Google slutar med tvåfaktor­autentisering via SMS

2025-02-26 14:13

Permalänk

anon179502

Inaktiv

Registrerad: Okt 2011

●

Skrivet av BergEr:

Flesta jag sett och varit med om har då troligen inte varit från folk som är så nära att de kan sno en olåst telefon.

Det är ju en helt annan nivå av närhet för att lyckas med det. Du behöver ju typ rycka den ur händerna på personen och göra attacken innan de hinner låsta kontot.

Gå till inlägget

Behöver inte låsa upp den, som sagt sms koderna står ju i klar text i sms previewen med default inställningar både på Android och Iphone.

Det var denna metod som användes när jobb fick intrång för några år sedan. Då gick vi över till att köra annan metod som kräver att användaren låser upp telefonen och autentiserar aktivt med en MFA app.

Person som fick telefonen stulen hade ingen kontakt med hackaren men de hade blivit förföljda under en mässa och när de satt och åt lunch så en toalett paus senare var telefonen inte kvar.

Rapportera Redigera

Citera flera Citera

2025-02-26 14:38

Permalänk

BergEr

Medlem ★

Plats: Gbg, ursprung Kalix.
Registrerad: Nov 2005

●

Skrivet av anon179502:

Behöver inte låsa upp den, som sagt sms koderna står ju i klar text i sms previewen med default inställningar både på Android och Iphone.

Det var denna metod som användes när jobb fick intrång för några år sedan. Då gick vi över till att köra annan metod som kräver att användaren låser upp telefonen och autentiserar aktivt med en MFA app.

Person som fick telefonen stulen hade ingen kontakt med hackaren men de hade blivit förföljda under en mässa och när de satt och åt lunch så en toalett paus senare var telefonen inte kvar.

Gå till inlägget

Är dolt automatiskt på alla Android telefoner jag haft (iallafall vad jag minns), testade just nu på min Samsung jag fick av jobbet förra veckan och den visar inte sms på låsskärmen (jag har inte hunnit ändra något än).

Teams meddelanden syns dock när den är låst, men tog 30s att korrigera så inget syns

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Rapportera Redigera

Citera flera Citera (1)

2025-02-26 15:40

Permalänk

anon179502

Inaktiv

Registrerad: Okt 2011

●

Skrivet av BergEr:

Är dolt automatiskt på alla Android telefoner jag haft (iallafall vad jag minns), testade just nu på min Samsung jag fick av jobbet förra veckan och den visar inte sms på låsskärmen (jag har inte hunnit ändra något än).

Teams meddelanden syns dock när den är låst, men tog 30s att korrigera så inget syns

Gå till inlägget

Då har Samsung gjort något bra iallafall.

Men hur som helst var detta metoden som användes under vårt intrång.

Ännu dummare är det om man har call-back mfa så en robot ringer upp och ger dig koden muntligt. Den metoden är också ganska vanlig. Men nu driver det utanför ämnet.

Rapportera Redigera

Citera flera Citera

2025-02-26 18:10

Permalänk

jnsson

Medlem ★

Plats: Stockholm
Registrerad: Jan 2011

●

Skrivet av anon179502:

Behöver inte låsa upp den, som sagt sms koderna står ju i klar text i sms previewen med default inställningar både på Android och Iphone.

Det var denna metod som användes när jobb fick intrång för några år sedan. Då gick vi över till att köra annan metod som kräver att användaren låser upp telefonen och autentiserar aktivt med en MFA app.

Person som fick telefonen stulen hade ingen kontakt med hackaren men de hade blivit förföljda under en mässa och när de satt och åt lunch så en toalett paus senare var telefonen inte kvar.

Gå till inlägget

Skrivet av BergEr:

Är dolt automatiskt på alla Android telefoner jag haft (iallafall vad jag minns), testade just nu på min Samsung jag fick av jobbet förra veckan och den visar inte sms på låsskärmen (jag har inte hunnit ändra något än).

