Comments 163
>>Первый кейс
>>Действие второе: телефон защищен паролем и отображение
Наиболее частый кейс — пароль к аккаунту подобран или собран кейлоггером и злоумышленник даже не знает кто вы, откуда, а если и знает, то очень часто он за пределами вашей локации, а не когда у злоумышленника уже есть ваш физический телефон.
>>Действие второе: телефон защищен паролем и отображение
Наиболее частый кейс — пароль к аккаунту подобран или собран кейлоггером и злоумышленник даже не знает кто вы, откуда, а если и знает, то очень часто он за пределами вашей локации, а не когда у злоумышленника уже есть ваш физический телефон.
Если речь о простоте подбора и слабых паролях — конечно. Но часто двухэтапную включают стараясь обезопаситься, а может выйти с точностью до наоборот.
https, так ты прокомментируешь как-нибудь вот этот момент:
Как можно узнать Apple ID телефона?? В интернете есть платные сервисы, которые якобы могут сказать Apple ID по imei, но звучит всё это очень сомнительно. Да и результат обещают только через 2-14 дней
Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент.
Как можно узнать Apple ID телефона?? В интернете есть платные сервисы, которые якобы могут сказать Apple ID по imei, но звучит всё это очень сомнительно. Да и результат обещают только через 2-14 дней
Этот вопрос уже задавали выше. Извините, но я не буду на него отвечать. Цель — напомнить, что не надо доверять защиту своих аккаунтов провайдерам связи или прочим, а не показ дыр или слабых мест, которые могут быть использованы напрямую во вред. Был тут парень, давно уже, который описал процесс отвязки… старого iPad, кажется, от iCloud c некоторой потерей функционала. Могу ошибаться. Рабочий метод, судя по всему, но не думаю что такое действительно стоит пускать в массы.
Хотя при желании, все гуглится (особенно для не самых новых версиях ПО).
Хотя при желании, все гуглится (особенно для не самых новых версиях ПО).
К сожалению, хорошо работающие меры защиты при комбинировании, порой, могут дать обратный результат лишь повысив шанс взлома.
Я так и не понял из статьи, как пароль может быть надежнее пароль+второй фактор, при условии что пароль тот же? А это как раз то, что вы говорите в заголовке.
Потому что пароль+yetAnotherFactor можно свести только ко второму фактору. Вот забыли вы пароль от своей почты, воспользовались функцией восстановления пароля, вам пришла смс с кодом на телефон, вы поменяли пароль на новый.
Аналогично может поступить мошенник, либо получив доступ к вашему телефону, либо к инструменту доставки кода вам, и ваш пароль превращается в тыкву.
Аналогично может поступить мошенник, либо получив доступ к вашему телефону, либо к инструменту доставки кода вам, и ваш пароль превращается в тыкву.
Вот забыли вы пароль от своей почты, воспользовались функцией восстановления пароля, вам пришла смс с кодом на телефон, вы поменяли пароль на новый.
Какая ещё СМС? Вы вообще понимаете что такое двухфакторная аутентификация?
В заголовке не про двухфакторную аутентификацию.
Двухэтапная значит что у вас есть два этапа. Первый: ввод пароля. Второй: ввод кода смс (к примеру).
Следовательно, вы не приступите ко второму этапу, не пройдя первый. То же самое во время ввода пароля, получения смс не достаточно для смены пароля, иначе какой в этом смысл? Кто-то называет это этапами, кто-то факторами. Суть не меняется.
Смысл смены пароля без ввода пароля в том чтобы восстановить пароль. Как же вы восстановите забытый пароль вводя этот пароль?
Если бы получения смс было не достаточно и требовался пароль, то как бы люди восстанавливали пароли?
Если бы получения смс было не достаточно и требовался пароль, то как бы люди восстанавливали пароли?
Нужно различать смену и восстановление. Если вы забыли пароль — на почту (к примеру) отправляется ссылка на восстановление (у Google/Yandex/Hetzner есть возможность отправлять на резервный email). Но перейдя по ссылке вам всё ещё нужно будет ввести второй фактор, тот же код из смс.
