lexx1191, что проверил?

Добавлено спустя 19 минут 56 секунд:
mag_ai, если смотреть в сторону, то обычно шпионскую игру и затевают. Важный критерий угона. Не спалить себя. Если доходит дело до троянов, то не будут палить свои намерения до последнего. Очень глупо палиться на обычном желании угнать акк, когда троян ПК делает дела. Обычно все проще. Данные аккаунтов просто продают. А те кто купил уже в свою очередь копошатся с двуфакторной защитой.

AnimeSlave я вам еще раз намекаю чтоб обойти такой 30 минутный имеил нужно крайне много и все равно все упрется в почту так какой смысл этого имейла если достаточно взломать почту? и если уже взломали почту то какая разница столько этот имеил живет? хоть год это ничего не поменяет.

Крайне много «Чего»? Времени? Сил? Попыток? Годами уводили аккаунты. Вопрос не в потраченных времени и средствах, а в конечной выгоде. Пока последнее будет стоит больше чем первое, первое будет тратиться. Для кого-то этот труд в конечном итоге окупается. А кто-то не видит в нем должной выгоды. В другой стороны, кто-то не видит в этой новости опасности, а кто-то (люди с редита) увидели в этом возможную опасность, которую не стоит игнорировать и необходимо обезопасить.

AnimeSlave крайне много - всего... стараться ради чего? если просто можно постаринке - спер почту учетка твоя? на кой черт усложнять себе жизнь перехватом кучи данных когда по сути все равно нужна почта и все? сейчас я не представляю ни одну адекватную атаку (точней взлом) на учетную запись потому что имеил (код) активен 30 минут да хоть час... если мне кто нибудь последовательно объяснит как произвести с его помощью угон учетной записи то я еще может быть поверю что это актуально, а так исследование по безопасности "хм что бы придумать... а вот ваши имейлы слишком не защищены" аплодируем стоя.

mag_ai, по старинке брутфорсили пароли, а не заморачивались учеткой почты. Когда не было двуфакторной аутентификации и было много свободного времени. А сейчас много где можно встретить привязку к другим вещам для оповещения проверки. К соцсетям, к почте, к телефону, к генератору кодов. Все эти вещи преследуют только одну цель, не спасти учетку от взлома, а усложнить взлом. Чтобы у потенциального взломщика заняло много времени и сил для получения доступа. А у пользователя было время принять меры. И почему именно вы считаете получение доступа к почте эдаким ултимативным решением. Ведь к учетке почты тоже нужно сначала получить доступ. И это тоже может занять время и силы. И у учетной записи почты тоже могут быть «привязки». Которые преследуют тоже самое. Если есть возможность защитить аккаунт от потенциальной опасности, глупо этого не делать. Современные реалии изменили подходы к взломам. Ломается первым всегда самое слабое звено. Появление всяческих привязок с паролями отсеяло школоту из области взлома, но это не значит что там нет профи, которые адаптируются.

Ну что ещё можно было ожидать от создателей фортнайта.

AnimeSlave вы мне не рассказывайте что такое перебор паролей вы конкретно мне расскажите как вот в такой ситуации как в эпиках угнать акк и все больше мне информации не нужно.


это говно усложнит жизнь не взломщику, а тебе. я еще могу согласится в удобстве получения кода на телефон, но не почту регистрации. вообще для этого надо использовать специальный крипто ключ, а не вот это все - любое упрощение защиты ведет к ее дырявости. верующие пользователи что простенький код на имеил спасет их от взлома дураки.

Утечка утечкой, а игры последние всё равно обходят стим

генерацию токена

mag_ai, фишинговая страница как один из самых простейших примеров. Страница мимикрирует как оригинальная страница входа. Она перенаправляет все запросы в оригинальную и действительно авторизует пользователя. Но при этом все данные есть у злоумышленника и у него будет 30 минут для того чтобы самому авторизоваться на своем месте, так как код не погасился и валиден. И делать с аккаунтом все что захочет. А для системы это будет как действия обычного пользователя, как бы он сам все меняет.

Добавлено спустя 14 минут 51 секунду:
lexx1191, я проверил, специально для тебя. В течении 5 минут пытался авторизоваться 3 раза. Все три раза steam прислал новые коды и все предыдущие не были валидными.

насколько надо быть тупым то... тем более кто будет делать авторизацию в браузере когда нужно авторизация в лаунчере... вообщем еще тот развод для дурачков у которых стоит двухфакторка)))

Это не уязвимость.
Вообще об уязвимостях можно говорить, когда у вас есть модель нарушителя.

В известных моделях угона аккаунтов данное решение не создает дополнительной поверхности атаки, зато исключает возможность получения трех разных кодов при повторном запросе и непоняток с тем, а что же вводить.

Поясню: Угон игровых аккаунтов осуществляется с помощью закупки дампов паролей (топ 50 миллионов можно скачать и бесплатно) и прогона пар логин-пароль через сервис авторизации. Время жизни 2FA токена никак не влияет на успешность данной атаки.



Ошибочно. Email-2FA не защищает от такого типа нарушителя. У кейлоггера уже с 95%+ вероятностью есть и пароль от почты.

Также, время жизни 2FA токена никак не влияет на успешность такого типа нарушителя. Нарушителю, имеющему доступ к вашему браузеру, достаточно и секунд для ручного ее осуществления. Даже невозможность переиспользования токена не защищает от данной атаки. Если это MITM, то вы вообще никуда заходить не будете, зайдет он, а вам перенаправит копию страницы.

В общем, далекие от ИБ люди придумывают несуществующие угрозы и воображают, как их от них защищают или не защищают. Реально же дырка в их безопасности - в переиспользуемом на 10 сайтов или словарном пароле, и email-2FA не позволяет в лоб по-фермерски собирать весь урожай после каждой утечки.

Угон защищенных email-2FA аккаунтов осуществляется в основном через угон email. При перехваченном же браузере не поможет ничего.
Время жизни токена влияет разве что на угон другом Васей, который сзади подглядывает за нажатиями клавиш, только аккаунты-то угоняют китайские голд-селлеры, а не друг Вася.

Вряд ли... Уверен, что тырят акки в основном с отключенной "четверной защитой, аутентификацией и прочей лабудой".