Включаем 2FA

Отслеживать
Значит так!

Быстро все пошли и включили 2FA - https://xss.pro/account/security

Кто не включит добровольно, ограничим доступ к форуму. Временных рамок пока нет. Но мне начинает надоедать ерунда, типа https://xss.pro/threads/60321/post-506702
 
JuniorHacker сказал(а):
Сделайте ключевое слово, а то мейл\приложение - такое себе.

admin


поддерживаю, лучше использовать свою библиотеку, опенсорс, а не гугловый код который непонятно куда стучит и что сливает, тут было уже описано что и куда улетает при использовании 2FA от гугла
R00v сказал(а):
При включение 2FA отправляется запрос в google без ведома юзера

httpx://chart.googleapis.com/chart?cht=qr&chs=200x200&chl=otpauth://totp/mymail@mail.com?secret=BXXXXXXXXXXXX&issuer=Exploit.IN%20Forum


то есть хотим активировать 2FA на exploit.in и отоброжается QR картинка
но как параметры передаются mail и секрет от 2ФА на httpx://chart.googleapis.com

п.с Поздравляю всех - слито time, ip, mail и секрет 2FA + возможно другие параметры
п.с.с те кто был со своего VPN рекомендую сменить сервер / vps

Создайте конкурс, тут полно толковых программистов на форуме, пусть кто-то напишет нормальную реализацию с полностью прозрачным открытым кодом, остальные участники совместно проведут аудит, если все нормально - ставим на поток и пользуемся
за статьи вон сколько выплат чуть ли не каждый день, разве у форума не найдется монета, что бы сделать свою качественную, безопасную и прозрачную реализацию 2FA ?
а то так скоро дойдем до гаранта через gmail
 
Да уже 1000 раз говорилось, что через PGP надо делать авторизацию, с форума прилетает сообщуха зашифрованная вашим
паблик ключом, ты расшифровываешь своим приватным ключом и вводишь.
Вот любим мы велосипед придумывать, все придумано до нас :cool:
По хорошему и восстановление пароля надо сделать через PGP, могу подсказать разработчика.
 
Последнее редактирование:
Есть и обычные коды, и через маил, и через приложения. Не нужно ничего скачивать. Зайдите и включите те же коды. По поводу библиотек - не поленитесь, скачайте, гляньте сорец либы и плагинов. Там нет ничего настолько потенциально опасного.

Authenticator Extension

Authenticator Extension has 3 repositories available. Follow their code on GitHub.
github.com

Authenticator â Get this Extension for ð¦ Firefox (en-US)

Download Authenticator for Firefox. Authenticator generates 2-Step Verification codes in your browser.
addons.mozilla.org

Authenticator - Chrome Web Store

Authenticator generates two-factor authentication codes in your browser.
chrome.google.com
С таким успехом мы просто пойдем переписывать капчу, свой браузер, удалим из этого мира палевные кукисы, запилим свой гитхаб (ведь обычный гитхаб в последнее время хорошо палят в ms), будем переписывать протоколы, напишем свою ось ну и так далее. Я не спорю, это очень круто, но совершенно нереально на практике.

ShadowMan, PGP на форуме точно будет, в планах. Но для других вещей.
 
поддержу идею с секретками. на верив выдают 20 шт. и запрашивает рандомно. поставить их на фин. операции с гарантом. еще какие то важные вещи.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
admin сказал(а):
Есть и обычные коды, и через маил, и через приложения. Не нужно ничего скачивать. Зайдите и включите те же коды. По поводу библиотек - не поленитесь, скачайте, гляньте сорец либы и плагинов. Там нет ничего настолько потенциально опасного.

Authenticator Extension

Authenticator Extension has 3 repositories available. Follow their code on GitHub.
github.com

Authenticator â Get this Extension for ð¦ Firefox (en-US)

Download Authenticator for Firefox. Authenticator generates 2-Step Verification codes in your browser.
addons.mozilla.org

Authenticator - Chrome Web Store

Authenticator generates two-factor authentication codes in your browser.
chrome.google.com
С таким успехом мы просто пойдем переписывать капчу, свой браузер, удалим из этого мира палевные кукисы, запилим свой гитхаб (ведь обычный гитхаб в последнее время хорошо палят в ms), будем переписывать протоколы, напишем свою ось ну и так далее. Я не спорю, это очень круто, но совершенно нереально на практике.

ShadowMan, PGP на форуме точно будет, в планах. Но для других вещей.
К почте не всегда есть доступ, не думаю, что многие ставят постоянные, в целях безопасности. А приложения и прочее - не так удобно. Кодовое слово - всегда в голове, его просто вспомнить, как и логин\пароль. Можно запрашивать рандомные буквы с этого слова. И доступ к форуму будет с любого устройства. А это важно.
 
bigheadguy сказал(а):
поддержу идею с секретками. на верив выдают 20 шт. и запрашивает рандомно. поставить их на фин. операции с гарантом. еще какие то важные вещи.
Коды есть
https://xss.pro/account/security
 
bigheadguy сказал(а):
не увидел. там 2фа и смена пароля.
тогда почему секретками не ограничиться?
Включи сначала Подтверждение по e-mail, после этого включатся "Резервные коды".

1.png


Подтверждение по e-mail при этом можно не использовать. Он используется только 1 раз для включения кодов.

2.png


10 одноразовых кодов для входа.
 
admin сказал(а):
Включи сначала Подтверждение по e-mail, после этого включатся "Резервные коды".

Посмотреть вложение 51255

Подтверждение по e-mail при этом можно не использовать. Он используется только 1 раз для включения кодов.

Посмотреть вложение 51256

10 одноразовых кодов для входа.
принял.
 
admin сказал(а):
Значит так!

Быстро все пошли и включили 2FA - https://xss.pro/account/security

Кто не включит добровольно, ограничим доступ к форуму. Временных рамок пока нет. Но мне начинает надоедать ерунда, типа https://xss.pro/threads/60321/post-506702
Почитал смысл поста, думаю там не фиш а обычный сниффак который редиректит или тупую копию сайта с логами входов сделали))
 
Я использую 2FA на мыло, но резервные коды естественно сгенерил. Подскажите пожалуйста, есть ли у резервных кодов срок годности? Если есть, то с какой периодичностью имеет смысл генерить новые.
 
handersen сказал(а):
Я использую 2FA на мыло, но резервные коды естественно сгенерил. Подскажите пожалуйста, есть ли у резервных кодов срок годности? Если есть, то с какой периодичностью имеет смысл генерить новые.
Нет, срока годности нет. Генерировать новые можно после использования старых. Использованные будут отображаться вот тут https://xss.pro/account/two-step/backup/manage Они будут перечеркнуты, т.е. 112233
 
asotryrbe сказал(а):
вообще согласен с челом повыше, нужна секретка (как лолзе например). 2фа может и не помочь, если зайдут на твою почту
будут просить и секретки, делов то. а вот у меня например на мыло рамблера не заходит через тор и что я буду делать когда насильно врубят 2фа?
 
Rockefeller сказал(а):
будут просить и секретки, делов то. а вот у меня например на мыло рамблера не заходит через тор и что я буду делать когда насильно врубят 2фа?
мб есть другие почты которые позволяют, например можно сделать мыло без проблем на аутлуке или gmx (хз фродят они через тор или нет, просто к примеру написал). ну или на крайняк сделать корпу)
 
asotryrbe сказал(а):
мб есть другие почты которые позволяют, например можно сделать мыло без проблем на аутлуке или gmx (хз фродят они через тор или нет, просто к примеру написал). ну или на крайняк сделать корпу)
да давным давно они все всё фродят на оутлук не приходят мыла вообще а на гмх х#й даже регнишься через тор. на остальных мылах вечно просят номера телефонов что разумеется не алё. вот такие делишьки. про корпу лучше просто промолчу.
 
Rockefeller сказал(а):
да давным давно они все всё фродят на оутлук не приходят мыла вообще а на гмх х#й даже регнишься через тор. на остальных мылах вечно просят номера телефонов что разумеется не алё. вот такие делишьки. про корпу лучше просто промолчу.
а что не так с корпой? прост не щарю)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх