Resultados 1 a 7 de 7

Tópico: Atualização de Token

  1. #1
    Banido Avatar de Alexander
    Data de Ingresso
    Nov, 2017
    Posts
    145
    Reputação
    0

    Padrão Atualização de Token

    Olá @rafael, um dos grandes problemas hoje em dia creio para muitos é a atualização do qrcode depois de um tempo no token, exemplo:

    Troquei de aparelho e preciso atualizar o código ou até mesmo queria atualizar por segurança e qundo fazemos isso temos que passar pelo processo todo denovo dos 7 dias.

    Uma sugestão para fazer isso com segurança e não encomodar com os 7 dias são:

    Opcao 1 - Atualizar código token, nessa opção a pessoa loga no site digita número pessoal, o sistema envia um e-mail a pessoa confirma e é gerado um novo token para ela.

    Opção 2 - após desativar o token a pessoa tem ate 1hr para ativar denovo e manter os benefícios.

    Nas duas opções o problema seria resolvido.

    Olhe com atenção, obrigado!
    Última edição por Alexander; 02/03/2018 às 11:36. Razão: Celular

  2. #2
    Phoenix of Darkness Avatar de Houniet
    Data de Ingresso
    Nov, 2013
    Localização
    青岸渡寺
    Posts
    373
    Reputação
    11

    Padrão Re: Atualização de Token

    Boa tarde.

    Ainda no assunto de token, gostaria se ao atualizar a estrutura do funcionamento, fosse disponibilizada também a chave de acesso de forma escrita além da imagem código QR. A razão seria a comodidade, pois saber a chave de acesso para alguns não é tão complicado se com o código QR em mãos. Informar a chave seria só a eliminação de uma etapa.
    E o motivo de disponibilizar, seria para poder inserir o código manualmente em aplicativos de autenticação existentes no Windows.

    Por exemplo, uso o autenticador da Oracle em meu computador. O carregamento da interface é bem mais rápida que as dos outros que testei no celular e computador. Nele, me é dada a opção de escanear o código QR ou digitar a chave manualmente. Como não possuo uma webcam, digitei a chave manualmente para utilizar.
    Comodidade, mais uma vez uso da palavra. O aplicativo no computador me permite copiar o código para área de transferência e economizar algum tempo no acesso da conta. Creio que algo assim seja do agrado de uma parcela de pessoas.
    Última edição por Houniet; 02/03/2018 às 14:22. Razão: Texto desorganizado.
    "Aquele que luta com monstros deve acautelar-se para não tornar-se também um monstro.
    Se olhares demasiado tempo dentro de um abismo, o abismo acabará por olhar dentro de ti."
    Friedrich Nietzsche
    Crazyfists
    Portishead
    MotleyCrue BloodBath
    •───────────※Visitem a minha loja※──────────•

  3. #3
    Administrador Avatar de rafael
    Data de Ingresso
    Jan, 2010
    Localização
    Brasil
    Posts
    8.232
    Reputação
    10

    Padrão Re: Atualização de Token

    Citação Postado originalmente por Alexander Ver Post
    Olá @rafael, um dos grandes problemas hoje em dia creio para muitos é a atualização do qrcode depois de um tempo no token, exemplo:

    Troquei de aparelho e preciso atualizar o código ou até mesmo queria atualizar por segurança e qundo fazemos isso temos que passar pelo processo todo denovo dos 7 dias.

    Uma sugestão para fazer isso com segurança e não encomodar com os 7 dias são:

    Opcao 1 - Atualizar código token, nessa opção a pessoa loga no site digita número pessoal, o sistema envia um e-mail a pessoa confirma e é gerado um novo token para ela.

    Opção 2 - após desativar o token a pessoa tem ate 1hr para ativar denovo e manter os benefícios.

    Nas duas opções o problema seria resolvido.

    Olhe com atenção, obrigado!
    Reutilizar o código não é uma boa idéia.

    Se você perdeu ou trocou de celular, o ideal é gerar um novo código para ter maior segurança.

    Agora atualizar o token, teria que ser muito bem pensado para evitar abrir alguma brecha.
    Vou considerar algo...

    Citação Postado originalmente por Houniet Ver Post
    Boa tarde.

