un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
Urmăresc încercările celor de la Noobz de a-și recupera canalul de YouTube după ce un hacker vietnamez sau chinez le-a spart contul Google și le-a luat canalul. Au 9K subs acolo, momentan hackerul urcă clipuri cu emisiunile Judge Judy probabil pentru a face bani din reclame și cred că familia Gănescu are noroc că nu le-a șters clipurile lor din canal. Au început procedura de recuperare a accesului la cont prin Google.
Din ce-am înțeles, hackerul a folosit un script pus poate pe vreun site pentru a accesa lista de parole salvate în browserul lor Chrome, listă în care se afla și parola de la Google. Așa că haideți să învățăm cu toții ceva din asta, contul de Google fiind extrem de important în această vreme.
Unu la mână, nu salvați parola contului Google în Chrome. Nu știu cum poate fi accesată din exterior acea listă, că n-ar trebui să fie posibil, dar considerând că este o vulnerabilitate pe undeva, măcar nu țineți și parola Google acolo.
În Chrome, intrați în Settings -> Autofill -> Passwords. Veți vedea o listă de parole salvate în browser, ceea ce este o metodă foarte bună de a afla o parolă pe care poate nu o mai țineți minte, dar o aveți salvată în browser de acum mulți ani.
La capătul acelei liste este încă una în categoria Never Saved. Asigurați-vă că tot ce ține de Google se află acolo.
La mine așa era, deși nu țin minte să fi făcut vreodată această alegere. Cred că vine default. Dacă aveți totuși parola Google salvată în browser, ștergeți-o de acolo și, data viitoare când vă întreabă browserul dacă să o salveze, alegeți Never for this site.
Asta se face din myaccount.google.com/security. Aveți pe acolo și o verificare de securitate și altele. Găsiți aici instrucțiuni în română, dacă e nevoie.
Puteți opta pentru 2FA sub diverse forme:
Toate sunt cam 99% sigure. Inclusiv SMS-urile pot fi interceptate în cazul în care cineva chiar vrea musai să vă hăcuiască, dar acesta este un scenariu de nivelul serviciilor de informații, nu ceva ce poate face un hacker oarecare din altă țară sau chiar din preajma voastră, precum un prieten gelos.
Musai de avut parolă sau amprentă sau altă formă de autentificare biometrică pe telefon. Bănuiesc că aveți deja, nu insist.
Ideea este că, dacă vă fură cineva telefonul, măcar să nu-l poată debloca și accesa conturile din el. Dacă este bine protejat, hoțul nu-i poate da decât un hard reset din combinațiile de butoane și apoi îl vinde gol, deci datele voastre nu sunt în pericol.
Este un nivel de securitate oferit de Google pentru cei care chiar se cred amenințați de hackeri și se bazează pe niște chei de criptare. Aceste chei pot fi generate direct într-un telefon cu Android sau iOS sau puteți cumpăra chei de criptare fizice.
Citiți aici despre Advanced Protection. Cred că marea majoritate a oamenilor nu au de ce să apeleze la așa ceva.
Toate se bazează pe un telefon mobil. SMS-ul 2FA sau notificarea de aprobare a unui login ajung pe telefonul vostru. Dacă pierdeți telefonul, nu veți putea să vă logați în contul Gmail de pe un dispozitiv nelogat direct, că nu aveți cum să primiți acel SMS sau prompt.
Mie mi se pare că tocmai atunci apare un point of failure în lanț. Dacă pierzi telefonul, primul gând ar trebui să fie “stai să schimb parola de la Google, că altfel cine știe ce-mi face hoțul prin telefon”, considerând că poate să-l acceseze. Fără telefon, însă, nu vă puteți loga la primul PC care vă iese în cale pentru a face asta, ci cel mult la cel propriu de acasă, considerând că erați logat dinainte în Gmail sau alt serviciu Google.
Nici atunci nu este vreo garanție, de fapt, că veți putea schimba parole. De obicei Google, când vede că accesați astfel de setări, vă cere oricum parola și posibil și acel cod SMS.
N-am o problemă că serviciile bancare folosesc mesaje SMS, de exemplu, pentru că pot oricând merge la bancă pentru a schimba “parola”. La Google la ușă, însă, nu ai cum să mergi, iar serviciul în acest caz este însăși telefonul mobil.
