Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).
|
etiquetas: phishing , tokens , amnistía , ciberseguridad
(¡qué a gusto me he quedado!)
Los "tokens físicos" existieron durante muchos años como sistemas de seguridad para programas (sin determinado dispositivo enchufado en un puerto el programa no funcionaba) y siempre acabó habiendo un hacker que se lo saltaba. Al final se trata de conseguir que el verificador crea que el token está ahí, aunque no lo esté, y el token es solamente otro programa con información (muy poca además).
Nada en contra de los chinos, pero en mi opinión, si una empresa es de España, lo mejor sería hacer los tokens en España o al menos un país de la UE.
¿o tienes un teléfono distinto para cada servicio?
Más aquí:
arstechnica.com/information-technology/2018/12/iranian-phishers-bypass
Si acaso, clave y contraclave al movil. Y con las criptollaves sin código pasa lo mismo.
Y recordar que seguridad y comodidad están reñidas.
Lo que si que es verdad, es que no hay, y probablemente no habra(lo unico que se me ocurre es que la computacion cuantica venga al rescate) un sistema al 100% seguro. Lo que si que se intenta es complicar lo máximo posible el trabajo del hacker para que no valga la pena hackear. Pero al final es como todo, cuanto mas grande es el premio mas incentivo habrá para romperse la cabeza.
#15
-Tu metes usuario y contraseña en la página falsa.
-Los malos leen y reenvian ambas a la página real.
-El sistema real te manda el sms.
-Tu metes el código también en la página falsa.
-La página falsa te da un error en plan 'tenemos dificultades temporales'. Y los malos ya se han logado en tu cuenta.
Lo que tú describes es la modificación del programa para que crea que el token está conectado o para que directamente ignore esa verificación y siga funcionando. Para ello se necesita modificar y ejecutar ese programa.
En este caso los tokens físicos a los que se refiere el meneo aportan información que se introduce a través de la red para que el programa que confirma su validez lo reciba en la sede donde se ofrece el servicio, ya sea la banca electrónica, un gestor de bolsa o cualquier otro servicio.
Para que aplicase el ejemplo que nos citas se debería acceder a los servidores de ese banco y modificarlos para que no comprobasen ese código que se transmite por la red. No es que sea imposible pero no es el riesgo al que se refieren en el proceso de verificación de identidad mediante doble autenticación.
Los tokens del meneo son generadores de números, la tarea del hacker en este caso es engañar al usuario para que le entregue el número generado al hacker en el momento preciso o bien robar el generador de números (lo cual es más sencillo si se trata de un software corriendo un dispositivo móvil tipo Android o iOS). Lo que se propone en el meneo es que el generador de números esté en un token físico, lo cual en principio dificulta muchísimo la tarea del hacker.
Veo a mucha gente que cree que google es internet. Quieren entrar en facebook y lo buscan (y cualquier otra cantidad de webs más pequeñas y más fáciles de imitar y posicionar).
Creo que mucho de eso se evita usando esa barrita que está arriba en el navegador, o creando los ya dinosáuricos bookmarks.
Si no hay phishing, cualquier 2FA creo que es bastante seguro
Uso este ejemplo en particular porque más de una vez he visto gente que le abre la puerta a cualquiera porque justamente al llamar a la puerta le ha dicho "yo" y sin estar seguro de quién era le ha abierto el portal.
Yo nunca memorizo una contraseña, siempre uso una distinta totalmente aleatoria, de la máxima longitud que deja la web, tengo contraseñas de 100 caracteres y otras en webs de mierda de 10 caracteres porque no dejan meter más.
www.google.es/amp/s/actualidad.rt.com/actualidad/226351-lado-oscuro-ca
Te sugiero que cambies tu manera de ver el mundo, te crees un martillo, y para un martillo todos los demás son clavos. Solo que no atinas ni media. Pero eso no hace que pares en tu cruzada que solo existe en tu mente.
Ale, a pastar.