    Ainda no assunto de token, gostaria se ao atualizar a estrutura do funcionamento, fosse disponibilizada também a chave de acesso de forma escrita além da imagem código QR. A razão seria a comodidade, pois saber a chave de acesso para alguns não é tão complicado se com o código QR em mãos. Informar a chave seria só a eliminação de uma etapa.
    E o motivo de disponibilizar, seria para poder inserir o código manualmente em aplicativos de autenticação existentes no Windows.

    Por exemplo, uso o autenticador da Oracle em meu computador. O carregamento da interface é bem mais rápida que as dos outros que testei no celular e computador. Nele, me é dada a opção de escanear o código QR ou digitar a chave manualmente. Como não possuo uma webcam, digitei a chave manualmente para utilizar.
    Comodidade, mais uma vez uso da palavra. O aplicativo no computador me permite copiar o código para área de transferência e economizar algum tempo no acesso da conta. Creio que algo assim seja do agrado de uma parcela de pessoas.
    Se você realmente quer a chave, basta olhar no código fonte de página enquanto o QR Code é exibido.

    Se o seu computador estiver comprometido por um keylogger, provavelmente ele estará copiando seus códigos junto com o restante que você digita.
    Talvez seja ó uma questão de adaptar o vírus para roubar as chaves de autenticação dos programas de TOTP mais populares. Isso, claro, se o vírus já não fizer.

    O objetivo do 2FA é justamente aumentar a segurança.
    Quando você usa um dispositivo externo para gerar o token, esse tipo de ataque fica mais difícil de acontecer.

    Basicamente é aquela velha história da gali-nha e colocar todos os ovos na mesma cesta.

    []'s

    Rato
    Não sou eu quem responde o e-mail do suporte

  4. #4
    Phoenix of Darkness Avatar de Houniet
    Data de Ingresso
    Nov, 2013
    Localização
    青岸渡寺
    Posts
    373
    Reputação
    11

    Padrão Re: Atualização de Token

    Boa noite.
    Citação Postado originalmente por rafael Ver Post
    [...]
    Se você realmente quer a chave, basta olhar no código fonte de página enquanto o QR Code é exibido.

    Se o seu computador estiver comprometido por um keylogger, provavelmente ele estará copiando seus códigos junto com o restante que você digita.
    Talvez seja ó uma questão de adaptar o vírus para roubar as chaves de autenticação dos programas de TOTP mais populares. Isso, claro, se o vírus já não fizer.

    O objetivo do 2FA é justamente aumentar a segurança.
    Quando você usa um dispositivo externo para gerar o token, esse tipo de ataque fica mais difícil de acontecer.

    Basicamente é aquela velha história da gali-nha e colocar todos os ovos na mesma cesta.

    []'s
    Eu realmente não prestei atenção no código fonte da página, a etapa que usei não necessitou visualizar linhas desnecessárias.
    Ciente que a autenticação de dois fatores é um mecanismo para buscar aumentar a segurança. Ciente também de que:
    6.9 - A segurança do lado do usuário quem faz é ele mesmo.
    https://forum.mucabrasil.com.br/threads/2

    De todo modo, se o meu computador estiver comprometido por um keylogger, provavelmente eu deveria me preocupar mais é com as minhas contas em banco. Mas digamos que eu me preocupe mais com a minha conta do MU, ao qual a segurança estará mais do que comprometida. Não a partir do ponto que o código do token poderá ser copiado, mas a partir do momento que inseri meu usuário e senha da conta de e-mail, no site do provedor, para confirmar a ativação do token. Perdi meu e-mail? Perdi a minha conta e tudo nela.
    Nesse caso, não faz diferença deixar a chave e o cofre no mesmo lugar desde o começo.

