Is e teachdaireachdan SMS an dòigh dearbhaidh dà-fhactaraidh as mòr-chòrdte (2FA). Tha e air a chleachdadh le bancaichean, eileagtronaigeach agus crypto wallets, puist-d agus a h-uile seòrsa de sheirbheisean; .
Tha mi tàmailteach leis an t-suidheachadh seo, oir tha an dòigh seo mì-shàbhailte. Thòisich ath-shònrachadh àireamh bho aon chairt SIM gu fear eile aig toiseach na h-ùine gluasadach - seo mar a thèid an àireamh ath-nuadhachadh nuair a thèid cairt SIM a chall. Thuig “eòlaichean goid airgead didseatach” gum faodar an roghainn “ath-sgrìobh cairt SIM” a chleachdadh ann an sgeamaichean meallta. Às deidh na h-uile, faodaidh an neach a bhios a ’cumail smachd air a’ chairt SIM smachd a chumail air bancaireachd air-loidhne dhaoine eile, wallets dealanach, agus eadhon airgead didseatach. Agus faodaidh tu seilbh a ghabhail air àireamh neach eile le bhith a’ brìbeadh neach-obrach cian-chonaltraidh, a’ cleachdadh mealltaireachd no sgrìobhainnean cruthaichte.
Chaidh na mìltean de thursan de iomlaid SIM a lorg, mar a chanar ris an sgeama foill seo. Tha meud na mòr-thubaist a’ nochdadh gum bi an saoghal a’ trèigsinn 2FA a dh’ aithghearr tro SMS. Ach chan eil seo a 'tachairt - ann an tha iad ag ràdh nach e luchd-cleachdaidh a thaghas an dòigh 2FA, ach luchd-seilbh seirbheis.
Tha sinn a’ moladh an dòigh thèarainte 2FA a chleachdadh le lìbhrigeadh còdan aon-ùine tron blockchain, agus innsidh sinn dhut mar as urrainn do shealbhadair na seirbheis a cheangal.
Tha an àireamh a 'dol gu milleanan
Ann an 2019, chaidh foill suaip SIM suas 63% a rèir poileis Lunnainn, agus b’ e “bile cuibheasach” neach-ionnsaigh 4,000 GBP. Cha do lorg mi staitistig sam bith anns an Ruis, ach tha mi a’ gabhail ris gu bheil iad eadhon nas miosa.
Bithear a’ cleachdadh iomlaid SIM gus cunntasan Twitter, Instagram, Facebook, VK, cunntasan banca, agus o chionn ghoirid eadhon cryptocurrencies a ghoid - a rèir Bitcoin neach-tionnsgain Joby Weeks. Tha cùisean àrd-ìomhaigh de mhèirle cryptocurrency a’ cleachdadh suaipeadh SIM air a bhith a’ nochdadh anns na meadhanan bho 2016; Chunnaic 2019 fìor stùc.
Anns a 'Chèitean, chuir Oifis Neach-lagha na SA airson Sgìre Taobh an Ear Michigan naoinear dhaoine òga eadar 19 agus 26: thathas a’ creidsinn gu bheil iad nam pàirt de bhuidheann hacker air a bheil “A’ Choimhearsnachd”. Tha an gang fo chasaid seachd ionnsaighean suaip, agus mar thoradh air an sin ghoid na hackers airgead didseatach luach còrr air $ 2,4 millean. Agus sa Ghiblean, fhuair oileanach California Joel Ortiz 10 bliadhna sa phrìosan airson iomlaid SIM; bha an riochdachadh aige $7.5 millean ann an cryptocurrencies.
Dealbh de Joel Ortiz aig co-labhairt naidheachd oilthigh. Dà bhliadhna às deidh sin thèid a chumail an grèim airson foill saidhbear.
Mar a tha iomlaid SIM ag obair
Tha “iomlaid” a’ ciallachadh iomlaid. Anns a h-uile sgeama den leithid, bidh eucoirich a’ gabhail thairis àireamh fòn an neach-fulaing, mar as trice tro bhith ag ath-sgaoileadh cairt SIM, agus ga chleachdadh gus am facal-faire ath-shuidheachadh. Tha suaip àbhaisteach SIM ann an teòiridh a’ coimhead mar seo:
- Seirbheis fiosrachaidh. Bidh luchd-foill a’ faighinn a-mach fiosrachadh pearsanta an neach-fulaing: ainm agus àireamh fòn. Faodar an lorg ann an stòran fosgailte (lìonraidhean sòisealta, caraidean) no air fhaighinn bho neach-taic - neach-obrach gnìomhaiche gluasadach.
- A' bacadh. Tha cairt SIM an neach-fulang air a chuir dheth; Gus seo a dhèanamh, dìreach cuir fios gu taic theicnigeach an t-solaraiche, thoir seachad an àireamh agus abair gun deach am fòn a chall.
- Glac, gluais an àireamh chun chairt SIM agad. Mar as trice bidh seo cuideachd air a dhèanamh tro neach-taic anns a’ chompanaidh cian-chonaltraidh no tro bhith a’ cruthachadh sgrìobhainnean.
Ann am fìor bheatha tha cùisean eadhon nas cruaidhe. Bidh luchd-ionnsaigh a’ taghadh neach-fulang agus an uairsin a’ cumail sùil air far a bheil am fòn gach latha - tha aon iarrtas airson fiosrachadh fhaighinn a tha an neach-clàraidh air atharrachadh gu gluasad a’ cosg 1-2 sgillin. Cho luath ‘s a tha sealbhadair a’ chairt SIM air a dhol a-null thairis, bidh iad a ’rèiteachadh leis a’ mhanaidsear aig a ’bhùth conaltraidh gus cairt SIM ùr a chuir a-mach. Tha e a’ cosg timcheall air $50 (lorg mi fiosrachadh - ann an diofar dhùthchannan agus le gnìomhaichean eadar-dhealaichte bho $20 gu $100), agus anns a’ chùis as miosa thèid am manaidsear a losgadh - chan eil uallach sam bith ann airson seo.
A-nis gheibh luchd-ionnsaigh a h-uile SMS, agus cha bhith e comasach dha sealbhadair am fòn dad a dhèanamh mu dheidhinn - tha e thall thairis. Agus an uairsin gheibh na h-eucoraich cothrom air cunntasan an neach-fulaing gu lèir agus atharraich iad faclan-faire ma thogras iad.
Cothrom air seilbh a chaidh a ghoid a thilleadh
Bidh bancaichean uaireannan a’ toirt aoigheachd do luchd-fulaing letheach slighe agus a’ tarraing air ais gluasadan bho na cunntasan aca. Mar sin, tha e comasach airgead fiat a thilleadh eadhon ged nach lorgar an eucorach. Ach le wallets cryptocurrency tha a h-uile dad nas iom-fhillte - agus gu teicnigeach, agus gu reachdmhor. Gu ruige seo, chan eil aon iomlaid / wallet air airgead-dìolaidh a phàigheadh do luchd-fulaing suaipeadh.
Ma tha luchd-fulaing ag iarraidh an cuid airgid a dhìon sa chùirt, bidh iad a 'cur a' choire air a 'ghnìomhaiche: chruthaich e na cumhaichean airson airgead a ghoid bhon chunntas. Sin dìreach a rinn mi , a chaill $224 millean mar thoradh air suaipeadh.Tha e a-nis ag agairt a’ chompanaidh cian-chonaltraidh AT&T.
Gu ruige seo, chan eil sgeamaichean obrach aig stàite sam bith gus luchd-seilbh cryptocurrency a dhìon gu laghail. Tha e do-dhèanta àrachas a thoirt don chalpa agad no airgead-dìolaidh fhaighinn airson a chall. Mar sin, tha e nas fhasa casg a chuir air ionnsaigh suaip na bhith a’ dèiligeadh ris na builean aige. Is e an dòigh as fhollaisiche “dàrna factar” a chleachdadh airson 2FA.
Chan e suaip SIM an aon dhuilgheadas le 2FA tro SMS
Tha còdan dearbhaidh ann an SMS cuideachd mì-shàbhailte bho shealladh teignigeach. Faodar brath a ghabhail air teachdaireachdan mar thoradh air so-leòntachd gun samhail ann an Siostam Comharran 7 (SS7). Tha 2FA thairis air SMS air aithneachadh gu h-oifigeil mar rud neo-chinnteach (tha Institiud Nàiseanta Inbhean is Teicneòlais na SA ag ràdh seo anns an dreach aige ).
Aig an aon àm, bidh làthaireachd 2FA gu tric a ’toirt faireachdainn tèarainteachd meallta don neach-cleachdaidh, agus bidh e a’ taghadh facal-faire nas sìmplidh. Mar sin, chan eil an leithid de dhearbhadh ga dhèanamh duilich, ach ga dhèanamh nas fhasa do neach-ionnsaigh faighinn chun chunntas.
Agus gu tric bidh SMS a’ tighinn le dàil fhada no cha ruig iad idir.
Dòighean 2FA eile
Gu dearbh, cha robh an solas a 'tighinn còmhla air fònaichean sgairteil agus SMS. Tha dòighean eile ann airson 2FA. Mar eisimpleir, aon-ùine TAN còdan: prìomhadail dòigh, ach tha e ag obair - tha e fhathast air a chleachdadh ann an cuid de bancaichean. Tha siostaman ann a tha a’ cleachdadh dàta biometric: lorgan-meòir, sganaidhean retinal. Is e roghainn eile a tha coltach ri co-rèiteachadh reusanta a thaobh goireasachd, earbsachd agus prìs tagraidhean sònraichte airson 2FA: RSA Token, Google Authenticator. Tha iuchraichean corporra agus dòighean eile ann cuideachd.
Ann an teòiridh, tha a h-uile dad a 'coimhead loidsigeach agus earbsach. Ach ann an cleachdadh, tha duilgheadasan aig fuasglaidhean 2FA an latha an-diugh, agus air an sgàth sin, tha an fhìrinn eadar-dhealaichte bho dùil.
A rèir , tha cleachdadh 2FA na mhì-ghoireas ann am prionnsapal, agus tha fèill 2FA tro SMS air a mhìneachadh le “nas lugha de mhì-ghoireasachd an taca ri dòighean eile” - tha e furasta don neach-cleachdaidh còdan aon-ùine fhaighinn.
Bidh luchd-cleachdaidh a’ ceangal mòran de dhòighean 2FA leis an eagal gun tèid ruigsinneachd a chall. Faodar an iuchair fiosaigeach no liosta de na faclan-faire TAN a chall no a ghoid. Tha mi gu pearsanta air droch eòlas fhaighinn le Google Authenticator. Bhris a’ chiad fòn cliste agam leis an aplacaid seo - cuir luach air na h-oidhirpean agam gus ruigsinneachd air na cunntasan agam ath-nuadhachadh. Is e duilgheadas eile atharrachadh gu inneal ùr. Chan eil roghainn às-mhalairt aig Google Authenticator air sgàth adhbharan tèarainteachd (ma ghabhas iuchraichean às-mhalairt, dè an tèarainteachd a th’ ann?). Aon uair ‘s gun do ghiùlain mi na h-iuchraichean le làimh, agus an uairsin cho-dhùin mi gu robh e na b’ fhasa an seann fòn cliste fhàgail ann am bogsa air sgeilp.
Bu chòir an dòigh 2FA a bhith:
- Tèarainte - is e thusa agus chan e luchd-ionnsaigh a bu chòir faighinn chun chunntas agad
- Reliable - gheibh thu cothrom air a’ chunntas agad uair sam bith a dh’ fheumas tu e
- Goireasach agus ruigsinneach - tha cleachdadh 2FA soilleir agus bheir e glè bheag de ùine
- Cheap
Tha sinn den bheachd gur e blockchain am fuasgladh ceart.
Cleachd 2FA air an blockchain
Airson an neach-cleachdaidh, tha 2FA air an blockchain a ’coimhead an aon rud ri bhith a’ faighinn còdan aon-ùine tro SMS. Is e an aon eadar-dhealachadh an sianal lìbhrigidh. Tha an dòigh air còd 2FA fhaighinn an urra ri na tha an blockchain a ’tabhann. Anns a’ phròiseact againn (tha fiosrachadh anns a’ phròifil agam) is e tagradh lìn a tha seo, Tor, iOS, Android, Linux, Windows, MacOS.
Bidh an t-seirbheis a’ gineadh còd aon-ùine agus ga chuir chun teachdaire air an blockchain. An uairsin lean na clasaichean: bidh an neach-cleachdaidh a ’dol a-steach don chòd a fhuaireadh ann an eadar-aghaidh na seirbheis agus a’ logadh a-steach.
Anns an artaigil Sgrìobh mi gu bheil blockchain a’ dèanamh cinnteach à tèarainteachd agus prìobhaideachd sgaoileadh teachdaireachd. A thaobh a’ chùis mu bhith a’ cur còdan 2FA, comharraichidh mi:
- Aon bhriogadh gus cunntas a chruthachadh - gun fhònaichean no post-d.
- Tha a h-uile teachdaireachd le còdan 2FA air a chrioptachadh deireadh-gu-deireadh lùb25519xsalsa20poly1305.
- Tha ionnsaigh MITM air a dùnadh a-mach - tha a h-uile teachdaireachd leis a’ chòd 2FA na ghnothach air an blockchain agus air a shoidhnigeadh le Ed25519 EdDSA.
- Tha an teachdaireachd leis a’ chòd 2FA a’ tighinn gu crìch na bhloc fhèin. Chan urrainnear an t-sreath agus an clàr-ama de bhlocaichean a cheartachadh, agus mar sin òrdugh nam brathan.
- Chan eil structar meadhanach ann a nì sgrùdadh air “dearbhachd” teachdaireachd. Tha seo air a dhèanamh le siostam sgaoilte de nodan stèidhichte air co-aontachd, agus is ann leis an luchd-cleachdaidh a tha e.
- Cha ghabh a chur à comas - chan urrainn cunntasan a bhacadh agus chan urrainn teachdaireachdan a sguabadh às.
- Faigh cothrom air còdan 2FA bho inneal sam bith aig àm sam bith.
- Dearbhadh lìbhrigeadh teachdaireachd le còd 2FA. Tha fios aig an t-seirbheis a chuireas am facal-faire aon-ùine cinnteach gu bheil e air a lìbhrigeadh. Chan eil putanan “Send again”.
Gus coimeas a dhèanamh ri cuid de dhòighean 2FA eile, rinn mi clàr:
Bidh an neach-cleachdaidh a’ faighinn cunntas anns an teachdaire blockchain gus còdan fhaighinn ann an diog - chan eil ach abairt-fhaire air a chleachdadh airson logadh a-steach. Mar sin, faodaidh na dòighean tagraidh a bhith eadar-dhealaichte: faodaidh tu aon chunntas a chleachdadh gus còdan fhaighinn airson a h-uile seirbheis, no faodaidh tu cunntas fa leth a chruthachadh airson gach seirbheis.
Tha mì-ghoireasachd ann cuideachd - feumaidh co-dhiù aon ghnothach a bhith aig a 'chunntas. Gus am faigh an neach-cleachdaidh teachdaireachd crioptaichte le còd, feumaidh fios a bhith agad air an iuchair phoblach aige, agus tha e a ’nochdadh anns an blockchain a-mhàin leis a’ chiad ghnothach. Seo mar a chaidh againn air faighinn a-mach às: thug sinn cothrom dhaibh comharran an-asgaidh fhaighinn anns a’ wallet aca. Ach, is e fuasgladh nas fheàrr an cunntas ainmeachadh mar iuchair phoblach. (Airson coimeas, tha àireamh cunntais againn U1467838112172792705 tha e mar thoradh air an iuchair phoblach cc1ca549413b942029c4742a6e6ed69767c325f8d989f7e4b71ad82a164c2ada. Airson an teachdaire tha seo nas fhasa a leughadh, ach airson an t-siostam airson còdan 2FA a chuir tha e na chuingealachadh). Tha mi a 'smaoineachadh gum bi cuideigin san àm ri teachd a' dèanamh co-dhùnadh mar sin agus a 'gluasad "Goireas agus Ruigsinneachd" chun raon uaine.
Tha prìs cuir còd 2FA gu math ìosal - 0.001 ADM, a-nis is e 0.00001 USD. A-rithist, faodaidh tu do blockchain àrdachadh agus a’ phrìs a dhèanamh neoni.
Mar a cheanglas tu 2FA air an blockchain ris an t-seirbheis agad
Tha mi an dòchas gun robh e comasach dhomh ùidh a thoirt do chuid de luchd-leughaidh gus cead blockchain a chuir ris na seirbheisean aca.
Innsidh mi dhut mar a nì thu seo le bhith a’ cleachdadh ar teachdaire mar eisimpleir, agus le samhlachas faodaidh tu blockchain eile a chleachdadh. Anns an app demo 2FA bidh sinn a’ cleachdadh postgresql10 gus fiosrachadh cunntais a stòradh.
Ìrean ceangail:
- Cruthaich cunntas air an blockchain às an cuir thu còdan 2FA. Gheibh thu facal-faire, a tha air a chleachdadh mar iuchair phrìobhaideach gus teachdaireachdan a chrioptachadh le còdan agus gus gnothaichean a shoidhnigeadh.
- Cuir sgriobt ris an t-seirbheisiche agad gus còdan 2FA a ghineadh. Ma tha thu mu thràth a’ cleachdadh dòigh 2FA sam bith eile le lìbhrigeadh facal-faire aon-ùine, tha thu air a’ cheum seo a chrìochnachadh mu thràth.
- Cuir sgriobt ris an fhrithealaiche agad gus còdan a chuir chun neach-cleachdaidh anns an teachdaire blockchain.
- Cruthaich eadar-aghaidh cleachdaiche airson còd 2FA a chuir agus a chuir a-steach. Ma tha thu mu thràth a’ cleachdadh dòigh 2FA sam bith eile le lìbhrigeadh facal-faire aon-ùine, tha thu air a’ cheum seo a chrìochnachadh mu thràth.
1 Cruthachadh cunntais
Tha cruthachadh cunntas anns an blockchain a’ ciallachadh a bhith a’ gineadh iuchair phrìobhaideach, iuchair phoblach, agus seòladh cunntais stèidhichte.
An toiseach, thèid abairt-siubhail BIP39 a chruthachadh, agus tha an hash SHA-256 air a thomhas bhuaithe. Tha an hash air a chleachdadh gus an iuchair phrìobhaideach ks agus an iuchair phoblach kp a ghineadh. Bhon iuchair phoblach, a’ cleachdadh an aon SHA-256 le tionndadh, gheibh sinn an seòladh anns an blockchain.
Ma tha thu airson còdan 2FA a chuir a-steach gach turas bho chunntas ùr, feumar an còd cruthachadh cunntais a chuir ris an fhrithealaiche:
import Mnemonic from 'bitcore-mnemonic'
this.passphrase = new Mnemonic(Mnemonic.Words.ENGLISH).toString()
…
import * as bip39 from 'bip39'
import crypto from 'crypto'
adamant.createPassphraseHash = function (passphrase) {
const seedHex = bip39.mnemonicToSeedSync(passphrase).toString('hex')
return crypto.createHash('sha256').update(seedHex, 'hex').digest()
}
…
import sodium from 'sodium-browserify-tweetnacl'
adamant.makeKeypair = function (hash) {
var keypair = sodium.crypto_sign_seed_keypair(hash)
return {
publicKey: keypair.publicKey,
privateKey: keypair.secretKey
}
}
…
import crypto from 'crypto'
adamant.getAddressFromPublicKey = function (publicKey) {
const publicKeyHash = crypto.createHash('sha256').update(publicKey, 'hex').digest()
const temp = Buffer.alloc(8)
for (var i = 0; i < 8; i++) {
temp[i] = publicKeyHash[7 - i]
}
return 'U' + bignum.fromBuffer(temp).toString()
}Anns an tagradh demo, rinn sinn nas sìmplidhe air - chruthaich sinn aon chunntas san tagradh lìn, agus chuir sinn còdan bhuaithe. Anns a 'mhòr-chuid de chùisean, tha seo cuideachd nas freagarraiche don neach-cleachdaidh: tha fios aige gu bheil an t-seirbheis a' cur còdan 2FA bho chunntas sònraichte agus gun urrainn dha ainmeachadh.
2 A’ cruthachadh còdan 2FA
Feumar còd 2FA a chruthachadh airson gach logadh a-steach neach-cleachdaidh. Cleachdaidh sinn an leabharlann , ach faodaidh tu fear sam bith eile a thaghadh.
const hotp = speakeasy.hotp({
counter,
secret: account.seSecretAscii,
});
A’ sgrùdadh dligheachd a’ chòd 2FA a chuir an neach-cleachdaidh a-steach:
se2faVerified = speakeasy.hotp.verify({
counter: this.seCounter,
secret: this.seSecretAscii,
token: hotp,
});
3 A’ cur còd 2FA
Gus còd 2FA a chuir a-steach, faodaidh tu an API nód blockchain, leabharlann JS API, no an consol a chleachdadh. San eisimpleir seo, bidh sinn a’ cleachdadh a’ chonsail - is e seo an Command Line Interface, goireas a bhios a’ sìmpleachadh eadar-obrachadh leis an blockchain. Gus teachdaireachd a chuir le còd 2FA, feumaidh tu an àithne a chleachdadh send message consoles.
const util = require('util');
const exec = util.promisify(require('child_process').exec);
…
const command = `adm send message ${adamantAddress} "2FA code: ${hotp}"`;
let { error, stdout, stderr } = await exec(command);
Is e dòigh eile air teachdaireachdan a chuir an dòigh a chleachdadh send ann an leabharlann JS API.
4 Eadar-aghaidh cleachdaiche
Feumar an roghainn a thoirt don neach-cleachdaidh còd 2FA a chuir a-steach, faodar seo a dhèanamh ann an diofar dhòighean a rèir an àrd-ùrlar tagraidh agad. Anns an eisimpleir againn is e seo Vue.
Faodar an còd tùsail airson an tagradh demo dearbhaidh dà-fhactaraidh blockchain fhaicinn aig . Tha ceangal anns an demo Readme gu Live airson fheuchainn.
Source: www.habr.com