Chiar și Google spune ceva asemănător:
If you have lost your keys or your phone, and do not have access to a logged-in session, you will need to submit a request to recover your account. For your safety, it will take a few days for Google to verify it’s you and grant you access to your account.
Interesant cum, dintr-o dată, începi să-ți dorești ceva asemănător cu tokenul ING ca backup pentru chestiunile cu adevărat importante, nu? Chiar există așa ceva, dar sunt dificil de cumpărat și majoritatea nu vor face asta.
O soluție rămasă trebuie activată manual din meniul ce apare după activarea 2FA. Se numește Backup Codes și generează 10 coduri ce pot fi utilizate dacă nu ai acces la telefon. Ideea este să le tipărești și să le păstrezi într-un loc sigur în caz de nevoie. Nu-i o idee rea, eu aș lua unul sau două cu mine într-un concediu prin cine știe ce zonă obscură unde ai putea descoperi că nu primești SMS-uri sau îți pierzi telefonul.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Formula 1 în China: Mercedes mă dezamăgește, plus înjurături între piloți
Articole interesante de citit astăzi – 21 aprilie 2024
Am condus noul Duster: impresii după autostradă și traseu off-road
Astăzi vor fi încasări record la spălătoriile auto după cât praf din Sahara s-a depus pe mașini
Cîrstoiu out, Piedone intră în linia dreaptăCopyright © 2006 - 2020 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
36 comentarii
17/02/2020 la 11:54 AM
E amuzant 2FA. Am observat la ubisoft, daca ai uitat de el si ai vandut telefonul vechi sau i-ai dat hard resest, e chinul de pe lume sa obtii accesul inapoi. Bine ca nu ma ocup cu bișnița cu telefoane si alea vechi isi gasesc alta utilitate prin casa.
nashu_mare(Citează)
17/02/2020 la 11:55 AM
O idee buna pentru 2FA este folosirea unui hardware key. Cheile titan de la google si ubikey sunt foarte folositoare (titan trebuie important insa ubi gasesti si in .ro)
James(Citează)
17/02/2020 la 12:10 PM
Eu mai folosesc Google Authenticator, de exemplu pentru logarea pe serverul de NAS + backup in mai multe locatii si servere la toate datele importante. Google authenticator elimina riscul atacurilor sms-based.
In plus am setat DNS-urile 208.67.222.222 si 208.67.220.220 de la openDNS(detinut de Cisco) ce blocheaza accesul la site-uri malitioase.
Mi se pare ciudat ca i s-a intamplat asta tocmai lui Cristian. Am fost impreuna la prezentarea celor de la Cisco privind modul in care sa te protejezi impotriva unui atac informatic si parea foarte in tema la momentul respectiv. Imi pare rau pentru ei…
Silviu(Citează)
17/02/2020 la 2:22 PM
Am pățit cu google authenticator ca după un update sa dea crash pe pornire, pe telefon de la google (Nexus, pixel). Noroc ca aveam root și am copiat datele stocate în sistem și am făcut revert la versiune anterioara, altfel eram pa.
Authy de exemplu oferă sincronizare în cloud cu criptare,astfel ai aplicația pe mai multe dispozitive.
dvsls(Citează)
17/02/2020 la 12:17 PM
Pe mine a inceput sa ma sperie in ultimul timp gandul ca daca imi pierd telefonul pierd accesul la Revolut si acolo imi primesc salariul deci am ceva bani in el tot timpul…
Stie cineva cat de usor se poate recupera un numar de telefon care e pe cartela Vodafone?
Mihai(Citează)
19/02/2020 la 7:01 PM
Teoretic da, îți dau alt SIM cu același număr de telefon. SIM replace se poate face pe loc.
nwradu(Citează)
17/02/2020 la 12:23 PM
lol. la cat de varza sunt aia ce te mira?
aia trebuiau sa curete cartofi intr-un restaurant cam ala-i nivelul…
cici(Citează)
17/02/2020 la 12:52 PM
Cu ce e mai bun “advanced protection” decat 2fa (nu via sms), si daca activezi advanced protection practic nu iti inlocuieste 2fa-ul cu asta?
Boris(Citează)
17/02/2020 la 1:01 PM
Se intampla sa lucrez in domeniu, asa ca adaug si eu cate ceva :)
Recomandari suplimentare:
-alegerea unei parole unice, lunga si generata aleator. Ceva de genul hzFoyJdp7X*&mvQzb5vRyjy5lx3W2*IL5&O73YRR
– folosirea unui password manager. Cele doua recomandari merg mana in mana.
Apoi, legat de 2-factor authentication:
– SMS-ul nu este recomandat. Atacurile care se bazeaza pe clonarea SIM-urilor sunt mai usor de pus in practica decat crezi.
– o metoda mai buna o reprezinta aplicatiile care genereaza un cod unic (ex. Authy, Microsoft Authenticator, Google Authenticator, etc). Atentie la cele care nu fac back up in cloud: daca stergeti aplicatia/pierdeti telefonul, ati pierdut accesul la cont (cu exceptia cazului in care ati salvat coduri de backup statice)
– salvati codurile unice de backup in password manager. Nu stiti cand veti avea nevoie de ele (vezi mai sus)
Nu intru in detalii legate de cheile hardware de autentificare (de tip Yubikey); majoritatea utilizatorilor nu le vor folosi niciodata.
Google Advanced Protection poate avea sens pentru cei al caror business depind de serviciile Google. De cateva saptamani nu mai e nevoie de cheie hardware pentru a folosi acest program.
Asta e tot.
PS: mai multe detalii si sursa informatiilor de mai sus: https://how2factor.info/ (ceva ce am creat in urma cu cateva luni)
Dorin M.(Citează)
17/02/2020 la 1:24 PM
curios e că mi-am schimbat parola la Google acum 2 zile, fix pe aceeași teamă. Aveam aceeași parola pe mai multe site-uri și m-am gândit ca dacă va fi spart unu, vor fi sparte toate.
M-am gândit că o idee bună să am o altă parolă pe Google, să am o bază solidă măcar.
rivi(Citează)
17/02/2020 la 1:26 PM
Eu n-am auzit de Noobz si familia Gănescu pana acum.
Okochea(Citează)
17/02/2020 la 5:11 PM
Nici eu, si nici nu i-am vazut comentand pe aici, doar Zoso mai spune ceva in rest se pare ca este ranchiuna intre vloggerii si bloggerii din Romania.
george(Citează)
18/02/2020 la 5:43 PM
N-ai pierdut nimic. Niste terminati care isi dau cu parerea despre orice fara macar sa testeze. Au un clip in care arunca cu rahat in Revolut si mai si zic ca ei nu l-au folosit niciodata. Patetici…
George(Citează)
17/02/2020 la 1:53 PM
Parolele din Chrome nu au fost sparte, altfel nu mai aveau acces la nimic. De altfel parolele nici nu pot fi sparte prea usor. In schimb se pot fura sesiunile. Recomand sa dati mereu logout/logoff atunci cand iesiti dintr-un cont, nu inchideti fereastra la browser si nici nu faceti swich la alta pagina din browser. Logout-ul e sfant! Nu inteleg cum Google nu le-a trimis notificare cu o logare de pe un dispozitiv nou (eu de obicei primesc aceasta alerta instant in telefon cat si pe emailul secundar). Daca n-au primit nicio alerta atunci PC-ul lor a fost compromis sau accesat de la distanta. Posibil ca ei sa fie vulnerabili chiar si acum si sa nu stie.
Danyzus(Citează)
17/02/2020 la 2:16 PM
Presupun ca hacker-ul a schimbat parola si a sters toate sesiunile. Poti sterge de la Google Account, Security checkup, toate dispozitivele de pe care te-ai conectat.
Mai greu e de intrat. Odata intrat e greu sa-l mai opresti pe hacker.
Okochea(Citează)
17/02/2020 la 3:46 PM
Mai nou daca ai telefon samsung si ai si cont samsung si control de la distanta poti sa-i dai reset si tot nu il va putea utiliza hotul ca iti va cere sa introduci vechea parola de la dispozitiv si daca reuseste sa o sparga stii ca niciun cont de al tau nu mai exista pe el nici pe cartela sau card sd
Dorian popa(Citează)
19/02/2020 la 7:02 PM
Doar dacă telefonul este conectat la net. De obicei hoțul îl închide imediat tocmai pentru a nu putea fi localizat.
nwradu(Citează)
17/02/2020 la 4:15 PM
Multumesc mult pentru sfaturi!
