create account

STEEMIT needs 2FA by on0tole

View this thread on: hive.blogpeakd.comecency.com
security · @on0tole · (edited)
$0.32
STEEMIT needs 2FA
## Hi STEEMers!
In the light of the above, with a cyber attack on STEEM, when about 260 accounts were compromised and in addition to this post about security and risks
[SteemIt.com is to be hacked? Security advisory](https://steemit.com/steemit/@vl248/steemit-com-is-to-be-hacked-security-advisory) I propose to discuss such an important moment, as **two-factor authentication**  also known as two-step verification (2SV) and necessity of adding them on STEEMIT.
**Two-factor authentication** or **2FA** - is a user identification method in which a service where two different types of authentication data are used. The introduction of an additional level of security provides better protection for your account against unauthorized access.
Two-factor authentication requires user  have two of three types of identification data.
* Something, you know;
* Something that you have;
* Something inherent to you(biometrics)

![https://i.imgsafe.org/826324d214.jpg]

**1st** is passwords, PIN codes, secret phrases, and so on - something that the user remembers and enters into the system when requesting.
**3rd** authentication using biometric devices and authentication methods. This may be, for example, face, fingerprint or retina scanners.
Discuss in more detail in **2nd** paragraph.

It is a token that is a compact device that is in the user's property. The most simple tokens do not require a physical connection tocomputer - they have a display that shows the number that the user enters into the system for entry - the more complex are connected to computers via USB and Bluetooth-interface.
Today, as a token can act smart phones, because they have become an integral part of our lives. In this case, the so-called one-time password is generated or using special applications (eg Google Authenticator, Authy? e.t.c), or comes on SMS - is the most simple and user-friendly method, which some experts estimate as less reliable.
Theoretically, that makes it much harder for a crook to get enough information to take over your account, because any login codes he steals today are useless tomorrow.

#### Problem is, these 2FA systems all work a bit differently, and they all have different strengths and weaknesses.

*This post helps you understand these differences.*
### One-time passwords via SMS
This is where you are prompted to enter an additional numeric code after authenticating with your username and password.
The code is sent to your mobile device as a text message (SMS).
Once the code is received you enter it in the field provided and the login proceeds.
It’s important to point out, specifically for this type of two-factor authentication, that SMS codes do not always work for everyone.
The server might not have your country on its list of supported regions; your mobile provider might not be able to deliver the messages; or you might have unreliable mobile coverage.
For obvious reasons this won’t work with landlines either, but there is a slightly different version that will call you and read out the code.

![https://i.imgsafe.org/82927315ed.png]

>**Advantages and disadvantages**
**+** The code is different every time, so if your regular password is breached or stolen, it’s not enough for a crook.
**+** The code is tied to your phone number, which can’t be changed by malware on your computer.
**-**  If your mobile network is down or you are out of the coverage area, you can’t receive the code.
**-**  Crooks may be able to port your phone number (also known as a SIM swap) through an accomplice in a mobile phone shop, and receive your calls and messages until you notice your own phone is dead.
**-**  If you are logging in and receiving the SMS on the same device (e.g. a tablet or smartphone), your login codes are as much at risk as your password.
### Authenticator Apps
Authenticator apps perform the same type of service as SMS 2FA but instead of the login codes being sent to you, they are generated locally on your smartphone or tablet.
This type of authentication relies on cryptographic algorithms for time-based one-time passwords (TOTP).
The basic functionality is that a secret starting key or seed is generated and stored by the server, and then scrambled up cryptographically with the current time and date whenever you login. This produces a time-specific code, usually valid for 30 or 60 seconds.
When you set up your account, this seed is sent to you (for example using a QR code) and imported into the authenticator app you are using.
As long as the date and time on your device is accurate to within 30 or 60 seconds, and the seed was imported correctly, the app will generate login codes that match the ones calculated on the server.
Even if crooks record your last 10, 50 or 10,000 passwords, there’s no way to reconstruct the sequence and work out what comes next unless they get hold of the seed. 
There are many implementations of this type of service but [Google Authenticator](https://support.google.com/accounts/answer/1066447?hl=en)  is probably one of the best known versions.    

![https://i.sli.mg/0hAoN7.png]

>**Advantages and disadvantages**
**+** Doesn’t rely on an SMS every time you login – you only need to be online when you set up an account so you can receive the seed.
**+** One authenticator app can work for multiple accounts.
**-**  If a crook gets hold of the seed (either from your device or by hacking into the server), he can calculate any future login codes.
**-**  If you are logging in and running the authenticator app on the same device, your authenticator codes are as much at risk as your password.

### Login verification
Login verification is another variation on the above themes.
Now, instead of being asked to enter a code, a login notification will be sent to your mobile device. Once this has been approved you will be signed into the site.
This process doesn’t use a secret key, or seed, that has to be shared between your device and the server.
Instead, it uses public-key cryptography to verify your identity.
A private key is generated and kept in the app on your device. The public key is sent to the server and stored there for your future logins.
At login, a challenge will be generated by the site and a notification will be sent to your device.
If approved, your device will sign the challenge, send it back to the site to be validated (because only your device should be able to sign the challenge with your private key), and login will proceed in your browser.
For example  [Twitter](https://blog.twitter.com/2013/improvements-to-login-verification-photos-and-more) implemented this type of system last year 

![https://i.imgsafe.org/828908dc9f.jpg]

>**Advantages and disadvantages**
**+** Doesn’t rely on an SMS every time you login.
**+** One login verification app can works for multiple accounts.
**-** If a crook gets hold of your private key, he can masquerade as you.
**-** If you are logging in and running the verification app on the same device, your private key is as much at risk as your password.

### True two-factor authentication
Earlier, we talked about 2FA and 2SV.
They are nearly the same, but note that the name 2SV carefully avoids stating that there are two separate factors in the system.
A proper “two factor” system, as the name suggests, needs two distinct authentication factors, not merely two steps.
So a web-based account that boosts security with one-time SMS codes is no longer strictly “two factor” if you run your browser and receive the SMS on the same computer or mobile device.
For something to be considered a true 2FA system, it needs two components that operate independently and avoid a common point of compromis
Common implementations of this are smart cards, login tokens such as the RSA SecurID, and Yubikeys.
Smartcards require a special reader to communicate with the chip on the card, but that chip acts as a tiny standalone computer with its own CPU, secure memory and cryptographic capability.
Yubikeys have their own cryptographic CPU, but communicate over USB by pretending to be a keyboard. When you plug in a Yubikey, it effectively “types in” a one-time login code that was calculated inside the key.
Tokens also have their own independent CPU, and generally don’t connect to your computer at all. Instead, they have a tiny LCD screen that displays your current login code.

![http://i.imgsafe.org/8a13748aed.png]

>**Advantages and disadvantages**
**+** Doesn’t rely on SMS.
**+** Doesn’t need a phone or tablet.
**+**  Is an independent security device that is always separate from your computer, phone or tablet.
**-** You may end up with a keyring full of tokens, one for each account.
**-** May not be available from the service provider for free.

### Now, consider the different methods of talk about how reliable two-factor authentication.
That's a good question. 2FA is not impenetrable to intruders, but it seriously complicates their lives. 
>"Using 2FA you exclude a large enough category of attacks", - said [Jim Fenton](http://www.cnet.com/news/two-factor-authentication-what-you-need-to-know-faq/) , director of security OneID. "To crack the two-factor authentication "bad guys" will steal your fingerprints or access to cookie-files or codes generated by the token".

The latter can be achieved, for example, by means of phishing or malicious software. There is another unusual way: access to the account of journalist Wired ([Matt Honnan](http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/)) attackers gained with the account recovery feature.
Account Recovery acts as a tool to circumvent two-factor authentication. Fenton, after the story of Matt personally created an account with Google, activated 2FA and pretended to be "lost" data entry. 
>"Account recovery took some time, but three days later I received a letter that 2FA has been disabled" - Fenton said. However, this problem has a solution. At least they are working on them.

However, there is an interesting point. It should be borne in mind that two-factor authentication for the authentication process adds an extra step, and, depending on the implementation, this may cause some difficulty with input (or call them), and serious problems.
For the most part, associated with this, depends on patience and the desire to improve the security of your account. Fenton made the following observation: 
>"2FA is a good thing but it can complicate the lives of users. Because it makes sense to introduce it only for those cases when the input is from an unknown device. "

Two-factor authentication is not a panacea, but it helps to significantly improve the security of your account with minimal effort. The complication of life of hackers - it is always good to use because 2FA is possible and necessary.

>## I think, adding the ability of using 2FA is very important for STEEMIT, this will help avoid many problems in the future and users will not worry about the safety of their funds.
```
Thanks for your attention, share your opinion in comments
``` 

# P.S. Use 2FA and be secure
👍  , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , and 6 others
properties (23)
authoron0tole
permlinkon-the-need-add-2fa-to-steemit
categorysecurity
json_metadata{"tags":["security","steemit","hack"],"links":["https://steemit.com/steemit/@vl248/steemit-com-is-to-be-hacked-security-advisory"]}
created2016-07-15 00:14:45
last_update2016-07-15 13:59:24
depth0
children18
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.268 HBD
curator_payout_value0.055 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length11,040
author_reputation951,865,524,120
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id114,014
net_rshares378,622,138,672
author_curate_reward""
vote details (70)
@ace108 · 
my hands up because I tend to agree.
properties (22)
authorace108
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160803t073627112z
categorysecurity
json_metadata{"tags":["security"]}
created2016-08-03 07:36:30
last_update2016-08-03 07:36:30
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length36
author_reputation1,235,810,290,256,439
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id576,086
net_rshares0
@dana-edwards · 
I don't think Steem needs this. Steemit already has multisig and 2FA only handles authorization. It would be better if Steemit made it easier to backup encrypted private keys or encrypted passwords on some distributed storage medium such as Storj.

But there probably wouldn't be much to gain from 2FA. Can you convince me why 2FA would do anything when multisig already exists?
👍  
properties (23)
authordana-edwards
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t175518249z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 17:55:18
last_update2016-07-15 17:55:18
depth1
children2
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length378
author_reputation353,623,611,191,427
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id122,656
net_rshares110,328,225
author_curate_reward""
vote details (1)
@on0tole · (edited)
Because once the keys are generated and stored on the user side, and likelihood of their compromising is much higher than the one-time code generated repeatedly by a certain algorithm.
I think that for secure all means are good, and service need provide users ability to use all of them, for example,  in realization one project we using digital pin+ master password, two-factor authentication and multisig, and it **really safe**
👍  
properties (23)
authoron0tole
permlinkre-dana-edwards-re-on0tole-on-the-need-add-2fa-to-steemit-20160715t201722370z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 20:17:24
last_update2016-07-15 20:17:54
depth2
children1
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length430
author_reputation951,865,524,120
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id124,751
net_rshares977,786,453
author_curate_reward""
vote details (1)
@on0tole · 
Not only me raised the issue, it is therefore relevant
https://steemit.com/steemit/@blakemiles84/steemit-needs-two-factor-authentication
https://steemit.com/proposals/@thebatchman/supposedly-hacked-accounts-on-steemit-time-for-a-new-proposal#@mixa/re-thebatchman-supposedly-hacked-accounts-on-steemit-time-for-a-new-proposal-20160714t160009976z
👍  ,
properties (23)
authoron0tole
permlinkre-on0tole-re-dana-edwards-re-on0tole-on-the-need-add-2fa-to-steemit-20160715t210929077z
categorysecurity
json_metadata{"tags":["security"],"links":["https://steemit.com/steemit/@blakemiles84/steemit-needs-two-factor-authentication"]}
created2016-07-15 21:09:33
last_update2016-07-15 21:09:33
depth3
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length344
author_reputation951,865,524,120
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id125,585
net_rshares1,235,491,907
author_curate_reward""
vote details (2)
@joachim · 
I'm all for security, but have you read [this](https://steemit.com/blockchain/@dan/steemit-releases-groundbreaking-account-recovery-solution) post yet?
properties (22)
authorjoachim
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160718t225631768z
categorysecurity
json_metadata{"tags":["security"],"links":["https://steemit.com/blockchain/@dan/steemit-releases-groundbreaking-account-recovery-solution"]}
created2016-07-18 22:56:33
last_update2016-07-18 22:56:33
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length151
author_reputation2,368,226,167,791
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id175,459
net_rshares0
@liwar · 
cool information! good job!
👍  ,
properties (23)
authorliwar
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t095153751z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 09:51:39
last_update2016-07-15 09:51:39
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length27
author_reputation44,653,187,231
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id117,040
net_rshares163,092,749
author_curate_reward""
vote details (2)
@marinabogumil · 
Good thougts!
properties (22)
authormarinabogumil
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t142731851z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 14:27:36
last_update2016-07-15 14:27:36
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length13
author_reputation18,714,483,502,974
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id119,849
net_rshares0
@maxkoud · 
Megapost!
👍  
properties (23)
authormaxkoud
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t061436971z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 06:14:36
last_update2016-07-15 06:14:36
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length9
author_reputation64,166,515,448
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id115,334
net_rshares46,140,042
author_curate_reward""
vote details (1)
@mixa · 
Good thanks
👍  ,
properties (23)
authormixa
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t122436646z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 12:24:36
last_update2016-07-15 12:24:36
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length11
author_reputation901,878,687,235
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id118,556
net_rshares1,947,452,412
author_curate_reward""
vote details (2)
@mysteem · 
I don't think it is necessary to have 2FA, it slows down the adoption.
👍  
properties (23)
authormysteem
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160716t045413545z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-16 04:54:12
last_update2016-07-16 04:54:12
depth1
children2
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length70
author_reputation1,275,238,810,965
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id130,616
net_rshares110,328,225
author_curate_reward""
vote details (1)
@on0tole · (edited)
slows down for 5 seconds, which are required to enter a code? that's funny))
let it remain as is, while cases of hacker attacks will only increase
properties (22)
authoron0tole
permlinkre-mysteem-re-on0tole-on-the-need-add-2fa-to-steemit-20160716t102756346z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-16 10:28:00
last_update2016-07-16 11:52:24
depth2
children1
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length146
author_reputation951,865,524,120
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id133,814
net_rshares0
@onealfa ·
$0.67
Fully agree with you @on0tole.
"slows down the adoption"   sounds like a joke
Do not make it  mandatory.  Leave as free option, as most sites do.
Someone  who has nothing to loose - will not use.
Others will do

# I need 2FA . Need badly.  Please give it to us
👍  
properties (23)
authoronealfa
permlinkre-on0tole-re-mysteem-re-on0tole-on-the-need-add-2fa-to-steemit-20170610t200335133z
categorysecurity
json_metadata{"tags":["security"],"users":["on0tole"],"app":"steemit/0.1"}
created2017-06-10 20:03:36
last_update2017-06-10 20:03:36
depth3
children0
last_payout2017-06-17 20:03:36
cashout_time1969-12-31 23:59:59
total_payout_value0.502 HBD
curator_payout_value0.167 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length260
author_reputation481,931,109,473,959
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id4,550,574
net_rshares210,103,072,406
author_curate_reward""
vote details (1)
@robrigo · 
Hello. 

Check out my guide for integrating LastPass with a free Duo account to secure your Steemit Account password: https://steemit.com/steemit/@robrigo/security-how-to-how-anyone-can-avoid-losing-access-to-their-steemit-account-with-lastpass-and-duo
properties (22)
authorrobrigo
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160723t144136375z
categorysecurity
json_metadata{"tags":["security"],"links":["https://steemit.com/steemit/@robrigo/security-how-to-how-anyone-can-avoid-losing-access-to-their-steemit-account-with-lastpass-and-duo"]}
created2016-07-23 14:41:36
last_update2016-07-23 14:41:36
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length252
author_reputation36,085,196,360,202
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id297,839
net_rshares0
@suicidemime · (edited)
Онотоле, а перевод будет?
👍  
properties (23)
authorsuicidemime
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t122113132z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 12:21:06
last_update2016-07-15 12:21:27
depth1
children3
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length25
author_reputation-34,752,377,613
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id118,513
net_rshares46,140,042
author_curate_reward""
vote details (1)
@on0tole · 
Если нужно, могу потом просто сделать на русском пост, но пока есть более приоритетные вещи именно для перевода на русский, те же ключи например
properties (22)
authoron0tole
permlinkre-suicidemime-re-on0tole-on-the-need-add-2fa-to-steemit-20160715t131002856z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 13:10:06
last_update2016-07-15 13:10:06
depth2
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length144
author_reputation951,865,524,120
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id119,026
net_rshares0
@vkoreshkoff · 
Привет STEEMers!

В свете вышеизложенного, с кибератаку на STEEM, когда около 260 учетные записи были скомпрометированы, и в дополнение к этому посту о безопасности и рисков
SteemIt.com должен быть взломан? Советы по безопасности я предлагаю обсудить такой важный момент, как двухфакторная аутентификация , также известный как двухэтапная проверка (2sv) и необходимость их добавления на STEEMIT.
Двухфакторная аутентификация или 2-факторную авторизацию - пользователь метод идентификации, в котором сервис, где двух различных типов проверки подлинности данных используются. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту аккаунта от несанкционированного доступа.
Двухфакторная проверка подлинности требует пользователей двумя из трех типов идентификационных данных.

Что-то, вы знаете;
То что у вас есть;
Что-то, присущее вам(биометрия)
![]

1-й - это пароли, ПИН-коды, секретные фразы, и так далее - то, что пользователь запоминает и вводит в систему при запросе.
3-й аутентификация с помощью биометрических устройств и методов проверки подлинности. Это может быть, например, лица, отпечатков пальцев или сетчатки сканеры.
Обсудим более подробно в 2-м пункте.

Это знак того, что это компактное устройство, которое находится в собственности пользователя. Самые простые маркеры не требуют физической tocomputer связи - они имеют дисплей, который показывает число, которое пользователь вводит в систему для входа - более сложные подключаются к компьютерам через USB и Bluetooth-интерфейс.
Сегодня, в качестве знака может выступать смартфоны, ведь они стали неотъемлемой частью нашей жизни. В данном случае, так называемый одноразовый пароль генерируется или с помощью специальных приложений (например, аутентификация Google, Authy? электронная.т.C), или приходит смс - самый простой и удобный способ, который некоторые эксперты оценивают как менее надежные.
Теоретически, что делает его гораздо труднее неправдами получить достаточно информации, чтобы взять на свой счет, потому что любой логин он крадет сегодня являются бесполезными завтра.

Проблема в том, что эти системы 2fa все работают немного по-другому, и все они имеют различные сильные и слабые стороны.
Этот пост поможет вам понять эти различия.

Одноразовые пароли через SMS

Это где вам будет предложено ввести дополнительный цифровой код после аутентификации имя пользователя и пароль.
Отправили код на вашем мобильном устройстве в виде текстового сообщения (SMS).
После того как полученный код вы вводите его в поле и логин доходов.
Важно отметить, что специально для этого типа двухфакторной проверки подлинности, что SMS-коды не всегда работают для всех.
Сервер не имеет ваша страна в списке поддерживаемых регионов; ваш мобильный оператор не может доставить сообщения; или вы могли бы ненадежные покрытия мобильной сети.
По понятным причинам это не будет работать со стационарным телефоном, но там немного другая версия, что позвонит вам и прочитать код.

![]

Преимущества и недостатки
+ Код каждый раз разные, так что если ваш обычный пароль взломан или украден, он не мошенник.
+ Код привязывается к вашему номеру телефона, который не может быть изменен вредоносных программ на вашем компьютере.
- Если ваша Мобильная Сеть не работает или вы находитесь вне зоны покрытия, вы можете не получить код.
- Мошенники могут в порт вашего телефона (также известный как SIM-карты поменять) через сообщника в магазин мобильных телефонов, и получать звонки и сообщения, пока вы не заметите свой собственный телефон разрядился.
- Если вы входите в систему и получения СМС на одном устройстве (например, планшета или смартфона), Ваш логин подвержены такому же риску, как пароль.

Приложения Проверки Подлинности

Приложения проверки подлинности выполняют ту же вид услуг, как SMS 2-факторную авторизацию, но вместо коды входа направляется к вам, они генерируются локально на вашем смартфоне или планшете.
Этот тип проверки подлинности использует криптографические алгоритмы, основанные на временных одноразовых паролей (аналогичного пароля).
Основная функциональность заключается в том, что секрет отправной ключ или семян генерируется и хранится на сервере, а потом вскарабкались криптографически с текущего времени и даты когда вы входите в систему. Это производит такое время-определенный код, как правило, действительна в течение 30 или 60 секунд.
Когда вы создали свой аккаунт, это семя отправляется к вам (например, используя QR-код) и импортировать в приложение для проверки подлинности вы используете.
Пока дату и время на вашем устройстве в течение 30 или 60 секунд, и семена были импортированы правильно, приложение будет генерировать коды для входа, которые соответствуют показателям, рассчитанным на сервере.
Даже если мошенники запишите свои последние 10, 50 или 10 000 паролей, нет никакого способа, чтобы восстановить последовательность и понять, что будет дальше, если они вам удержать семя.
Существует множество реализаций этого типа сервиса, но Google Аутентификатор является, пожалуй, одним из самых известных версий.

![]

Преимущества и недостатки
+ Не полагаться на SMS каждый раз, когда вы логин – нужно только быть ОНЛАЙН, когда вы настроите учетную запись, так что вы можете получить семя.
+ Один аутентификатор приложение может работать с несколькими аккаунтами.
- Если мошенник завладеет семян (либо с вашего устройства или взлома сервера), он может вычислить любой будущий логин.
- Если вы входите в систему аутентификации приложение на одном устройстве, аутентификатора коды подвержены такому же риску, как пароль.

Логин проверки

Логин проверки еще одна вариация на темы выше.
Теперь, вместо того, чтобы ввести код, уведомление для входа будут отправлены на ваше мобильное устройство. Как только это будет одобрено, вы будете подписаны на сайте.
Этот процесс не использует секретный ключ, или семя, которое должно быть поделено между устройством и сервером.
Вместо этого он использует криптографию с открытым ключом для подтверждения вашей личности.
Закрытый ключ генерируется и хранится в приложение на вашем устройстве. Открытый ключ отправляется на сервер и хранится там для будущего входа.
При входе в систему, вызов будет сгенерирован сайтом и уведомление будет отправлено на устройство.
Если утверждается, устройство будет подписать вызов, отправить его обратно на сайт для проверки (потому что только ваши устройства могут входить вызов с закрытым ключом), и логин будет проходить в вашем браузере.
Например, в Твиттере реализована система такого типа в прошлом году

![]

Преимущества и недостатки
+ Не полагаться на SMS каждый раз, когда вы входите.
+ Один логин проверки приложение может работать с несколькими аккаунтами.
- Если мошенник завладеет вашим закрытым ключом, он сможет маскироваться под вас.
- Если вы входите в систему проверки приложений на одном устройстве, ваш закрытый ключ находится под угрозой в качестве пароля.

Правда двухфакторной аутентификации

Ранее мы говорили о 2fa и 2СV.
Они практически одинаковы, но обратите внимание, что имя 2СV тщательно избегает о том, что есть две отдельные факторы в системе.
Правильное “два фактора” системы, как следует из названия, должен два различных фактора аутентификации, а не только в двух шагах.
Итак, веб-счета, что повышает безопасность с помощью одноразовых SMS-кодов больше не строго “два фактора” если вы запустите Ваш браузер и получить в sms на тот же компьютер или мобильное устройство.
На то, чтобы считаться истинным 2fa системы., он должен два компонента, которые работают самостоятельно и избежать единой точки компромисса
Общих реализаций этого являются смарт-карты, токены авторизации, такие как алгоритм RSA securid и Yubikeys.
Смарт-карты требуют специального считывающего устройства, чтобы общаться с чипа на карте, но этот чип действует как крошечный самостоятельный компьютер со своим процессором, защищенную память и возможности шифрования.
Yubikeys имеют свой собственный криптографический процессор, но общаться по USB, притворяясь клавиатурой. Когда вы подключите устройство yubikey и укрепите дальше, это эффективно “типы” одноразовым кодом для входа, который был вычислен внутри ключа.
Маркеры также имеют свой собственный процессор, и вообще не подключиться к вашему компьютеру на все. Вместо этого, они имеют крошечные ЖК-экран, который отображает ваш текущий код для входа.

![]

Преимущества и недостатки
+ Не полагаться на SMS.
+ Не нужен телефон или планшет.
+ - Независимое безопасности устройства, что всегда отдельно от компьютера, телефона или планшета.
- Вы можете в конечном итоге с брелока полный маркеров, по одному для каждой учетной записи.
- Не могут быть доступны от поставщика услуг бесплатно.

Теперь рассмотрим различные способы говорить о том, насколько надежной двухфакторной аутентификации.

Это хороший вопрос. 2-факторную авторизацию не является непроницаемым для злоумышленников, но это серьезно осложняет им жизнь.

"Через 2-факторную авторизацию исключить достаточно большой категории обстрелов", - сказал Джим Фентон , директор по безопасности OneID. "Взломать двухфакторную аутентификацию, "плохие парни" будут украсть ваши отпечатки пальцев и доступ к куки-файлов или кодов, генерируемых маркер".

Последнее может быть достигнуто, например, с помощью фишинга или вредоносного программного обеспечения. Существует еще один необычный способ: доступ к учетной записи журналиста проводной (Матф если разлука) нападавшие получили с учетом восстановления функции.
Восстановление учетной записи действует как инструмент для обхода двухфакторной аутентификации. Фентон, после истории с Мэттом лично создал аккаунт в Google, активирован 2-факторную авторизацию и прикинулся "потеряли" запись данных.

"Восстановление учетной записи потребовалось некоторое время, но через три дня я получил письмо, что 2-факторную авторизацию был отключен", - сказал Фентон. Однако у этой проблемы есть решение. По крайней мере они на них работают.

Однако, есть интересный момент. Следует иметь в виду, что двухфакторная проверка подлинности для проверки подлинности добавляет дополнительный шаг, и, в зависимости от реализации, это может вызвать некоторые трудности с входным сигналом (или позвонить им), и серьезные проблемы.
По большей части, связанные с этим, зависит от терпения и желания улучшить безопасность Вашего аккаунта. Фентон сделал следующее замечание:

"2-факторную авторизацию-это хорошо, но это может усложнить жизнь пользователям. Потому что имеет смысл вводить только для тех случаев, когда входной сигнал от неизвестного устройства. "

Двухфакторная аутентификация-это не панацея, но помогает существенно повысить безопасность Вашей учетной записи с минимальными усилиями. Усложнение жизни хакеров - это всегда хорошо, чтобы использовать, потому что 2-факторную авторизацию можно и нужно.

Я думаю, добавив возможность использовать 2-факторную авторизацию очень важно для STEEMIT, это поможет избежать многих проблем в будущем и пользователи не будут беспокоиться о безопасности своих средств.

Спасибо за внимание, поделитесь своим мнением в комментариях 
П. С. использовать 2-факторную авторизацию и безопасную
👍  , , ,
properties (23)
authorvkoreshkoff
permlinkre-suicidemime-re-on0tole-on-the-need-add-2fa-to-steemit-20160715t141105400z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 14:08:30
last_update2016-07-15 14:08:30
depth2
children1
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length11,065
author_reputation216,392,531,645
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id119,665
net_rshares714,930,171
author_curate_reward""
vote details (4)
@on0tole · 
Google translate looks terrible
👍  ,
properties (23)
authoron0tole
permlinkre-vkoreshkoff-re-suicidemime-re-on0tole-on-the-need-add-2fa-to-steemit-20160715t142809010z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 14:28:12
last_update2016-07-15 14:28:12
depth3
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length31
author_reputation951,865,524,120
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id119,856
net_rshares155,181,990
author_curate_reward""
vote details (2)
@vl248 · 
Very deep and good research! Useful
👍  
properties (23)
authorvl248
permlinkre-on0tole-on-the-need-add-2fa-to-steemit-20160715t055516959z
categorysecurity
json_metadata{"tags":["security"]}
created2016-07-15 05:55:21
last_update2016-07-15 05:55:21
depth1
children0
last_payout2016-08-23 14:42:06
cashout_time1969-12-31 23:59:59
total_payout_value0.000 HBD
curator_payout_value0.000 HBD
pending_payout_value0.000 HBD
promoted0.000 HBD
body_length35
author_reputation1,516,425,134,719
root_title"STEEMIT needs 2FA"
beneficiaries[]
max_accepted_payout1,000,000.000 HBD
percent_hbd10,000
post_id115,144
net_rshares46,140,042
author_curate_reward""
vote details (1)
Help/Feedback