Digitális Állampolgárság Program DÁP - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Új hozzászólás Aktív témák

#167 csendes addikt DarkByte #164

Új Válasz 2024-11-19 11:15:43 #167
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

csendes

addikt

válasz DarkByte #164 üzenetére

"A trükk az hogy ezt csak a kiszolgáló és az authenticator app ismeri. Ezért biztonságos, mert ha valaki le is hallgatja az ez utáni bejelentkezésed bármelyikét, akkor se tud vele mit kezdeni, mert az aktuális kódból nem lehet visszafejteni a kezdő számsort."
A baj az, hogy ezt a seed-et is el lehet lopni mondjuk egy nem "Store"-ból telepített, nem ellenőrzött app-pal (ami akár már a gyártónál feltelepülhet a telefonra és nem is törölhető). vagy át lehet verni a felhasználót, hogy adja meg az azonosítót a jelszót és a generált kódot is egy az eredetihez hasonló oldalon (például E-mail-ben küldenek egy hivatkozást) és akkor csak bele kell férni a 30/60 másodpercbe és máris beléphetnek akár az ügyfélkapuba is. Forrás: [link]
"Even authenticator apps, which are considered to be more secure than SMS or email-based authentication, are not immune to attacks. Malware can be used to steal the secret key that is used to generate the one-time codes, allowing hackers to generate codes and gain access to the user’s account. In addition, authenticator apps can be vulnerable to phishing attacks, where the user is tricked into entering their login credentials into a fake login page that looks like the real thing."