Silvia(Citează)
17/02/2020 la 4:22 PM
Suntem oameni faini, Okochea, fii sigur de asta. :) Însă, la fel de vulnerabili ca toți utilizatorii online. Ce să facem, mai suntem și noi oameni. Chiar dacă vorbim de tehnologie din 2013, asta nu ne face imuni la hackeri. E bine că putem fi un exemplu de la care alții pot învăța cum să nu sau cum să da.
Madalina(Citează)
17/02/2020 la 4:38 PM
Util articolul, nu stiam de chestia cu back-up codes
paul(Citează)
17/02/2020 la 4:40 PM
Mai sunt 2 chestii pe care le-am facut, pe langa 2FA in Google:
1) setat telefonul sa NU imi arate continutul notificarilor pe lock screen. Asta e pain in the ass, dar noh, security vs convenience. Problema e ca daca ai continutul afisat in lockscreen, atacatorul poate afla OTP codurile din SMS fara sa deblocheze telefonul. E drept ca Google mai foloseste si confirmare pe telefon (un ecran pe apare pe telefon, prin care confirmi ca tu esti ala care incearca recuperarea contului; daca e ecranul locked, nu ai acces la acel ecran). Insa la textul SMS tot ai acces, daca ai continutul notificarilor afisat pe lockscreen.
2) folosesc de foarte mult timp un password manager, recomand puternic. Ca e unul cloud based (LastPass, OnePassword) sau unul mai simplu (Keepass), fiecare parola de la fiecare cont e unica si foarte greu de spart. Eu folosesc Keepass, replicat pe fiecare device prin Nextcloud (dar merge bine si prin Dropbox/GDrive).
Mi-am cumpat si un YubiKey, pe care l-am inregistrat la Google (acel Advanced Protection). Cu cat ai mai multe metode de a recupera contul, cu atat mai bine.
BogdanM(Citează)
17/02/2020 la 4:42 PM
Asta e ceva care ii permite prietenei sa iti citeasca mesajele?
nashu_mare(Citează)
17/02/2020 la 7:01 PM
L-ai cumparat din Ro? Sau ai plătit transport 30USD de la ei direct?
Bogdan(Citează)
17/02/2020 la 5:24 PM
Eu folosesc această combinație (Google, G Suite si Facebook)
1) Parolă complexă (18 – 20 caractere. Caractere mici, mari, speciale)
2) 2FA – Nu folosesc nici SMS, nici Authenticator. Folosesc Yubico (Am 2, de backup)
3) Am codurile de Backup (10 coduri) într-un Apple iCloud Notes, care e deasemenea protejat (Cu o altă parolă decât cea de la iCloud și cu Face ID)
Pentru alte aplicații care nu suportă Yubico (Gen Adobe ID) folosesc Microsoft Authenticator. Este evident superior Google Authenticator și îmi face backup la QR-uri în iCloud și îl pot restaura pe alt dispozitiv. Cu Google Authenticator mi-am luat-o când am resetat telefonul și m-am chinuit să recuperez contul.
Eu asta folosesc.
Mihai(Citează)
17/02/2020 la 6:17 PM
Fiecare parola e unica si greu de spart dar daca e compromis password manager-ul pierzi controlul asupra tuturor conturilor. Don’t keep all your eggs in one basket!
Mike(Citează)
17/02/2020 la 6:22 PM
Nope, sfatul asta nu e bun deloc. Password managerele sunt recomandate si incurajate de toate entitatile din domeniul securitatii IT (NIST, NCSC, SANS, etc).
Parola ideala trebuie sa fie generata aleator, lunga si unica. Cum fiecare dintre noi avem peste 20 servicii online, memorarea acestor parole nu e o solutie practica. La fel cum nici scrierea pe o hartie.
Password managerele ofera cea mai buna solutie si trebuie evident protejate cu mai multi factori.
Dorin M.(Citează)
17/02/2020 la 6:41 PM
Ce țineți voi prin conturile alea de google sau asa in general pe alte lucruri, ca va temeți de pildă de interceptări de sms-uri si de altele?
Eu folosesc doar lastpass cu o parola de 4 cuvinte ceva numere si semne, pe telefon screen lock si cam atât. Oricum nu o sa imi fure chinezii contul, iar daca vor serviciile sa intre in ele oricum imi baga un cablu in telefon la o instituție la care trebuie sa las telefonul la poartă (da se mai practică, mare siguranță națională sa nu intri cu echipament de stocare si gsm ce sa zic)
Tom(Citează)
17/02/2020 la 6:48 PM
Datele cardului, contactele, pozele din ultimii zece ani… In general existența mea digitala.
Și da, folosesc autentificare in doi pași de când a apărut, inclusiv cu backup prin alte metode, in caz că pierd telefonul
Cătălin Tănase(Citează)
17/02/2020 la 7:25 PM
am patit sa se comporte diferit telefonul dupa ce l-am lasat intr-o cutie din asta la o “institutie”. informatia e specialitatea lor, asa ca e de inteles. a fost si timp, ca am stat cateva ore acolo.
nu stiu ce a patit sau ce nu, dar stand pe birou i se tot aprindea ecranul, fara notificari etc.
s-a rezolvat dupa ce am flashuit alt ROM.
chestia cu cutia si cablul o fac si altii care sunt mai darnici cu democratia. :)
cand asta cu cutia nu se face ca ia informatii de la altii, o fac pentru ca au fost cazuri cu telefoane cu ceva mai multe componente decat ar fi fost necesare si care nu serveau utilizatorului.
Teniescu(Citează)
18/02/2020 la 11:40 AM
Eu am patit intr-o companie de stat, de-asta mai plina de baieti destepti. A fost totul wireless, telefonul in posesia mea, dar ca un facut la cateva minute dupa ce intrasem am primit un apel de pe numar necunoscut. Am raspuns, apelul s-a deconectat, dupa care telefonul a inghetat. Dupa repornire nu mai gasea reteaua.
Cred ca a fost mai mult o forma de bruiaj.
L-am lasat si eu in buzunar cu bateria scoasa pana am iesit de acolo.
Bine ca nu s-a continuat proiectul ala, nu-mi placea deloc atmosfera din zona.
Sorin(Citează)
17/02/2020 la 8:44 PM
https://yubikey.co.ro/shop
Ionut(Citează)
17/02/2020 la 10:22 PM
De pe Amazon.co.uk (https://www.amazon.co.uk/gp/product/B00LX8KZZ8/ref=ppx_od_dt_b_asin_title_s00). Am mai luat inca ceva (husa telefon si sticla protectie telefon) si a fost 5.6 lire transportul.
BogdanM(Citează)
18/02/2020 la 7:11 AM
Eu am platit FIX 580 Lei pentru 2 bucati (1NFC si 1USB-C). Luate direct de pe Yubico, venite prin DHL daca nu ma insel in cateva zile.
Mihai(Citează)
18/02/2020 la 7:12 AM
@Quote-ul era pentru Bogdan :D
Mihai(Citează)
19/02/2020 la 12:25 AM
La faza cu SMS-ul, exista o sansa sa iti recuperezi numarul de telefon.
E simplu: Mergi la cel mai apropiat vodafone, orange, etc.
Ceri cartela cu numarul de telefon pe care il aveai. Si o bagi in alt telefon. Asa primesti sms-ul.
Din momentul ala, cartela de pe telefonul furat devine inactiva.
Asa am rezolvat problema cand ni s-a furat un telefon si aveam nevoie de el urgent.
Jupaneasa(Citează)
19/02/2020 la 12:29 AM
In clipa in care ti se fura telefonul, cel mai indicat este sa fugi repede la un furnizor de telefonie mobila si sa iti cumperi cartela cu numarul tau de telefon si o bagi in alt telefon, ca sa o dezactivezi pe cea de pe telefonul furat. Asa vei primi SMS-ul de la Google.
Am patit asta cand mi s-a furat un telefon si asa am rezolvat rapid si am recuperat tot.
Jupaneasa(Citează)