Tärkeä Tunnuksia kaapattu - Myy lahjakortteja (Steam, Verkkokauppa.com)

[Yeenoghu]

Ei missään nimessä ainakaan pakollista 2-vaiheista tunnistautumista, mutta se voisi toki olla vapaaehtoisena vaihtoehtona et ne jotka pitää sitä tärkeänä niin voi ottaa käyttöön.

Mä käytän tällaisia palveluita nimenomaan sen takia, ettei tarvi 2factia. Saanut aivan tarpeekseni siitä muissa palveluissa.

Suosittelen 2factin puolestapuhujia kadottamaan kerran luurinsa ulkomailla ja toteamaan et kuinka kivaa elämä on sen jälkeen ku ei pääse kirjautumaan mihinkään sisälle.

Kukaan järkevä henkilö ei pidä vain yhdessä luurissa 2FA avaimiaan, vaan ainakin kahdella laitteella ja sitten mielellään vielä tietokannasta varmuuskopiot lisäksi (ja halutessaan kassakaappiin tilikohtaiset palautusavaimet).

Onko sulla myöskin pankin 2FA sovellus vain yhdessä luurissa?

Ei hirveästi lämmitä siinä kakkoslaitteessa oleva 2FA, kun olet ulkomailla ja se kakkoslaite, varmuuskopiot ja kassakaappi(!) on kotona. Kuten tässä Golemuksen skenaariossa varmaan haluttiin tuoda ilmi.

 

[Heikki_H]

Suosittelen 2factin puolestapuhujia kadottamaan kerran luurinsa ulkomailla ja toteamaan et kuinka kivaa elämä on sen jälkeen ku ei pääse kirjautumaan mihinkään sisälle.

On kadotettu luuri, on rikottu luuri, mut jokaisen kerran jälkeen sitten uuteen luuriin asennettu Authy, logattu sisään ja kaikki tokenit tallessa.
Ikävää kun argumentit ei toimi, eikö?

 

[Rollerix]

Ymmärsin mitä hait takaa ja kyseinen toteutus toisi käyttäjälle tietoisuuden tilin väärinkäytöstä ja sen myötä mahdollisuuden olla yhteydessä ylläpitoon. Ylläpito pystyy sitten kaappaustapauksissa muokkaamaan salasanaa ja sähköpostiosoitetta.

Siihen en osaa tältä istumalta ottaa kantaa mahdollistaako foorumialusta noiden asioiden mukauttamista. Alustan ydintoimintoja ei lähdetä kovin herkästi itse puukottamaan, koska siitä seuraa potentiaalisesti enemmän haittaa kuin hyötyä.

Periaatteena ihan hyvä antaa mahdollisuus reagoida myös vanhan tunnuksen kautta. Mutta kannattaa huomata, että sen myötä syntyy uusi ongelma. Jos kyseessä on joku aikaa - mahdollisesti vuosia - sitten käytetty ja jo luovutettu/menetetty email-osoite, voi se olla tällä hetkellä jo jonkun toisen henkilön käytössä, jolloin siis asiaan täysin kuulumaton henkilö pääsee ottamaan kantaa johonkin salasanan vaihtoon. Ja pahimmillaan (?) postin uusi omistaja pääsee jopa tunnukseen käsiksi, kun ainakin saa tiedon että ko. sivustossa on omalla osoitteella olemassa tunnus.
Esim. seuraavanlaiset tunnukset voivat hyvin vaihtaa omistajaa ajan kuluessa joko tunnuksena tai aliaksena:

matti.virtanen@hotmail.com (riittävän tavallinen nimi ja domain)
mv@hotmail.com (nimikirjaimet)
pomo@hotmail.com (joku riittävän yleinen ja kiinnostava sana tunnuksena)
mikahyvansatunnus@huonollatuurilla.com

Mielestäni ei jatkoon.

 

[Sampsa]

Tietomurrosta ja tunnusten väärinkäytöstä on aiemmin tällä viikolla tehty poliisille rikosilmoitus.

 

[P c L A Y E R]

Ä

Siksi en edelleenkään ymmärrä miksi pitäisi tehdä monimutkaista asiaa, kun muutokset voisi hoitaa alunperinkin jo sähköpostiin lähetettävällä varmennuksella. Se on jo todettu idean isänkin puolesta moneen kertaan, että idea ei toimi ilman toimivaa sähköpostiosoitetta (kunnes keksii joka kerta, että toimiipas ). Use-case skenaarionki (joka todisti, että ei toimi) kanssa oltii samaa mieltä, kunnes seuraavassa viestissä taas ei.
.

Vaikka tämä vääntö on jo vähän ohi, niin pakko kyllä itsekkin ihmetellä, miten että ymmärrä oscark:n ehdotuksen etua/eroa siihen, että vaihdos pitäisi aina käydä vahvistamassa toimivassa postissa.

Asia on nimittäin ihan päivän selvä.

Jos vaaditaan kuittaus toimivassa osoiteessa, niin sitä käyttäjätiedoissa olevaa vanhentunutta osoitetta ei voi ikinä omatoimisesti vaihtaa toimivaksi.

Jos olisi tuo karenssivaihtoehto, niin toimivaa osoitetta ei vaadita salasana/sähköpostin vaihdossa, ja vanhentuneen sähköpostin voisi itse vaihtaa toimivaan. Sitten ne joilla toimiva osoite tiedoissa on, saisivat hakkerointitapauksessa tiedon säpon/salasanan vaihdoista, ja voisivat reagoida ja saada tilin takaisin haltuun:

1. Jos salasana on vaihdettu, sen voisi palauttaa/resetoida sen toimivan sähköpostin kautta, käyttäen "unohdin salasanani" nappia.

2. Jos sähköposti on vaihdettu, niin nenet vaihtamaan säpon takaisin ja vaihdat salasana sen "unohdin salasanani" napin kautta. Toki parasta olisi, että säpon vaihdoksessa olisi oikeasti myös joku esim. viikon viive, jolloin oikea käyttäjä voisi resetoida sen passun heti tuolla, "unohdin salasanani" napilla, ilman että täytyisi ensin mennä taas vaihtamaan se säpo tuolta asetuksista. Tuolla viiveellä eliminoitaisiin myös se, että hakkeri keksisi käyttää tuota karenssin ulkopuolella olevaa salasananvaihtotapaa.


Kummassakin ym. tapauksessa oikea omistaja saisi tiedon tilin kaappauksesta, ja pääsisi itse vaihtamaan salasanan ja ottamaan tilin taas haltuun.

Toki kuittausvaihtoehto estäisi hakkeroinnit tehokkaammin ja helpommin, mutta edelleen se sitten estäisi sähköpostin vaihdon toimivaan, niillä käyttäjillä, joilla on vanhentunut posti tiedoissa. Se on se ero näissä.

Tiivistettynä:

1. Oscark:n karenssiehdotus ei siis auttaisi hakkerointitapauksessa niitä, joilla on vanhentunut sähköposti io-techin tiedoissa, mutta auttaisi kaikkia muita. Lisäksi käyttäjät joilla on vanhentunut sähköposti tiedoissa, voisivat edelleen vaihtaa sen itse ilman ylläpidon apua.

2. Pakollinen kuittaus vanhan sähköpostiin -menetelmä ei auttaisi hakkerointitapauksissa niitä, joilla on vanhentunut sähköposti io-techin tiedoissa, mutta auttaisi kaikkia muita. Käyttäjät, joilla on vanhentunut sähköposti io-techin tiedoissa eivät voisi itse vaihtaa sen tilalle toimivaa sähköpostia.

 

[Juha Kokkonen]

Ä


Vaikka tämä vääntö on jo vähän ohi, niin pakko kyllä itsekkin ihmetellä, miten että ymmärrä oscark:n ehdotuksen etua/eroa siihen, että vaihdos pitäisi aina käydä vahvistamassa toimivassa postissa.

Asia on nimittäin ihan päivän selvä.

Jos vaaditaan kuittaus toimivassa osoiteessa, niin sitä käyttäjätiedoissa olevaa vanhentunutta osoitetta ei voi ikinä omatoimisesti vaihtaa toimivaksi.

Jos olisi tuo karenssivaihtoehto, niin toimivaa osoitetta ei vaadita salasana/sähköpostin vaihdossa, ja vanhentuneen sähköpostin voisi itse vaihtaa toimivaan. Sitten ne joilla toimiva osoite tiedoissa on, saisivat hakkerointitapauksessa tiedon säpon/salasanan vaihdoista, ja voisivat reagoida ja saada tilin takaisin haltuun:

1. Jos salasana on vaihdettu, sen voisi palauttaa/resetoida sen toimivan sähköpostin kautta, käyttäen "unohdin salasanani" nappia.

2. Jos sähköposti on vaihdettu, niin nenet vaihtamaan säpon takaisin ja vaihdat salasana sen "unohdin salasanani" napin kautta. Toki parasta olisi, että säpon vaihdoksessa olisi oikeasti myös joku esim. viikon viive, jolloin oikea käyttäjä voisi resetoida sen passun heti tuolla, "unohdin salasanani" napilla, ilman että täytyisi ensin mennä taas vaihtamaan se säpo tuolta asetuksista. Tuolla viiveellä eliminoitaisiin myös se, että hakkeri keksisi käyttää tuota karenssin ulkopuolella olevaa salasananvaihtotapaa.


Kummassakin ym. tapauksessa oikea omistaja saisi tiedon tilin kaappauksesta, ja pääsisi itse vaihtamaan salasanan ja ottamaan tilin taas haltuun.

Toki kuittausvaihtoehto estäisi hakkeroinnit tehokkaammin ja helpommin, mutta edelleen se sitten estäisi sähköpostin vaihdon toimivaan, niillä käyttäjillä, joilla on vanhentunut posti tiedoissa. Se on se ero näissä.

Tiivistettynä:

1. Oscark:n karenssiehdotus ei siis auttaisi hakkerointitapauksessa niitä, joilla on vanhentunut sähköposti io-techin tiedoissa, mutta auttaisi kaikkia muita. Lisäksi käyttäjät joilla on vanhentunut sähköposti tiedoissa, voisivat edelleen vaihtaa sen itse ilman ylläpidon apua.

2. Pakollinen kuittaus vanhan sähköpostiin -menetelmä ei auttaisi hakkerointitapauksissa niitä, joilla on vanhentunut sähköposti io-techin tiedoissa, mutta auttaisi kaikkia muita. Käyttäjät, joilla on vanhentunut sähköposti io-techin tiedoissa eivät voisi itse vaihtaa sen tilalle toimivaa sähköpostia.

Kyseisen väännän käyneille on jo ohjeistettu lopettamaan vääntö, ei nyt enää lähdetä tökkimään muurahaispesää sivulta muidenkaan toimesta, kiitos.

 

[golemus]

On kadotettu luuri, on rikottu luuri, mut jokaisen kerran jälkeen sitten uuteen luuriin asennettu Authy, logattu sisään ja kaikki tokenit tallessa.
Ikävää kun argumentit ei toimi, eikö?

Uutta luuria ei välttämättä ihan noin vain saa jos on matkalla jossain hyvin kaukaisessa lokaatiossa. Mutta web selain saattaa olla tarjolla ihan heti.

Jos luurin kadottaa matkalla niin melko suurella todennäköisyydellä uuden luurin saa vasta sen jälkeen kun on palannut takaisin Suomeen.

 

[Heikki_H]

Uutta luuria ei välttämättä ihan noin vain saa jos on matkalla jossain hyvin kaukaisessa lokaatiossa. Mutta web selain saattaa olla tarjolla ihan heti.

Jos luurin kadottaa matkalla niin melko suurella todennäköisyydellä uuden luurin saa vasta sen jälkeen kun on palannut takaisin Suomeen.

Joo, aina löytää teoreettiset selitykset mille vaan, kunhan tarpeeksi käyttää mielikuvitustaan.

 

[Aquarium]

Itse aloin vältellä 2-Factor tunnistautumisen käyttämistä kun jouduin olemaan päivän ilman kännykkää matkoilla. Vasta silloin havaitsin että en pääse verkkopankkiin, gmail-sähköpostiin enkä moneen muuhunkaan paikkaan. Alkoi olla jo pieni paniikki kun matkoilla käytettävälle pankkikortilla ei ollutkaan riittävästi rahaa ja yritin päästä siirtämään sitä eikä mitkään tärkeät palvelut toimi ilman puhelinta.
Authy-mainitaan, mutta hanskaako se kaikki palvelut jotka käyttää monivaiheista tunnistautumista? Tuskin? Itse mietin nykyään todella tarkkaan mitkä palvelut kannattaa laittaa 2-factor tunnistautumisen taakse ja missä riittää vain tarpeeksi kryptinen salasana.

Heikki_H, kuinka elvytään tilanteesta jossa puhelin varastetaan ja sinun täytyy saada kaikki tunnukset eri palveluihin toimimaan? Ja käytetty siis kaikissa mahdollisissa palveluissa 2-factor tunnistautumista.

 

[ojisama]

Onko sulla myöskin pankin 2FA sovellus vain yhdessä luurissa?

Ton kanssa muuten kannattaa olla tarkkana. Nimimerkillä, oli kyllä varmuuden vuoksi, mutta en ollut käyttänyt asentamisen jälkeen, niin eihän se sitten toiminut, kun käytttöpuhelin meni rikki.

 

[Heikki_H]

Heikki_H, kuinka elvytään tilanteesta jossa puhelin varastetaan ja sinun täytyy saada kaikki tunnukset eri palveluihin toimimaan? Ja käytetty siis kaikissa mahdollisissa palveluissa 2-factor tunnistautumista.

Nämä on näitä elämän valintoja, en mä pakota ketään käyttämään MFA:ta, mutta itselleni ei tulisi mieleenikään antaa edes mahdollisuutta kenenkään ruveta pelkällä salasanan koputtelulla tunkeutumaan palveluihini.
Omalla kohdallani olen aina selvinnyt mainitsemastasi tilanteesta sillä, että olen hankkinut uuden puhelimen tai käyttänyt Authyä tabletilta / tietokoneelta.

En tiedä hanskaako Authy kaikkia palveluja, mutta yhtä lailla ei hanskaa mikään muukaan kaikkia. Toistaiseksi Authy on hanskannut kaikki mihin itse olen sitä tarvinnut (Amazonista Discordiin, Dropboxista Git Hubiin, TechBBS:stä Instagramiin, Microsoftista Nvidiaan jne).

 

[DinocideFIN]

Onkohan käyttäjä @hyvää_päivää myös hakkeroitujen listalla? Maksoin maanantaina Verkkiksen lahjakortin Mobilepaylla ja mitään ei ole sen koommin kuulunut. Puhelinnumerolla ei löydy Fonectasta mitään, ei vastaa myöskään Whatsappilla / normaalilla tekstiviestillä.

 

[Sampsa]

Onkohan käyttäjä @hyvää_päivää myös hakkeroitujen listalla? Maksoin maanantaina Verkkiksen lahjakortin Mobilepaylla ja mitään ei ole sen koommin kuulunut. Puhelinnumerolla ei löydy Fonectasta mitään, ei vastaa myöskään Whatsappilla / normaalilla tekstiviestillä.

Ei näytä olevan, jos ei seuraavaan viikkoon kuulu niin rikosilmoitusta tekemään.

 

[emagdnim]

----väärä hälytys---