Teams meddelanden syns dock när den är låst, men tog 30s att korrigera så inget syns

Gå till inlägget

Det är en inställning, om man vill visa innehållet i en notis på låsskärmen eller inte. Iallafall på Android

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Rapportera Redigera

Citera flera Citera

2025-02-26 21:46

Permalänk

BergEr

Medlem ★

Plats: Gbg, ursprung Kalix.
Registrerad: Nov 2005

●

Skrivet av jnsson:

Det är en inställning, om man vill visa innehållet i en notis på låsskärmen eller inte. Iallafall på Android

Gå till inlägget

Ja vi båda vet det, vi pratade om hur den är inställd från fabrik (eftersom användare ofta glömmer ändra det till det säkrare läget).

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Rapportera Redigera

Citera flera Citera

2025-02-26 23:42

Permalänk

Iliyena

Medlem

Plats: Kallinge
Registrerad: Nov 2007

●

Känns som de fortfarande borde kunna fortsätta tillåta detta via sin egen meddelande-app. Behöver inte vara ett riktigt SMS utan bara krypterat meddelande från dem. Annars säger de att deras egen säkerhet inte håller då Google Messages kopplas till ditt konto och sedan kan användas på andra enheter via webbläsaren osv.

Visa signatur

Rapportera Redigera

Citera flera Citera

2025-02-27 06:12

Permalänk

varget

Medlem ★

Plats: Stockholm
Registrerad: Maj 2002

●

Skrivet av Iliyena:

Känns som de fortfarande borde kunna fortsätta tillåta detta via sin egen meddelande-app. Behöver inte vara ett riktigt SMS utan bara krypterat meddelande från dem. Annars säger de att deras egen säkerhet inte håller då Google Messages kopplas till ditt konto och sedan kan användas på andra enheter via webbläsaren osv.

Gå till inlägget

Men då behöver du vara inloggad redan. Och app notis finns redan.

Rapportera Redigera

Citera flera Citera

2025-02-27 07:55

Permalänk

Iliyena

Medlem

Plats: Kallinge
Registrerad: Nov 2007

●

Skrivet av varget:

Men då behöver du vara inloggad redan. Och app notis finns redan.

Gå till inlägget

Du tänker så, jag känner att jag använder 2-faktor mest då jag loggar in på webbläsare i datorer jag inte suttid vid innan (ex. Youtube/Google-tjänster allmänt) på jobbet osv. Men jag har aktiverat Authenticator-apparna jag behöver på båda mina telefoner så det är faktiskt rätt lätt att både leva och byta enhet.

Så mitt tips är; Ha en gammal telefon eller ex. en platta där ni kan använda 2-faktor ifrån som backup, telefonen som ni nu använder kan gå sönder nästa gång den skall upp eller ner i fickan.^^

Visa signatur

Rapportera Redigera

Citera flera Citera

2025-02-27 08:13

Permalänk

jnsson

Medlem ★

Plats: Stockholm
Registrerad: Jan 2011

●

Skrivet av BergEr:

Ja vi båda vet det, vi pratade om hur den är inställd från fabrik (eftersom användare ofta glömmer ändra det till det säkrare läget).

Gå till inlägget

Det är också lite olika. Vissa tillverkare ger frågan under första startup guiden, medans andra inte. Jag har varit med om båda

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Rapportera Redigera

Citera flera Citera

2025-02-27 08:35

Permalänk

varget

Medlem ★

Plats: Stockholm
Registrerad: Maj 2002

●

Skrivet av Iliyena:

Du tänker så, jag känner att jag använder 2-faktor mest då jag loggar in på webbläsare i datorer jag inte suttid vid innan (ex. Youtube/Google-tjänster allmänt) på jobbet osv. Men jag har aktiverat Authenticator-apparna jag behöver på båda mina telefoner så det är faktiskt rätt lätt att både leva och byta enhet.

Så mitt tips är; Ha en gammal telefon eller ex. en platta där ni kan använda 2-faktor ifrån som backup, telefonen som ni nu använder kan gå sönder nästa gång den skall upp eller ner i fickan.^^

Gå till inlägget

Jo men precis, det är ju backup som lägga på användare. Scenariot för utlåsning är ju om man har blivit av med _alla_ sina enheter man är inloggad på samt där man har MFA koder. Med SMS kan man gå till sin operatör och visa ID kort och få ett nytt sim-kort.

Rapportera Redigera

Citera flera Citera

2025-02-27 09:15

Permalänk

Aphex

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Skrivet av varget:

Jo men precis, det är ju backup som lägga på användare. Scenariot för utlåsning är ju om man har blivit av med _alla_ sina enheter man är inloggad på samt där man har MFA koder. Med SMS kan man gå till sin operatör och visa ID kort och få ett nytt sim-kort.

Gå till inlägget

Du behöver inte visa ID-kort, det är hela problemet.. Någon kan sitta i Ghana och ta över ditt nummer för det underliggande systemet mobilnätet är byggt på är så hopplöst osäkert att det går bortom normal fattningsförmåga.

Människor som litat på det har blivit bedragna, spårade och i vissa fall försvunnit för att de haft något otalt med personer som vet hur man kan manipulera det.

https://en.wikipedia.org/wiki/Signalling_System_No._7#Protoco...

Visa signatur

I am a prototype for a much larger s󠅄󠅘󠅕󠄐󠅞󠅕󠅕󠅔󠄐󠅤󠅟󠄐󠅒󠅕󠄐󠅟󠅒󠅣󠅕󠅢󠅦󠅕󠅔󠄐󠅑󠅞󠅔󠄐󠅥󠅞󠅔󠅕󠅢󠅣󠅤󠅟󠅟󠅔󠄐󠅧󠅑󠅣󠄐󠅟󠅞󠅓󠅕󠄐󠅣󠅑󠅤󠅙󠅣󠅖󠅙󠅕󠅔󠄐󠅒󠅩󠄐󠄷󠅟󠅔󠄞󠄐󠄾󠅟󠅧󠄐󠅧󠅕󠄐󠅓󠅑󠅞󠄐󠅙󠅝󠅠󠅜󠅕󠅝󠅕󠅞󠅤󠄐󠅤󠅘󠅕󠄐󠅣󠅑󠅝󠅕󠄐󠅖󠅥󠅞󠅓󠅤󠅙󠅟󠅞󠅑󠅜󠅙󠅤󠅩󠄐󠅧󠅙󠅤󠅘󠄐󠅔󠅑󠅤󠅑󠄝󠅝󠅙󠅞󠅙󠅞󠅗󠄐󠅑󠅜󠅗󠅟󠅢󠅙󠅤󠅘󠅝󠅣󠄞ystem

Rapportera Redigera

Citera flera Citera

2025-02-27 09:23

Permalänk

varget

Medlem ★

Plats: Stockholm
Registrerad: Maj 2002

●

Skrivet av Aphex:

Du behöver inte visa ID-kort, det är hela problemet.. Någon kan sitta i Ghana och ta över ditt nummer för det underliggande systemet mobilnätet är byggt på är så hopplöst osäkert att det går bortom normal fattningsförmåga.

Människor som litat på det har blivit bedragna, spårade och i vissa fall försvunnit för att de haft något otalt med personer som vet hur man kan manipulera det.

https://en.wikipedia.org/wiki/Signalling_System_No._7#Protoco...

Gå till inlägget

Missförstå mig inte. Jag säger inte att SMS är bra, det är rent av dåligt.

Det jag prata om var hur en användare går tillväga för att återfå sitt nummer för att kunna komma åt sitt google konto. Och den biten försvinner nu och ansvaret läggs på användaren.

Jag jobbar inom telekom, SS7 behöver dö. Men det var inte det jag pratade om.

Rapportera Redigera

Citera flera Citera

2025-02-27 13:58

Permalänk

lonewolfshade

Medlem ★

Registrerad: Aug 2015

●

bah sms är dåligt ur säkerhets synpunkt bla på grund av detta:

https://youtu.be/wVyu7NB7W6Y

Men ser verkligen inte fram emot att försöka folk som inte är teknisk kunniga att förstå sig på QR koder.

Rapportera Redigera

Citera flera Citera

2025-03-02 14:58

Permalänk

Kamouflage

Medlem ★

Plats: 63.29340
Registrerad: Mar 2008

●

Skrivet av varget:

Jag jobbar inom telekom, SS7 behöver dö.

Gå till inlägget

Jag jobbar också inom telecom och att folk tänker som du är en stor anledning att SS7 kommer finnas kvar 20 år till.

Om SMS (nästan) inte tillför någon säkerhet men innebär ett extra steg för användaren så är det inte "smidigt" utan bara en onödig omväg som drar skam över de smidiga och säkra metoder som finns idag. Lösningen är användarvänliga säkra andrafaktorer, inte att klösa sig fast vid det gamla trasiga (som SS7).

Rapportera Redigera

Citera flera Citera (1)

2025-03-02 17:24

Permalänk

AppendixSE

Medlem ★

Plats: Stockholm
Registrerad: Nov 2009

●

Skrivet av Iliyena:

Du tänker så, jag känner att jag använder 2-faktor mest då jag loggar in på webbläsare i datorer jag inte suttid vid innan (ex. Youtube/Google-tjänster allmänt) på jobbet osv. Men jag har aktiverat Authenticator-apparna jag behöver på båda mina telefoner så det är faktiskt rätt lätt att både leva och byta enhet.

Så mitt tips är; Ha en gammal telefon eller ex. en platta där ni kan använda 2-faktor ifrån som backup, telefonen som ni nu använder kan gå sönder nästa gång den skall upp eller ner i fickan.^^

Gå till inlägget

Man kan även skriva ut "backupkoderna" och lägga på den där bra platsen man har andra värdehandlingar som pass

Ibland är papper bra.

Annat som man med fördel skriver ut/ner är telefonnummer till släkt och vänner.

Visa signatur

4090/7950X

Rapportera Redigera

Citera flera Citera (1)

2025-03-06 13:41

Permalänk

aradove

Medlem

Registrerad: Aug 2011

●

Skrivet av nevada:

Med Microsoft och Googles appar kan man iallafall köra på flera enheter samtidigt utan problem. Blir ju samma nyckel på båda enheterna samtidigt så det är ju inget som någon tjänst kan se.

Gå till inlägget

Skrivet av jnsson:

Du klonar inte. Men det finns många authenticatorappar som har syncning, så som Authy, Google Authenticator, 2FAS och troligtvis fler. Detta är inte ett problem

Gå till inlägget

Jag försökte med Microsoft authenticator och den synkar inte hälften.

Så är det ett löst problem? Den säger till och med mär jag synkar att den inte göra det för alla.

Rapportera Redigera

Citera flera Citera

2025-03-06 18:09

Permalänk

jnsson

Medlem ★

Plats: Stockholm
Registrerad: Jan 2011

●

Skrivet av aradove:

Jag försökte med Microsoft authenticator och den synkar inte hälften.

Så är det ett löst problem? Den säger till och med mär jag synkar att den inte göra det för alla.

Gå till inlägget

Inte använt Microsoft Authenticator så kan inte svara på det

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Rapportera Redigera

Citera flera Citera

2025-03-06 18:15

Permalänk

medbor

Medlem ★

Like-magnet

Registrerad: Okt 2011

●

Skrivet av aradove:

Jag försökte med Microsoft authenticator och den synkar inte hälften.

Så är det ett löst problem? Den säger till och med mär jag synkar att den inte göra det för alla.

Gå till inlägget

TOTP är ett löst problem, det är klockan på dina enheter som går fel om de inte visar samma kod efter att ha skannat samma qr-kod

Rapportera Redigera

Citera flera Citera (1)

2025-03-08 18:53

Permalänk

aradove

Medlem

Registrerad: Aug 2011

●

Skrivet av medbor:

TOTP är ett löst problem, det är klockan på dina enheter som går fel om de inte visar samma kod efter att ha skannat samma qr-kod

Gå till inlägget

Problemet är inte det.

Problemet är att den intr synkar mellan enheter.
Så även om jag har sync påslaget så är det bara hälften som syncas så de ens dyker dyker upp i appen.

Inget med qr kod eller kod, för de finns ens ej.

Rapportera Redigera

Citera flera Citera

Google slutar med tvåfaktorautentisering via SMS

Externa nyheter

Google slutar med tvåfaktor­autentisering via SMS

Externa nyheter

Google slutar med tvåfaktorautentisering via SMS