Google chce nahradit dvoufaktorové SMS přímým použitím autorizovaného mobilního zařízení

Google chce nahradit dvoufaktorové SMS přímým použitím autorizovaného mobilního zařízení. Dost užitečné, pokud uvážíte, že SMS je nejenom možné odchytávat, ale tato tradiční cesta dvoufaktoru už byla opakovaně prolomena pořízením „klonu“ mobilního telefonu. Viz Better experience for SMS 2-Step Verification users with Google prompt

Google Prompt.png

WhatsApp (konečně) má dvoufaktorové ověření

WhatsApp (konečně) má dvoufaktorové ověření. (tedy spíš dva kroky ověření, ale zůstaňme u toho 2FA, má to stejně víc nedostatků). Což zejména u WhatsApp je dobré, protože může pomocí proti útočníkům co si ověří vaše telefonní číslo někde jinde. Což, to je důležité. je taky jediné co to umí. Také si můžete pořídit odkaz na vypnutí zadáním e-mailu, ale trochu nepochopitelně ho WhatsApp nepovažuje za nutné ověřit. Ale také to znamená, že je nově možné na uživatele WhatsApp s aktivním ověřením zkoušet nějaké to sociální inženýrství co jim přihraje link a oni na něj kliknou. Absurdní je i to, že „abyste nezapomněli passcode, bude se vás na něj WhatsApp ptát“. Passcode je šestimístný PIN, který si v rámci zapnutí ověření nastavujete a téhle další otravnosti se zbavit nemůžete, dokud máte ověření zapnuté. Divná věc.

PS: Pokud namítnete, že to není dvoufaktorové ověření, tak máte pravdu. WhatsApp vlastně jenom přidal heslo.

2016-03-02 09_50_57-WhatsApp __ Home

POZOR! Hack Yahoo ještě horší, uniklo přes 500 milionů účtů.

Hack Yahoo ještě horší, uniklo přes 500 milionů účtů. Viz Yahoo Says Information on at Least 500 Million User Accounts Was Stolen a tady nezapomeňte, že jde o únik z roku 2014 a záplava hesel bude stále používána jak na Yahoo, tak na jiných online službách. Yahoo tvrdí, že za hackem stojí „státem sponzorovaný“ hacker (což zní jako snaha o PR výmluvu). Skoro jisté je, že to je největší hack v dějinách (překonává MySapace s 360 miliony hesel i Adobe s 153 milionů hesel) .

Původně se předpokládalo, že jde o 280 milionů údajů. Jak se útočníci dostali přímo do interních systémů Yahoo řečeno nebylo, ani jaká země za tím stojí.  Jako vždy připomenu Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? a zásadní prvek dodatečné ochrany v podobě dvoufaktorového ověření.

2016-09-02 18_57_26-Have I been pwned_ Check if your email has been compromised in a data breach

Google má nový dvoufaktor, bez čísel, jen se schválením přes mobil.

Google má nový dvoufaktor, bez čísel, jen se schválením přes mobil. Místo původní zadávání kódu z Google Authenticator aplikace prostě na mobilu schválíte přihlášení, které jste zahájili někde jinde. Říkají tomu Google Prompt (česky Výzva od Google) a můžete si to pořídit v Nastavení zabezpeční vašeho účtu. Nezapomeňte na zásadní nutnou podmínku, tedy zabezpečení přístupu k vašemu telefonu.

2016-06-21 18_15_48-Start

Jak byl hacknut e-mail a Twitter aktivisty DeRay McKessona?

Jak byl hacknut e-mail a Twitter aktivisty DeRay McKessona? Překvapivě tím, že se útočníkovi podařilo přesvědčit mobilního operátora k resetu SIM karty a tím získání přístupu k zprávám pro dvoufaktorové ověření. Viz How activist DeRay Mckesson’s Twitter account was hacked

2016-06-11 16_31_54-Uživatel deray mckesson na Twitteru_ „By calling @verizon and successfully chang.png