Melaetsa ea SMS ke mokhoa o tsebahalang haholo oa netefatso ea lintlha tse peli (2FA). E sebelisoa ke libanka, li-wallet tsa elektroniki le tsa crypto, mabokose a poso le mefuta eohle ea litšebeletso; .
Ke halefisitsoe ke boemo bona, hobane mokhoa ona ha oa bolokeha. Ho arola nomoro ho tloha ho SIM card e 'ngoe ho ea ho e' ngoe ho qalile qalong ea nako ea selefouno - ke kamoo nomoro e tsosolosoang kateng ha SIM card e lahleha. "Litsebi tsa bosholu ba chelete ea dijithale" li ile tsa hlokomela hore khetho ea "ngola hape SIM card" e ka sebelisoa mererong ea bolotsana. Ntle le moo, ea laolang SIM card a ka laola libanka tsa batho ba bang inthaneteng, li wallet tsa elektroniki, esita le chelete ea crypto. 'Me u ka nka nomoro ea motho e mong ka ho tjotjo ho mohiruoa oa mehala ea thelefono, u sebelisa thetso kapa litokomane tsa bohata.
Likarolo tse likete tsa ho fapanyetsana ha SIM li senotsoe, joalo ka ha morero ona oa bomenemene o bitsoa. Tekanyo ea koluoa e fana ka maikutlo a hore lefats'e le tla tloha le lahla 2FA ka SMS. Empa sena ha se etsahale - ho ba re ha se basebelisi ba khethang mokhoa oa 2FA, empa beng ba litšebeletso.
Re etsa tlhahiso ea ho sebelisa mokhoa o sireletsehileng oa 2FA ka ho fana ka likhoutu tsa nako e le 'ngoe ka blockchain,' me re tla u bolella hore na mong'a litšebeletso a ka e hokahanya joang.
Palo e fihla ho limilione
Ka selemo sa 2019, bosholu ba SIM bo ile ba eketseha ka 63% ho latela mapolesa a London, mme "tefiso e tloaelehileng" ea mohlaseli e ne e le 4,000 GBP. Ha ke e-s'o fumane lipalo-palo Russia, empa ke nahana hore li mpe le ho feta.
SIM swapping e sebelisetsoa ho utsoa liakhaonto tse tsebahalang tsa Twitter, Instagram, Facebook, VK, li-account tsa banka, 'me haufinyane tjena esita le li-cryptocurrencies - ho latela Bitcoin mohoebi Joby Weeks. Linyeoe tse phahameng tsa bosholu ba chelete ea crypto ka ho sebelisa SIM swapping li 'nile tsa hlaha khatisong ho tloha 2016; 2019 e bone tlhoro ea 'nete.
Ka Mots'eanong, Ofisi ea Akhente ea U.S. ea Setereke sa Bochabela sa Michigan bacha ba robong ba pakeng tsa lilemo tse 19 le 26: ho lumeloa hore ke karolo ea sehlopha sa litlokotsebe tse bitsoang "The Community". Sehlopha sena se qosoa ka litlhaselo tse supileng tsa phapanyetsano, ka lebaka leo linokoane li utsoitseng chelete ea crypto ea boleng bo fetang $2,4 milione. 'Me ka April, seithuti sa California Joel Ortiz o ile a fumana lilemo tse 10 chankaneng ka lebaka la ho fetola SIM; tlhahiso ea hae e ne e le liranta tse limilione tse 7.5 ka cryptocurrencies.
Setšoantšo sa Joel Ortiz sebokeng sa boralitaba sa univesithi. Lilemo tse peli hamorao o tla koalloa ka lebaka la bosholu ba marang-rang.
Kamoo SIM swap e sebetsang kateng
"Spaping" e bolela phapanyetsano. Mererong e joalo kaofela, linokoane li nka nomoro ea mohala oa mohlaseluoa, hangata ka ho ntša SIM card hape, ebe li e sebelisa ho seta password bocha. Phetoho e tloaelehileng ea SIM ka khopolo e shebahala tjena:
- Tšebeletso ea bohlale. Baqhekelli ba fumana lintlha tsa motho ea hlokofalitsoeng: lebitso le nomoro ea mohala. Li ka fumanoa mehloling e bulehileng (marang-rang a sechaba, metsoalle) kapa li amoheloa ho tsoa ho motho ea sebetsang - mosebeletsi oa mochine oa selefouno.
- Ho thibela. SIM card ea mohlaseluoa e koetsoe; Ho etsa sena, letsetsa feela tšehetso ea theknoloji ea mofani, fana ka nomoro mme u re fono e lahlehile.
- Tšoara, fetisetsa nomoro ho SIM card ea hau. Hangata sena se etsoa hape ka motho ea sebetsang le eena k'hamphaning ea mehala ea mehala kapa ka ho qhekella litokomane.
Bophelong lintho li mpe le ho feta. Bahlaseli ba khetha motho ea hlasetsoeng ebe ba latela sebaka sa mohala letsatsi le leng le le leng - kopo e le 'ngoe ea ho fumana tlhahisoleseling eo motho ea ngolisitseng a e fetoletseng ho litjeo tsa ho solla lisente tse 1-2. Hang ha mong'a SIM card a e-ea mose, ba buisana le mookameli lebenkeleng la puisano ho fana ka SIM card e ncha. E bitsa chelete e ka bang $ 50 (ke fumane tlhahisoleseding - linaheng tse fapaneng le ka basebetsi ba fapaneng ho tloha ho $ 20 ho ea ho $ 100), 'me boemong bo bobe ka ho fetisisa mookameli o tla lelekoa - ha ho na boikarabelo bakeng sa sena.
Hona joale li-SMS tsohle li tla amoheloa ke bahlaseli, 'me mong'a fono a ke ke a khona ho etsa letho ka eona - o kantle ho naha. 'Me joale batho ba khopo ba fumana li-account tsohle tsa motho ea hlasetsoeng ebe ba fetola li-password haeba ba lakatsa.
Monyetla oa ho khutlisa thepa e utsoitsoeng
Ka linako tse ling libanka li amohela bahlaseluoa ho tloha bohareng ba libanka ebe li hula li-account tsa bona. Ka hona, hoa khoneha ho khutlisa chelete ea fiat esita le haeba senokoane se sa fumanoe. Empa ka li-wallet tsa cryptocurrency tsohle li rarahane ho feta - le ka botekgeniki, le ka molao. Ho fihlela joale, ha ho na phapanyetsano / sepache se le seng se lefileng matšeliso ho bahlaseluoa ba ho fapanyetsana.
Haeba bahlaseluoa ba batla ho sireletsa chelete ea bona lekhotleng, ba beha molato mokhanni: o entse maemo a bosholu ba chelete ho tsoa akhaonteng. Ke sona seo ke ileng ka se etsa , ea lahlehetsoeng ke liranta tse limilione tse 224 ka lebaka la ho fapanyetsana.
Ho fihlela joale, ha ho mmuso o na le merero ea ho sebetsa ho sireletsa ka molao beng ba chelete ea crypto. Ha ho khonehe ho etsa inshorense ea chelete ea hau kapa ho fumana matšeliso bakeng sa tahlehelo ea eona. Ka hona, ho thibela tlhaselo ea swap ho bonolo ho feta ho sebetsana le liphello tsa eona. Tsela e hlakileng ka ho fetisisa ke ho sebelisa "second factor" e tšepahalang haholoanyane bakeng sa 2FA.
SIM swap hase eona feela bothata ba 2FA ka SMS
Likhoutu tsa netefatso ho SMS le tsona ha lia bolokeha ho latela pono ea tekheniki. Melaetsa e ka thijoa ka lebaka la bofokoli bo sa ngolisoang ho Signaling System 7 (SS7). 2FA over SMS e amoheloa ka molao e le e sa sireletsehang (US National Institute of Standards and Technology e re sena ho eona ).
Ka nako e ts'oanang, boteng ba 2FA hangata bo fa mosebedisi maikutlo a tšireletso ea bohata, 'me o khetha password e bonolo. Ka hona, bopaki bo joalo ha bo etse hore ho be thata, empa ho nolofaletsa mohlaseli ho fumana akhaonto.
'Me hangata SMS e fihla ka tieho e telele kapa ha e fihle ho hang.
Mekhoa e meng ea 2FA
Ehlile, leseli ha lea ka la kopana ho li-smartphones le li-SMS. Ho na le mekhoa e meng ea 2FA. Mohlala, likhoutu tsa TAN tsa nako e le 'ngoe: mokhoa oa khale, empa oa sebetsa - o ntse o sebelisoa libankeng tse ling. Ho na le litsamaiso tse sebelisang data ea biometric: menoana ea menoana, lisebelisoa tsa retina. Khetho e 'ngoe e bonahalang eka ke ho sekisetsa ho utloahalang mabapi le boiketlo, botšepehi le theko ke likopo tse khethehileng tsa 2FA: RSA Token, Google Authenticator. Ho boetse ho na le linotlolo tsa 'mele le mekhoa e meng.
Ka khopolo, ntho e 'ngoe le e' ngoe e shebahala e utloahala ebile e ka tšeptjoa. Empa ka ts'ebetso, litharollo tsa morao-rao tsa 2FA li na le mathata, 'me ka lebaka la bona,' nete e fapane le litebello.
Ho ea ka , tšebeliso ea 2FA ke tšitiso ka molao-motheo, 'me ho tsebahala ha 2FA ka SMS ho hlalosoa ke "bothata bo fokolang ha bo bapisoa le mekhoa e meng" - ho fumana li-code tsa nako e le' ngoe hoa utloahala ho mosebedisi.
Basebelisi ba amahanya mekhoa e mengata ea 2FA le tšabo ea hore phihlello e tla lahleha. Senotlolo sa 'mele kapa lethathamo la li-password tsa TAN li ka lahleha kapa tsa utsuoa. Ke bile le liphihlelo tse mpe ka Google Authenticator. Smartphone ea ka ea pele e nang le sesebelisoa sena e ile ea robeha - ke leboha boiteko ba ka ba ho khutlisa phihlello ea li-account tsa ka. Bothata bo bong ke ho fetohela ho sesebelisoa se secha. Google Authenticator ha e na khetho ea ho romela kantle ka lebaka la mabaka a ts'ireletso (haeba linotlolo li ka romelloa, ho na le ts'ireletso efe?). Hang ha ke nkile linotlolo ka letsoho, ebe ke etsa qeto ea hore ho bonolo ho tlohela smartphone ea khale ka lebokoseng holim'a sethalafo.
Mokhoa oa 2FA e lokela ho ba:
- Sireletsehile - uena feela eseng bahlaseli ba lokelang ho kena akhaonteng ea hau
- E ea tšepahala - u fumana monyetla oa ho kena akhaonteng ea hau neng kapa neng ha u e hloka
- E bonolo ebile ea fumaneha - ho sebelisa 2FA ho hlakile ebile ho nka nako e nyane
- Theko e tlaase
Re lumela hore blockchain ke tharollo e nepahetseng.
Sebelisa 2FA ho blockchain
Bakeng sa mosebelisi, 2FA ho blockchain e shebahala e ts'oana le ho amohela likhoutu tsa nako e le 'ngoe ka SMS. Phapang feela ke mocha oa ho fana. Mokhoa oa ho fumana khoutu ea 2FA o ipapisitse le seo blockchain e fanang ka sona. Morerong oa rona (boitsebiso bo boemong ba ka) sena ke sesebelisoa sa Webo, Tor, iOS, Android, Linux, Windows, MacOS.
Tšebeletso e hlahisa khoutu ea nako e le 'ngoe ebe e e romela ho lenģosa ho blockchain. Ebe u latela li-classics: mosebelisi o kenya khoutu e amoheloang sebopehong sa ts'ebeletso ebe o kena.
Sengoloa Ke ngotse hore blockchain e tiisa ts'ireletso le boinotši ba phetiso ea molaetsa. Tabeng ea ho romella likhoutu tsa 2FA, ke tla totobatsa:
- Tobetsa e le 'ngoe ho theha ak'haonte - ha ho lifono kapa li-imeile.
- Melaetsa eohle e nang le likhoutu tsa 2FA e patiloe End-to-End curve25519xsalsa20poly1305.
- Tlhaselo ea MITM ha e akaretsoe - molaetsa o mong le o mong o nang le khoutu ea 2FA ke transaction ho blockchain mme o saennoe ke Ed25519 EdDSA.
- Molaetsa o nang le khoutu ea 2FA o fella sebakeng sa oona. Tatellano le setempe sa nako sa li-block ha li khone ho lokisoa, ka hona, tatellano ea melaetsa.
- Ha ho na sebopeho se bohareng se hlahlobang "bonnete" ba molaetsa. Sena se etsoa ke sistimi e ajoang ea li-node e ipapisitseng le tumellano, 'me ke ea basebelisi.
- Ha e khone ho koaloa - li-account li ka se thijoe 'me melaetsa e ke ke ea hlakoloa.
- Fumana likhoutu tsa 2FA ho sesebelisoa sefe kapa sefe ka nako efe kapa efe.
- Netefatso ea ho fana ka molaetsa ka khoutu ea 2FA. Ts'ebeletso e romellang phasewete ea nako e le 'ngoe e tseba hantle hore e fihlile. Ha ho likonopo tsa "Send again".
Ho bapisa le mekhoa e meng ea 2FA, ke entse tafole:
Mosebelisi o fumana ak'haonte ho len messengerosa la blockchain ho amohela likhoutu motsotsoana - ho sebelisoa poleloana feela ea ho kena. Ka hona, mekhoa ea ts'ebeliso e kanna ea fapana: o ka sebelisa ak'haonte e le 'ngoe ho amohela likhoutu bakeng sa lits'ebeletso tsohle, kapa o ka etsa ak'haonte e fapaneng bakeng sa ts'ebeletso ka' ngoe.
Hape ho na le tšitiso - akhaonto e tlameha ho ba le bonyane transaction e le 'ngoe. E le hore mosebedisi a fumane molaetsa o patiloeng ka khoutu, o hloka ho tseba senotlolo sa hae sa sechaba, 'me se hlaha ho blockchain feela ka transaction ea pele. Ena ke tsela eo re ileng ra khona ho tsoa ho eona: re ba file monyetla oa ho fumana li-tokens tsa mahala ka sepacheng sa bona. Leha ho le joalo, tharollo e molemo ke ho reha ak'haonte senotlolo sa sechaba. (Ha re bapisa, re na le nomoro ea ak'haonte U1467838112172792705 e tsoa ho senotlolo sa sechaba cc1ca549413b942029c4742a6e6ed69767c325f8d989f7e4b71ad82a164c2ada. Bakeng sa len messengerosa sena se bonolo ebile se ka baloa, empa bakeng sa sistimi ea ho romella likhoutu tsa 2FA ke moeli). Ke nahana hore nakong e tlang motho e mong o tla etsa qeto e joalo 'me a fallele "Bonolo le ho fihlella" sebakeng se setala.
Theko ea ho romela khoutu ea 2FA e hlile e tlaase - 0.001 ADM, hona joale ke 0.00001 USD. Hape, o ka phahamisa blockchain ea hau mme oa etsa hore theko e be zero.
Mokhoa oa ho hokela 2FA ho blockchain ho ts'ebeletso ea hau
Ke tšepa hore ke khonne ho thahasella babali ba 'maloa ho eketsa tumello ea blockchain litšebeletsong tsa bona.
Ke tla u bolella mokhoa oa ho etsa sena ho sebelisa lenģosa la rona e le mohlala, 'me ka papiso u ka sebelisa blockchain e' ngoe. Lenaneong la demo la 2FA re sebelisa postgresql10 ho boloka lintlha tsa akhaonto.
Mekhahlelo ea khokahano:
- Theha ak'haonte ho blockchain eo u tla romella likhoutu tsa 2FA ho eona. U tla fumana pasphrase, e sebelisoang e le senotlolo sa poraefete ho notlela melaetsa e nang le likhoutu le ho saena litšebelisano.
- Kenya mongolo ho seva sa hau ho hlahisa likhoutu tsa 2FA. Haeba u se u ntse u sebelisa mokhoa o mong oa 2FA ka ho fana ka password ea nako e le 'ngoe, u se u qetile mohato ona.
- Kenya sengoloa ho seva sa hau ho romella likhoutu ho mosebelisi ho len messengerosa la blockchain.
- Theha sebopeho sa mosebelisi bakeng sa ho romella le ho kenya khoutu ea 2FA. Haeba u se u ntse u sebelisa mokhoa o mong oa 2FA ka ho fana ka password ea nako e le 'ngoe, u se u qetile mohato ona.
1 Ho theha ak'haonte
Ho theha ak'haonte ho blockchain ho bolela ho hlahisa senotlolo sa poraefete, senotlolo sa sechaba, le aterese ea ak'haonte e nkiloeng.
Ntlha ea pele, poleloana ea BIP39 e hlahisoa, 'me SHA-256 hash e baloa ho eona. Hashe e sebelisoa ho hlahisa senotlolo sa poraefete ks le senotlolo sa sechaba kp. Ho tsoa ho senotlolo sa sechaba, re sebelisa SHA-256 e tšoanang le inversion, re fumana aterese ho blockchain.
Haeba u batla ho romella likhoutu tsa 2FA nako le nako ho tsoa akhaonteng e ncha, khoutu ea ho theha ak'haonte e tla hloka ho kenyelletsoa ho seva:
import Mnemonic from 'bitcore-mnemonic'
this.passphrase = new Mnemonic(Mnemonic.Words.ENGLISH).toString()
…
import * as bip39 from 'bip39'
import crypto from 'crypto'
adamant.createPassphraseHash = function (passphrase) {
const seedHex = bip39.mnemonicToSeedSync(passphrase).toString('hex')
return crypto.createHash('sha256').update(seedHex, 'hex').digest()
}
…
import sodium from 'sodium-browserify-tweetnacl'
adamant.makeKeypair = function (hash) {
var keypair = sodium.crypto_sign_seed_keypair(hash)
return {
publicKey: keypair.publicKey,
privateKey: keypair.secretKey
}
}
…
import crypto from 'crypto'
adamant.getAddressFromPublicKey = function (publicKey) {
const publicKeyHash = crypto.createHash('sha256').update(publicKey, 'hex').digest()
const temp = Buffer.alloc(8)
for (var i = 0; i < 8; i++) {
temp[i] = publicKeyHash[7 - i]
}
return 'U' + bignum.fromBuffer(temp).toString()
}Ts'ebelisong ea demo, re e nolofalitse - re thehile ak'haonte e le 'ngoe ts'ebelisong ea webo, mme ra romella likhoutu ho tsoa ho eona. Maemong a mangata, sena se boetse se loketse mosebelisi: oa tseba hore ts'ebeletso e romella likhoutu tsa 2FA ho tsoa akhaonteng e itseng mme a ka e reha lebitso.
2 Ho hlahisa likhoutu tsa 2FA
Khoutu ea 2FA e tlameha ho hlahisoa bakeng sa ho kena ha mosebelisi e mong le e mong. Re sebelisa laebrari , empa u ka khetha e 'ngoe hape.
const hotp = speakeasy.hotp({
counter,
secret: account.seSecretAscii,
});
Ho lekola bonnete ba khoutu ea 2FA e kentsoeng ke mosebelisi:
se2faVerified = speakeasy.hotp.verify({
counter: this.seCounter,
secret: this.seSecretAscii,
token: hotp,
});
3 Ho romela khoutu ea 2FA
Ho fana ka khoutu ea 2FA, u ka sebelisa blockchain node API, laebrari ea JS API, kapa console. Mohlaleng ona, re sebelisa console - ena ke Command Line Interface, sesebelisoa se nolofatsang tšebelisano le blockchain. Ho romela molaetsa o nang le khoutu ea 2FA, o hloka ho sebelisa taelo send message tšelisa.
const util = require('util');
const exec = util.promisify(require('child_process').exec);
…
const command = `adm send message ${adamantAddress} "2FA code: ${hotp}"`;
let { error, stdout, stderr } = await exec(command);
Mokhoa o mong oa ho romella melaetsa ke ho sebelisa mokhoa send laebraring ea JS API.
4 Sehokelo sa mosebelisi
Mosebelisi o hloka ho fuoa khetho ea ho kenya khoutu ea 2FA, sena se ka etsoa ka mekhoa e fapaneng ho latela sethala sa hau sa kopo. Mohlala oa rona ona ke Vue.
Khoutu ea mohloli bakeng sa ts'ebeliso ea demo ea netefatso ea lintlha tse peli ea blockchain e ka bonoa ho . Ho na le sehokelo ho Readme ho demo ea Live ho e leka.
Source: www.habr.com