    A possibilidade de o meu computador possuir keylogger foi usada meramente para exemplificar, posso garantir que nele não há.
    Posso também garantir que não faço parte do grupo de risco que procura por programas duvidosos para jogos, por exemplo o MU.
    Posso garantir também que nunca passei, recebi ou receberei nenhum keylogger por esse motivo.
    Assim como também posso garantir que não me preocupo nem um pouco com as pessoas que por ventura tenham o acesso à suas contas restringidas devido ao motivo de buscar por programas escusos para obtenção de vantagens.
    "Aquele que luta com monstros deve acautelar-se para não tornar-se também um monstro.
    Se olhares demasiado tempo dentro de um abismo, o abismo acabará por olhar dentro de ti."
    Friedrich Nietzsche
    Crazyfists
    Portishead
    MotleyCrue BloodBath
    •───────────※Visitem a minha loja※──────────•

  5. #5
    Phoenix of Darkness Avatar de JonSnow
    Data de Ingresso
    Aug, 2015
    Posts
    332
    Reputação
    9

    Padrão Re: Atualização de Token

    @rafael seria possível então diminuir os dias dos benefícios após pedir o token?

    bau com 1 segundo é vida, ter que esperar 1 semana é sad :/

  6. #6
    Administrador Avatar de rafael
    Data de Ingresso
    Jan, 2010
    Localização
    Brasil
    Posts
    8.232
    Reputação
    10

    Padrão Re: Atualização de Token

    Citação Postado originalmente por Houniet Ver Post
    Boa noite.

    Eu realmente não prestei atenção no código fonte da página, a etapa que usei não necessitou visualizar linhas desnecessárias.
    Ciente que a autenticação de dois fatores é um mecanismo para buscar aumentar a segurança. Ciente também de que:

    https://forum.mucabrasil.com.br/threads/2

    De todo modo, se o meu computador estiver comprometido por um keylogger, provavelmente eu deveria me preocupar mais é com as minhas contas em banco. Mas digamos que eu me preocupe mais com a minha conta do MU, ao qual a segurança estará mais do que comprometida. Não a partir do ponto que o código do token poderá ser copiado, mas a partir do momento que inseri meu usuário e senha da conta de e-mail, no site do provedor, para confirmar a ativação do token. Perdi meu e-mail? Perdi a minha conta e tudo nela.
    Nesse caso, não faz diferença deixar a chave e o cofre no mesmo lugar desde o começo.

    A possibilidade de o meu computador possuir keylogger foi usada meramente para exemplificar, posso garantir que nele não há.
    Posso também garantir que não faço parte do grupo de risco que procura por programas duvidosos para jogos, por exemplo o MU.
    Posso garantir também que nunca passei, recebi ou receberei nenhum keylogger por esse motivo.
    Assim como também posso garantir que não me preocupo nem um pouco com as pessoas que por ventura tenham o acesso à suas contas restringidas devido ao motivo de buscar por programas escusos para obtenção de vantagens.
    Pelo seu tom eu acho que você se sentiu um pouco ressentido com a minha resposta...

    A "chave de acesso" eu realmente não deixei explicitamente visível por vontade própria. A minha intenção/preferência é que as pessoas usem o celular pra ativar.
    Obviamente é impossível controlar tal cenário e por isso se usuários mais avançados quiserem se aventurar, podem fazer como eu falei para você: basta olhar o código fonte da página referente a imagem do qr code.

    A dica que eu passei se aplica em geral, seja para MU, banco ou qualquer outra coisa que contenha informações sensíveis.
    É melhor prevenir do que remediar, não acha?

    Se você é um usuário avançado, sabia que nem todo usuário possui o mesmo conhecimento técnico.

    Não a partir do ponto que o código do token poderá ser copiado, mas a partir do momento que inseri meu usuário e senha da conta de e-mail, no site do provedor, para confirmar a ativação do token. Perdi meu e-mail? Perdi a minha conta e tudo nela.
    Nesse caso, não faz diferença deixar a chave e o cofre no mesmo lugar desde o começo.
    Não necessariamente, basta você ter 2FA no seu email também que ajuda a mitigar esse problema.

    A possibilidade de o meu computador possuir keylogger foi usada meramente para exemplificar, posso garantir que nele não há.
    Posso também garantir que não faço parte do grupo de risco que procura por programas duvidosos para jogos, por exemplo o MU.
    Posso garantir também que nunca passei, recebi ou receberei nenhum keylogger por esse motivo.
    Assim como também posso garantir que não me preocupo nem um pouco com as pessoas que por ventura tenham o acesso à suas contas restringidas devido ao motivo de buscar por programas escusos para obtenção de vantagens.
    Sim, foi um mero exemplo.
    Eu também não posso me responsabilizar por quem não se preocupa com a própria segurança.

    Justamente por isso, deixei as dicas aqui no fórum de modo geral para quem possa ler no futuro.

    Fique tranquilo que a resposta não foi nada diretamente direcionada à você. Trata-se apenas de uma orientação geral.

    []'s

    Rato
    Não sou eu quem responde o e-mail do suporte

  7. #7
    Phoenix of Darkness Avatar de Houniet
    Data de Ingresso
    Nov, 2013
    Localização
    青岸渡寺
    Posts
    373
    Reputação
    11

    Padrão Re: Atualização de Token

    Boa noite.
    Citação Postado originalmente por rafael Ver Post
    Pelo seu tom eu acho que você se sentiu um pouco ressentido com a minha resposta...
    De forma alguma, é um equívoco muito comum ocasionado pelo meu modo áspero e comumente seco de escrever.
    A "chave de acesso" eu realmente não deixei explicitamente visível por vontade própria. A minha intenção/preferência é que as pessoas usem o celular pra ativar.
    Obviamente é impossível controlar tal cenário e por isso se usuários mais avançados quiserem se aventurar, podem fazer como eu falei para você: basta olhar o código fonte da página referente a imagem do qr code.
    Eu entendi a intenção. Não é visando a comodidade, mas sim um possível nível a mais de segurança.
    Nesse caso eu prefiro a comodidade por razões óbvias. Quando vou jogar, sempre sei onde está o computador.
    Além de é claro a responsabilidade da segurança do meu lado enquanto usuário ser única e exclusivamente minha.
    A dica que eu passei se aplica em geral, seja para MU, banco ou qualquer outra coisa que contenha informações sensíveis.
    É melhor prevenir do que remediar, não acha?
    Fostes cirúrgico. Concordo plenamente, é melhor prevenir. Tanto que as minhas contas em banco sequer são autorizadas a efetuarem transações por meio online, mesmo sendo seguro, o exemplo utilizado foi fictício visando continuidade do cenário sugerido.
    Se você é um usuário avançado, sabia que nem todo usuário possui o mesmo conhecimento técnico.
    Sim, é um motivo do pedido. Mostrar aos demais informações úteis que não estão facilmente acessíveis para eles.

    Não necessariamente, basta você ter 2FA no seu email também que ajuda a mitigar esse problema.
    Foi um mero exemplo, visando uma teórica maioria, que definitivamente não usa 2FA pois não há bonificações em recursos nesse caso. (e-mail)

    Sim, foi um mero exemplo.
    Eu também não posso me responsabilizar por quem não se preocupa com a própria segurança.

    Justamente por isso, deixei as dicas aqui no fórum de modo geral para quem possa ler no futuro.

    Fique tranquilo que a resposta não foi nada diretamente direcionada à você. Trata-se apenas de uma orientação geral.

    []'s


    E de fato não é sua responsabilidade se indivíduo A, B ou C pega um keylogger.
    Principalmente se este for proveniente da procura por programas duvidosos com intuito de trapaças.
    Vejo até como uma seleção natural, deixaria o servidor mais limpo.
    "Aquele que luta com monstros deve acautelar-se para não tornar-se também um monstro.
    Se olhares demasiado tempo dentro de um abismo, o abismo acabará por olhar dentro de ti."
    Friedrich Nietzsche
    Crazyfists
    Portishead
    MotleyCrue BloodBath
    •───────────※Visitem a minha loja※──────────•

Tópicos Similares

  1. token!
    Por gustavo123456 no fórum Problemas
    Respostas: 3
    Último Post: 07/02/2018, 23:45
  2. Token
    Por Musketeer_ no fórum Dúvidas
    Respostas: 6
    Último Post: 02/11/2017, 17:24
  3. Código Token
    Por HardCore no fórum Problemas
    Respostas: 9
    Último Post: 14/09/2017, 02:36
  4. Senha por token
    Por MateusLimaSantos no fórum Problemas
    Respostas: 1
    Último Post: 25/10/2016, 20:10
  5. senha por token
    Por Sr_DoRey no fórum Dúvidas
    Respostas: 4
    Último Post: 08/01/2016, 12:51

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •