• XSS.stack #1 – первый литературный журнал от юзеров форума

Я параноик?

Отслеживать

MekkeyBug

RAID-массив
Пользователь
Регистрация
01.07.2021
Сообщения
94
Реакции
23
Гарант сделки
3
Вопрос в сабже, а причина вот в чем, надысь потребовалось создать сделку с гарантом и я неожиданно обнаружил, что для создания сделки нужно включить 2ФА на аккаунт. Ну, как бы, дело не новое, хоть я ни разу не нигде не воспользовался данной услугой, но, тем не менее 2FA на слуху, типа гарантия от бла бла бла....

Так вот мои мысли по этому поводу. Для подтверждения предлагается 3 варианта - google, authy и почта указанная при регистрации.

Я регался на форуме хоть и не с одноразовой почты, но вот заходить повторно на нее не было никаких планов, дабы ... (ну вы понимаете).

Ну собственно, остались два варианта, с гуглом я б срать не сел, на одном гектаре, а вот authy, думаю, дай попробую.

Пристрелите меня, бл#ть. Сначала, дай почту - пришлю код. Потом дай номер телефона - пришлю еще один код. Потом, форум предлагает отсканить ШК или ввести код в приложение...

Серьезно?

Ну пиздец, давайте сразу по паспорту, че уж...
 
Lawyer сказал(а):
Включил 2fa на почту , после сделки выключил , в чем проблема ? )
ну начать с того, что это лишнее подтверждение, что это твоя почта. Это если регался не с одноразовой. Подтверждение, в том плане, что например, пусть это даже протон какой нибудь, ты ходишь с одного айпи или один отпечаток браузера или еще что то... Ну то есть для ОРМ это данные, которые, например я, предпочел бы не давать вот так нахаляву.
 
Детально тут - https://xss.pro/help/security/. Приложения для генерации 2фа опенсоурсные (пример). При желании можете скачать и изучить. Там в сорцах нет ничего эдакого, более опасного, чем открытие браузера, как такового.
Одноразовые коды включаются при включении подтверждения на почту, почту после этого можно не юзать, заходить просто по кодам - https://xss.pro/account/two-step/backup/manage
 
MekkeyBug сказал(а):
Тем более, если включил/выключил, в чем профит для меня? Если это обо мне забота?
Причины:
Пытаются брутить акки - https://xss.pro/threads/95237/post-664423
Кидают на фишинге - https://xss.pro/threads/81998/
Форум постоянно под атакой, 24/7. Если не брутят, ддосят, если не ддосят, грабят скрейперами и так далее. Если я что-то включаю, это вынужденная мера. Просто так я усложнять жизнь пользователям, конечно же, не хочу.
 
admin сказал(а):
Причины:
Пытаются брутить акки - https://xss.pro/threads/95237/post-664423
Кидают на фишинге - https://xss.pro/threads/81998/
Форум постоянно под атакой, 24/7. Если не брутят, ддосят, если не ддосят, грабят скрейперами и так далее. Если я что-то включаю, это вынужденная мера. Просто так я усложнять жизнь пользователям, конечно же, не хочу.
Понял, принял)
 
блин, да сколько можно...

Dread Pirate Roberts сказал(а):
народ, вы чего? 2FA в виде TOTP - это гениальное изобретение, почти такое же, как PGP. и принцип работы схож - алгоритм генерирует "публичный ключ" (6 цифр) из "приватного ключа" (строка из ~20 символов) и текущего времени. только в отличие от PGP у TOTP приватный ключ есть И у клиента, И у сервера.
самое главное заблуждение и источник страха и недоверия - это слово GOOGLE в названии приложения "Google Authenticator". так и не надо этим приложением пользоваться :) есть andOTP для андроида и oathtool для консоли, сам пользуюсь обоими и рекомендую.

реализация TOTP - 20 строк на питоне и 60 на яваскрипте:
totp.png


для эстетов - 249 на Си. у счастливых пользователей ОС Linux есть консольный oathtool: https://www.nongnu.org/oath-toolkit/
выше даже плагин для браузера скинули. что может быть удобнее и безопаснее оффлайн генератора одноразовых паролей?


admin по-моему, надо переименовать страшный "GOOGLE" в нейтральный "TOTP 2FA"
 
Dread Pirate Roberts сказал(а):
реализация TOTP - 20 строк на питоне
Чят-жимпиты уложился в 15 строк:
Код: 
import sys, hmac, time, base64, hashlib
secret = sys.argv[1] # get the secret from the command line
key = base64.b32decode(secret, True) # decode the secret to bytes
timestep = 30 # the time interval in seconds for OTP generation
digits = 6 # the number of digits in the OTP
now = int(time.time()) # get the current time step
time_step = now // timestep
time_step_bytes = time_step.to_bytes(8, 'big') # convert the time step to bytes in big-endian order
hmac_sha1 = hmac.new(key, time_step_bytes, hashlib.sha1).digest()# compute the HMAC-SHA1 of the time step and the key
offset = hmac_sha1[-1] & 0xf
truncated = hmac_sha1[offset:offset+4]
otp = int.from_bytes(truncated, 'big') # convert the truncated string to an integer in big-endian order
otp = otp % (10 ** digits)
otp = str(otp).zfill(digits) # pad the OTP with zeros if necessary
print(otp) # print the OTP
Используя библиотеку - 4:
Код: 
import sys, pyotp
secret = sys.argv[1] # get the secret from the command line
totp = pyotp.TOTP(secret) # create a TOTP object
print(totp.now()) # print the current OTP
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MekkeyBug сказал(а):
Пристрелите меня, бл#ть.
Да что ж вы все никак не поймёте устройство 2FA? Нет в нём никакой угрозы. Не нравится гугл или ауси, вот скрипт простейший.

github.com

GitHub - pyauth/pyotp: Python One-Time Password Library

Python One-Time Password Library. Contribute to pyauth/pyotp development by creating an account on GitHub.
github.com
 
Ребята, сделайте кто-то пошаговый обзор алгоритма TOTP (2FA) и обзор ключевых приложений-плагинов. Буду очень благодарен =) Давайте собедем инфу в одном месте, ссылку будем сразу давать скептикам.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
admin сказал(а):
Ребята, сделайте кто-то пошаговый обзор алгоритма TOTP (2FA) и обзор ключевых приложений-плагинов. Буду очень благодарен =) Давайте собедем инфу в одном месте, ссылку будем сразу давать скептикам.
Не 2FA, а TOTP, ибо двухфакторка разная бывает (я вот например много и часто юзаю аппаратные ключи Yubikey).
 
admin сказал(а):
Ребята, сделайте кто-то пошаговый обзор алгоритма TOTP (2FA) и обзор ключевых приложений-плагинов. Буду очень благодарен =) Давайте собедем инфу в одном месте, ссылку будем сразу давать скептикам.
В википедии подробнейше объясняется. https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
По сути вычисляется хеш от секретного пароля и времени. И на этом всё - никаких обращений к апи гугла там нет, от гугла только название. Так то я и сам сначала подозревал недоброе, думал также как ТС. :)
 
alex778 сказал(а):
никаких обращений к апи гугла там нет
только если админ сайта не долботряс и не отправляет запрос на гугл для красивой генерации QR кода: https://xss.pro/threads/77077/
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх