu intarziere in ultimul timp. Indiferent ca bifezi „Known Machine” sau „Trusted PC”.
astia cu Yubikey (sau alte solutii hardware) sper ca aveti inrolate 2 chei la acelasi cont si una pusa bine la loc sigur ..
si cei cu aplicatii sper ca aveti backup la baza de date pusa deoparte la loc sigur sau alte metode, portite, coduri de rezerva, etc. in caz de ceva ..
@Vali – Facebook suportă chei hardware WebAuthn/FIDO pentru autentificare și funcționează prin USB / NFC.
Am așa ceva de câțiva ani de zile și chiar merg OK cheile, eu nu mai folosesc SMS deloc unde există posibilitatea asta, de exemplu la conturi de Microsoft, Google, Facebook, GitHub, Cloudflare, etc… Google chiar are un program de protecție avansată pentru configurarea conturilor, Advanced Protection Program, iar asta dezactivează și blochează orice altă metodă de 2FA dacă nu este cheie hardware FIDO.
Și da, mai sus am scris „cheile”, plural – am mai multe chei, în caz că se defectează una-două sau le pierd.
Similar cu cheile tradiționale de la uși, la un cont merg configurate mai multe chei USB iar aceeași cheie poate fi configurată pentru servicii multiple.
Când este configurată pentru servicii multiple nu există risc să fie „reciclată” autorizarea WebAuthn de la un serviciu la altul fiindcă fiecare serviciu are identificatori diferiți iar aceștia sunt folosiți de cheie când calculează răspunsul de unică folosință trimis, răspuns ce este astfel individualizat pentru acel serviciu.
Eventuala pierdere a unei chei nu este o problemă fiindcă nu se poate determina cu ce conturi este asociată o cheie doar dacă ai cheia fizică.
Excepția de la regula asta este cazul în care notezi codul PIN FIDO2 al cheii direct pe cheie și folosești passwordless logins – e.g. Windows 11 (și serviciile Microsoft online) suportă passwordless login cu cont Microsoft doar cu cheie FIDO2 hardware direct din setup la primul boot, fără nici o altă parolă.
Pe scurt … începem să devenim o nouă „generație cu cheia la gât”, cheie WebAuthn/FIDO2 de data asta.
In ultima vreme am constatat ca dinozaurul PayPal (ma refer asa ca e mai vechi decat toate Revolut scl) a luat-o complet razna (chiar si fara 2FA): dau sa ma conectez din navigator, imi propune Captcha; ok, o rezolv, imi zice ca a fost o problema nu ma poate conecta, din nou captcha: ok m-am autentificat, imi zice hai sa te mai verific si de pe aplicatie pe telefon / sms / telefon (repet nu am 2FA activat); raspund la intrebarea de pe telefon, da eu vreau sa ma conectez; 1 data din 2 imi propune sa-mi salveze navigatorul, doar ca mi-l „salveaza” pana data viitoare.
Pe telefon, dupa ce am zis ca ok eu sunt pe navigator, imi propune sa ma conectez cu amprenta in aplicatie, ma conectez, si ce le trece prin cap?!? Sa ma mai verifice SI pe telefon (care tocmai a servit ca verificare pe web) prin sms (care vine pe acelasi telefon) sau apel.
Am avut pret de cateva ore activata 2FA cu o aplicatie de Authenticator si-am intampinat urmatoarea problema: vroiam sa pasez o comanda de pe mobil dintr-un magazin care-avea plata prin PayPal; doar ca desteptii implementasera conexiunea PayPal probabil prin web, si de fiecar data primeam notificarea 2FA, switch la aplicatia Authenticator si inapoi la aplicatia magazinului, sesiunea PayPal expirase si intram intr-un ciclu infernal; a trebuit sa dezactivez 2FA ca sa pot face plata.
Hai că nu mori pentru câteva ore.