Если бы написанное мной не было правдой, то зачем вообще придумывали двухфакторную аутентификацию, если она на порядок упрощает взлом людей, находящихся рядом?
Я глубоко не копал, но от Apple ID восстановить пароль можно только при наличии двух других факторов: устройства на iOS (или привязанного телефона) и ключа восстановления. Через поддержку — возможны варианты, не пробовал. Надо будет как-нибудь попробовать сбросить пароль от третьего ID.
Через поддержку вроде как только при наличии чека и коробки
~Два года назад восстанавливал пароль. Были авторизованные устройства, доступ к почте, на которую зарегистрирован appleid, но то ли не мог все три контрольных ответа на вопросы правильно вспомнить, то ли не мог Recovery Key от двухфакторной авторизации найти, чтобы через сайт запросить сброс пароля. Пришлось звонить в техподдержку.
Сказал серийник и что-то еще от авторизованных устройств, когда они были первый раз авторизованы этим appleid, информацию о том, какой картой и когда оплачивал покупки в itunes/store, какие последние покупки и когда совершал на аккаунте, ответил на контрольные вопросы(причем сразу еще и не вспомнил к какому вопросу какой именно ответ), еще какие-то наводящие вопросы. В итоге, минут через 15 общения одобрили запрос на смену пароля. На все почты, сообщениями на устройства, по-моему даже смской на телефон пришло оповещение что был запрошен сброс пароля и если в течении 24 часов я не предприму никаких действий, на основной e-mail адрес будет выслана ссылка для смены пароля.
Не знаю откуда у автора статьи информация что так легко завладеть аккаунтом, но я сам еле сбросил пароль.
Сказал серийник и что-то еще от авторизованных устройств, когда они были первый раз авторизованы этим appleid, информацию о том, какой картой и когда оплачивал покупки в itunes/store, какие последние покупки и когда совершал на аккаунте, ответил на контрольные вопросы(причем сразу еще и не вспомнил к какому вопросу какой именно ответ), еще какие-то наводящие вопросы. В итоге, минут через 15 общения одобрили запрос на смену пароля. На все почты, сообщениями на устройства, по-моему даже смской на телефон пришло оповещение что был запрошен сброс пароля и если в течении 24 часов я не предприму никаких действий, на основной e-mail адрес будет выслана ссылка для смены пароля.
Не знаю откуда у автора статьи информация что так легко завладеть аккаунтом, но я сам еле сбросил пароль.
Вот только два этапа и два фактора — это разные вещи
Это мне понятно, но вот как классифицировать не очень понятно. Почему код из sms называют этапом, а из приложения фактором?
sms является вторым фактором, только если приходит на другое устройство. Как у Apple при входе в аккаунт с нового / не доверенного устройства. sms приходит на одно из доверенных.
А если пароль вводится и sms/звонок поступает на одном и том же устройстве — это лишняя возня, а не двух факторная авторизация.
А если пароль вводится и sms/звонок поступает на одном и том же устройстве — это лишняя возня, а не двух факторная авторизация.
Хотя если честно, мне и самому не очень понятно, чем у эппла двух факторная от двух этапной отличается, по тому как они их описывают. Что еще остается простому пользователю, кроме как перестать различать эти понятия?
https://support.apple.com/ru-ru/HT204152
https://support.apple.com/ru-ru/HT204915
https://support.apple.com/ru-ru/HT204152
https://support.apple.com/ru-ru/HT204915
Пароль без привязки к телефону надежнее в случае перехвата доступа к смс/звонкам. Если кто-то перехватит ваши смс/звонки, а пароль не привязан к телефону — злоумышленнику это ничем не поможет.
Т.е. фактически усложняя угон аккаунта при подборе пароля, — упрощается угон аккаунта при компрометации второго фактора аутентификации.
Т.е. фактически усложняя угон аккаунта при подборе пароля, — упрощается угон аккаунта при компрометации второго фактора аутентификации.
Пароль без привязки к телефону надежнее в случае перехвата доступа к смс/звонкам
Не кажется, вы тоже не понимаете что такое двухфакторная аутентификация. Если второй фактор смс/звонок, то для входа вам нужен И пароль, И смс/звонок.
Какам образом использование второго фактора что-либо упрощает?
Проблема в том, что уже не надо входить со старым паролем, если у тебя есть доступ к телефону.
Во многих сервисах ты можешь сменить пароль не зная его, а просто имея доступ к телефону.
Во многих сервисах ты можешь сменить пароль не зная его, а просто имея доступ к телефону.
Кто вам доктор, что вы положили два яйца в одну корзину? Это не будет двухфакторной (двухэтапной) аутентификацией, ибо у вас оба фактора одинаковые, а должны быть разными (один то, что вы знаете — пароль, второе что вы имеете — телефон, аппаратный генератор токенов). В этом случае получение доступа к одному из факторов не позволяет войти в систему или изменить пароль.
В случае, если вторым фактором является подтверждение через коды в SMS, текстовое сообщение сводит надежность пароля до нуля. Если же использовать другие дополнительные меры защиты (например, приложения, как верно заметили ниже), то эти кейсы не работают.
В случае, если вторым фактором является подтверждение через коды в SMS, текстовое сообщение сводит надежность пароля до нуля
При чем тут надежность пароля? Надежность пароля ровно такая же, как и до этого. Просто кроме самого пароля вам нужно иметь в руках телефон. Следовательно пароль ниже никогда не станет.
Мне кажется, вы тоже не до конца понимаете что такое двухфакторная аутентификация.
У меня такое чувство, что https привязал телефон к почте Google, но не включил двухфакторную аутентификацию в ней (Google часто просит привязать номер телефона именно для восстановления, если до этого вы его не указывали), а в Apple уже настроил двухфакторную аутентификацию. В таком случае, естественно, доступ к почте Google можно восстановить, не зная пароля, и имея доступ только к номеру телефона, а дальше восстановить доступ к аккаунту Apple, используя оба фактора восстановления: номер телефона и почту.
Возможность восстановить пароль к двухфакторной аутентификации отношения не имеет. Это совершенно разные вещи, хотя в обоих может применяться телефон.
Сводит до нуля в указанных вами кейсах. Для 99.99% пользователей — с точностью до наоборот. Ради этих пользователей никто не станет тратить деньги и силы на возможность перехвата смс. Но вот стырить пароль — это можно. И смс не даст им воспользоваться.
Т.е. второй этап повышает безопасность почти всех и повышает риски для единиц, которым стоит дополнительно инвестировать в свою безопасность.
Т.е. второй этап повышает безопасность почти всех и повышает риски для единиц, которым стоит дополнительно инвестировать в свою безопасность.
Просто пароль без привязанного телефона не позволяет сменить его без подбора этого самого пароля. А вот пароль + привязанный телефон всё упрощает, так как пароль уже не надо подбирать, достаточно получить доступ к телефону, а это во многих случаях не проблема.
так как пароль уже не надо подбирать
Вы не понимаете что такое двухфакторная аутентификация. Вы никогда не смените пароль без двух факторов. Второй фактор ДОПОЛНЯЕТ, а не заменяет пароль. То есть кроме такого же подбора пароля вам нужно ещё получить доступ ко второму фактору — телефону, аппаратному токену, и так далее.
Не знаю чам вы пользуетесь, но я часто меняю пароль забыв его. И точно так же злоумышленник может сменить пароль имея только один фактор. Такая уж реализация у gmail например.
Нет, не может. Войдите с неизвестного компьютера (достаточно открыть окно в приватном режиме) и запустите процедуру восстановления пароля. А потом расскажите нам об успехах.
Вот не поленился и сменил ещё раз. На предложение ввести пароль, который помню — ввел случайный пароль. Далее пришло смс на телефон привязанный в аккаунте. Именно в разделе восстановления пароля, а не в разделе двухэтапной аутентификации. Потом ещё письмо на резервный адрес почты.
И всё, я сменил пароль, не вводя старый.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.
И всё, я сменил пароль, не вводя старый.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.
Потом ещё письмо на резервный адрес почты
На то он и резервный адрес. Аналогично есть резервные коды восстановления на случай если у вас нет устройства, которое генерирует TOTP токены. То есть формально вы можете даже не иметь доступа к устройству.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.
Совершенно согласен.
Но резервный адрес это уже третий фактор. И не факт, что он добавляет надежности, люди и этот резервный адрес привязывают к тому же телефону. Просто на один шаг усложняется получение пароля.
Смысл статьи я вижу такой: Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.
Смысл статьи я вижу такой: Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.
Но резервный адрес это уже третий фактор
Это фактор той же категории, того же типа, что и основной адрес. То есть он не третий, он не является обязательным, он альтернативный первому, следовательно, уменьшает общую безопасность, поскольку есть альтернатива — взломать один из двух почтовых ящиков на выбор. То есть можно выбрать более слабое звено. Если это два ящика на разных серверах с разными паролями и разными телефонами — то безопасность может быть аналогичной, но точно не выше.
люди и этот резервный адрес привязывают к тому же телефону
Это явно проблема в другой плоскости, с этим технологии ничего не поделают.
Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.
It depends, но на мобильную сеть (звонки, смс) я бы и правда не надеялся. Жаль, что у тех же Namecheap только смс и поддерживаются.
https://www.google.com/intl/ru/landing/2step/features.html
на этой странице опис. все доступные средства, применительно к аккаунту на Gmail.
Согласитесь, что применение большей части из них сводит подобные описанным векторы атаки на нет, однако сколько людей реально ими пользуются? На мой взгляд, в большем % случаев человек просто предоставляет свой номер сервису который использует, как средство «дополнительной защиты аккаунта», но простая высылка пароля на него — все же позволяет войти в аккаунт. Тогда в чем же смысл такого пароля?
Для примера, повторил операцию только что: c нового устройства; в браузере выбрано «не отслеживать»; вход через левый IP.
Начинал от сюда.
https://accounts.google.com/signin/recovery
далле — см. скрин. Что я сделал не так?
на этой странице опис. все доступные средства, применительно к аккаунту на Gmail.
Согласитесь, что применение большей части из них сводит подобные описанным векторы атаки на нет, однако сколько людей реально ими пользуются? На мой взгляд, в большем % случаев человек просто предоставляет свой номер сервису который использует, как средство «дополнительной защиты аккаунта», но простая высылка пароля на него — все же позволяет войти в аккаунт. Тогда в чем же смысл такого пароля?
Для примера, повторил операцию только что: c нового устройства; в браузере выбрано «не отслеживать»; вход через левый IP.
Начинал от сюда.
https://accounts.google.com/signin/recovery
далле — см. скрин. Что я сделал не так?
У вас двухэтапная аутентификация-то у почты отключена, поэтому вам для восстановления доступа и предлагают только один этап, и вы выбираете прием СМС. Если у вас включена двухэтапная аутентификация, то в момент восстановления, после приема СМС и ввода кода из СМС, вам нужно подтвердить восстановление еще и вторым фактором, в моем случае Google предлагает либо ввести дополнительный адрес email, который был указан в аккаунте, и выслать код на него, либо ввести дату создания аккаунта.
То, что злоумышленник может получить доступ ко второму фактору какого-то сервиса (в вашем случае это Apple), обладая первым, не проблема двухфакторной аутентификации, а проблема вашего выбора факторов.
То, что злоумышленник может получить доступ ко второму фактору какого-то сервиса (в вашем случае это Apple), обладая первым, не проблема двухфакторной аутентификации, а проблема вашего выбора факторов.
Одним из доп. вопросов может служить не только дата активации аккаунта, но и, к примеру, фамилия и имя владельца. (чтобы получить скрины выше я несколько раз перевходил в форму восстановления).
Фамилию и имя несложно получить через соц сети, зная адрес почты или телефон. через тот же фейсбук. Даже если эти данные не отображаются на странице согл. выбранным вами настройкам приватности.
Фамилию и имя несложно получить через соц сети, зная адрес почты или телефон. через тот же фейсбук. Даже если эти данные не отображаются на странице согл. выбранным вами настройкам приватности.
Как вам это удалось?
Вчера только переписывался в gmail'овском коммьюнити по поводу не то чтобы восстановления пароля, я тупо в почту зайти не могу через браузер.
Суть проблемы: есть гугловский ящик, который использовался для всяких там регистраций. С него почтовик собирает почту по pop3, а через веб-морду я заходил туда раза 2-3 всего.
Захотел сменить пароль, пытаюсь зайти, а мне выдается: «Мы не уверены, что это вы. Пройдите процедуру сброса пароля». Ну ок, запускаю процедуру. Спрашивает последний пароль, который помню (спасибо, keepass), спрашивает дату создания аккаунта — ок, ввожу, спрашивает другой ящик для отправки кода — пишу, получаю код, ввожу код: «Извините, но мы все равно не уверены, что это вы. Доступ невозможен!»
Все! В собственный ящик не могу зайти!
Человеческой поддержки у них нет — сервис типа бесплатный, не положено. В коммьюнити сотни таких тем. В день по 10 новых открывают. Кому-то везет и сотрудники идут на уступку. Мне же отказали даже при том факте, что я могу читать письма с того ящика.
Причина — не заходил год в веб-морду. За этот год я переехал, переустановил винду, пересел на фаерфокс. Гугл считает, что этого достаточно, чтобы лишить меня аккаунта, которым я пользуюсь 5 лет. Благо, у меня к этому акку только всякие одноразовые регистрации привязаны. Но я теперь за другой ящик переживать начинаю. Вдруг и туда перестанет пускать.
Вчера только переписывался в gmail'овском коммьюнити по поводу не то чтобы восстановления пароля, я тупо в почту зайти не могу через браузер.
Суть проблемы: есть гугловский ящик, который использовался для всяких там регистраций. С него почтовик собирает почту по pop3, а через веб-морду я заходил туда раза 2-3 всего.
Захотел сменить пароль, пытаюсь зайти, а мне выдается: «Мы не уверены, что это вы. Пройдите процедуру сброса пароля». Ну ок, запускаю процедуру. Спрашивает последний пароль, который помню (спасибо, keepass), спрашивает дату создания аккаунта — ок, ввожу, спрашивает другой ящик для отправки кода — пишу, получаю код, ввожу код: «Извините, но мы все равно не уверены, что это вы. Доступ невозможен!»
Все! В собственный ящик не могу зайти!
Человеческой поддержки у них нет — сервис типа бесплатный, не положено. В коммьюнити сотни таких тем. В день по 10 новых открывают. Кому-то везет и сотрудники идут на уступку. Мне же отказали даже при том факте, что я могу читать письма с того ящика.
Причина — не заходил год в веб-морду. За этот год я переехал, переустановил винду, пересел на фаерфокс. Гугл считает, что этого достаточно, чтобы лишить меня аккаунта, которым я пользуюсь 5 лет. Благо, у меня к этому акку только всякие одноразовые регистрации привязаны. Но я теперь за другой ящик переживать начинаю. Вдруг и туда перестанет пускать.
Ну мне то удалось потому, что у меня привязан телефон для восстановления и резервная почта. А у вас я так понимаю ни того ни другого.
У mail.ru та же фигня была(много лет назад). Всё было хорошо, запомненный пароль в браузере слетел, обращение в поддержку, ответы на вопросы о последних письмах и… ничего.
Не уловил смысла названия. По мне так показ дыры айфонов, но никак не аргумент отказа от 2фв.
Почему-то в статье ставится равенство между «Двухэтапная аутентификация» и «SMS с кодом». Отсюда неправильный вывод «не использовать двухэтапную аутентификацию». А как же TOTP через приложение в телефоне или аппаратный токен? А ещё можно высылать одноразовый код через почту (как в Steam или GOG.com).
Вы правы, конечно, речь преимущественно о SMS.
Не использовал ранее приложения для авторизаций.
Не использовал ранее приложения для авторизаций.
А вы зачемто ставите равенство между двухэтапной и двухфакторной
Двухэтапная — SMS с кодом
Двухфакторная — TOTP
Двухэтапная — SMS с кодом
Двухфакторная — TOTP
А какая разница, смс или TOTP? Первый фактор/этап ведь пароль. Это два названия одного подхода.
Вот у Namecheap приходит смс, у множества других сервисов типа GitHub, Google, Facecbook, vk.com — TOTP. Это сути не меняет.
Статья вообще не о двухфакторке, а, скорее, о «side-channel attack» — взломе основного аккаунта через сброс пароля к нему на почту, от которой тоже сбрасывается пароль, причем с получение кода проверки на телефон. И о том, что узким местом в конечном итоге является уязвимость сервисов к контролю над SMS — но это вполне известно. Другое дело, что не будет лишним напомнить об этом еще раз.
Вообще имело бы смысл указать это в статье или даже поменять заголовок, чтобы не путать людей.
«Безопасность системы равна безопасности самого слабого звена» — об этом нельзя забывать. Можно иметь хоть десять факторов входа, но если их все можно сбросить через контроль над почтой — система слаба.
Вообще имело бы смысл указать это в статье или даже поменять заголовок, чтобы не путать людей.
«Безопасность системы равна безопасности самого слабого звена» — об этом нельзя забывать. Можно иметь хоть десять факторов входа, но если их все можно сбросить через контроль над почтой — система слаба.
> Двухэтапная — SMS с кодом
> Двухфакторная — TOTP
Это откуда такая классификация?
> Двухфакторная — TOTP
Это откуда такая классификация?
SMS нельзя считать фактором, так как его можно получить и не «имея» ничего.
Как именно, не имея контроля над соответствующей SIM, предполагается получить SMS?
Как угодно, вариантов масса в сети описана. Даже в посте написаны несколько.
«Код получаем через озвучивание его IVR’ом» — это не способ получить SMS.
Зайдём с другого конца, с чего вы взяли, что TOTP через приложение фактором является?
Зайдём с другого конца, с чего вы взяли, что TOTP через приложение фактором является?
1. fakebts, ss7 способы получить sms.
2. Я такое ни с чего не брал, это так везде пишут. Согласен, что приложение тоже не очень похоже на фактор «я имею». И я бы его тоже определил как этап, а не фактор, как и Google prompt.
2. Я такое ни с чего не брал, это так везде пишут. Согласен, что приложение тоже не очень похоже на фактор «я имею». И я бы его тоже определил как этап, а не фактор, как и Google prompt.
> fakebts, ss7
Напрашивается аналогия о квадрокоптере за окном, подглядывающим мои пароли. КМК такие частности это не убирает «факторность», они оправдывают саму многофакторность.
Напрашивается аналогия о квадрокоптере за окном, подглядывающим мои пароли. КМК такие частности это не убирает «факторность», они оправдывают саму многофакторность.
В статье перепутаны двухэтапная аутентификация и возможность восстановления пароля через телефон. Двухэтапная аутентификация повышает безопасность (но не так хорошо, как двухфакторная). Восстановление пароля через смс/звонок сводит получение доступа а аккаунту к получению доступа к номеру телефона. Ничего особенного.
Чем второй этап (после пароля) отличается от ввода второго фактора (после пароля)?
Пароль — это фактор «я знаю». Смс — это тоже фактор «я знаю», потому что он генерируется на стороне и передается получателю. В итоге его «знает» мобильный оператор и мало ли кто еще. Два одинаковых фактора — это двухэтапная, но однофакторная аутентификация. Одноразовый пароль в Google Authenticator или одноразовый пароль на бумажке — фактор типа «я имею». Два разных фактора — двухфакторная аутентификация.
Нет, смс это фактор "имею" (имею телефон). Этот код каждый раз разный, вы его наперед не знаете и подобрать не можете не имея в руках телефон, на который приходит код (уязвимости мобильных сетей здесь не учитываем, смс только один из способов).
Вашу смску можно получить без телефона, который вы «имеете». Почитайте «А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?»
Хак мобильной сети или ОС телефона это надежность второго фактора, она никак не влияет на первый (если восстановление пароля проходит через email, а доступ к email у вас через тот же телефон и смс то кто тут вам доктор). Статья же в заголовке этого не декларирует, поэтому я переживаю что люди начнут отказываться от второго фактора "потому что я это где-то читал/слышал".
Хак здесь вообще ни при чём. Вы правильно заметили, что владение телефоном может быть вторым фактором, когда он становится аппаратным токеном. Но смска не является вторым фактором, потому что для её получения обладание телефоном не обязательно.
Для её получения (при условии надежности сети) нужен телефон. Иначе можно сказать что телефон можно хакнуть удаленно и получить доступ к приложению, генерирующему токены, то есть телефон опять перестал быть вторым фактором. Но это всё не проблемы сервиса, использующего двухфакторную аутентификацию. Это всё ещё совершенно другой способ подтвердить что вы это вы с точки зрения сервиса. Сервис генерирует одноразовый токен и отправляет по смс. То, что канал доставки скомпрометирован на вашей стороне не проблема сервиса.
Это скорее проблема реализации, чем подхода. К примеру, у вас вместо смс может быть отправка сообщения в Tox на заранее согласованный профиль. Суть остается той же, но перехват сообщения без доступа к устройству с профилем Tox становится невозможным.
А, скажем, отпечатки пальцев — они, по-вашему, тоже не являются фактором? Ведь обладание пальцами не обязательно — человеку можно подсунуть чистый бокал, снять отпечатки и сделать по ним гелевую накладку.
Рекомендаций немного, и все они просты. Использовать для AppleID отдельную и надежную почту, не вымагающую номер телефона. Не светить AppleID. Для iMessage — общаться только с номера, не с почты. Регистрировать все важное (то, что таки требует номер тлф) на отдельную симку, которая лежит в шкафу. В качестве действительно двухфакторной аутентификации везде использовать TOTP, где возможно. Не ставить на один телефон симку для приема кодов от банка и приложение самого банка. Соцсети — отдельно.
Для Украины также актуально подписать контракт на основные симки всей семьи + симку в шкафу, + узнать у оператора про различные дополнительные опции по защите номера.
Для Украины также актуально подписать контракт на основные симки всей семьи + симку в шкафу, + узнать у оператора про различные дополнительные опции по защите номера.
И что вы будете делать с этой симкой в шкафу? Каждый раз тратить по 10 мин. чтобы залогиниться? А если в дороге приспичело? Может купить дешевый второй телефон… Все равно громоздко. Интересно, есть gsm модемы с экранами, только на прием смс? Будет что-то вроде банковского токена.
Отдельную SIM имеет смысл хранить в шкафу для восстановления, а не для аутентификации.
И через 3 месяца неактивности её просто молча у вас отберут :)
Да, про это нельзя забывать
В статье речь про Украину, у большинства операторов срок неактивности — год.
А если sim на контракте, наверное, так просто «отобрать» нельзя будет (кто лучше владеет материалом, поправьте).
А если sim на контракте, наверное, так просто «отобрать» нельзя будет (кто лучше владеет материалом, поправьте).
На самом деле срок немного отличается в зависимости от оператора. У одного из большой тройки- год с момента последнего самостоятельного пополнения счета, любым способом, кроме перевода с другого номера и на сумму от 5 грн. при этом в случае отсутствия (исходящей) активности по номеру его могут блокировать и раньше.
Блокировка подразумевает под собой два периода — первые на 60 суток, в течении которых можно принимать входящие звонки и смс, и вторые 30, в течении которых карта полностью оффлайн но может быть восстановлена через обращение в КЦ оператора. После полной блокировки номер уходит в перевыпуск после отстойника на ещё… месяцев.
У двух других больших операторов схема ± та же. Все таки номерная емкость дорогая штука.
Да, забыл- это касается только абонентов предоплаты. Контрактные номера (дополнительные) могут лежать без дела голами, при условии пользования любым другим номером на контракте.
Блокировка подразумевает под собой два периода — первые на 60 суток, в течении которых можно принимать входящие звонки и смс, и вторые 30, в течении которых карта полностью оффлайн но может быть восстановлена через обращение в КЦ оператора. После полной блокировки номер уходит в перевыпуск после отстойника на ещё… месяцев.
У двух других больших операторов схема ± та же. Все таки номерная емкость дорогая штука.
Да, забыл- это касается только абонентов предоплаты. Контрактные номера (дополнительные) могут лежать без дела голами, при условии пользования любым другим номером на контракте.
два раза в год (для надежности) пополнять на 5грн и звонить куда-нибудь — не такая уж и большая цена за безопасность. Это все-таки удобнее, чем проделывать то же самое каждые 90 или 45 дней, как иногда бывает.
Интересно, есть в мире операторы с большим сроком неактивности, чем год?
Интересно, есть в мире операторы с большим сроком неактивности, чем год?
Если упрощённо, то срок неактивности напрямую зависит от таких факторов как объём номерной емкости и второго, более тривиального- желания показать определённый объём абонентской базы:) хотя со вторым пунктом есть свои ньюансы, как например ARPU
Рекордсмен из известных мне — молдавский Unité 3G, там препейд-карточка живет в активном режиме полгода после последнего пополнения, и потом еще год в анабиозе (звонки и смс недоступны, но если пополнить счёт, симка оживет). Итого полтора года.
да, речь именно про восстановление пароля от особо важных сервисов. Все «ежедневное» — на основную либо вторую сим, если аппарат двухсимочный.
Нигде не видел возможности восстановления по аппаратному токену. А ведь его в шкафу можно хранить горааааздо дольше, чем симку.
вообще неплохо б написать универсальную либу/фреймворк аутентификации/восстановления пароля на всех популярных языках и продвигать как «стандарт». И в ней уже реализовать все возможные методы.
Не вполне понятно зачем. Крупные сервисы все равно будут использовать свои реализации, а мелким все равно не нужна двухфакторка.
В любом случае высказанное мной пожелание — задача больше административная.
В любом случае высказанное мной пожелание — задача больше административная.
Внезапно, такой стандарт уже есть!
https://en.wikipedia.org/wiki/Universal_2nd_Factor
Двухэтапная аутентификация в браузере с помощью USB-токена U2F
https://en.wikipedia.org/wiki/Universal_2nd_Factor
Двухэтапная аутентификация в браузере с помощью USB-токена U2F
http://www.aladdin-rd.ru/catalog/etoken/otp/
не реклама просто пример решения
не реклама просто пример решения
Едва ли можно считать SMS надежным и защищенным способом коммуникации. Я всегда рассматривал предложение сайтов ввести номер мобильного для «дополнительной защиты аккаунта» исключительно как способ выудить мой номер телефона для идентификации или в целях маркетинга. Да и какая это нафиг двухэтапная аутентификация, если для получения контроля над аккаунтом в результате достаточно только SMS?
Двухэтапная аутентификация. Хорошая идея, но на практике только упрощающая получение доступа к вашим данным, т.к. включает в себя слишком много дополнительных участников, которые тоже могут иметь свои уязвимости.
То есть ее придумали (и мало того, активно используют как люди так и различные структуры самого разного уровня) для того, чтобы упростить взлом? Может не надо так резко?
У меня смартфон защищен паролем и отображение входящих на экране отключено. «Ok, Google!» тоже отключен, поэтому если попросить мой смартфон озвучить последнее сообщение — ничего не услышите.
Я правильно понимаю, что единственный способ (помимо keylogger) сменить пароль к моему аккаунту — это получить у провайдера дубликат моей симки с новым ПИН-кодом?
Я правильно понимаю, что единственный способ (помимо keylogger) сменить пароль к моему аккаунту — это получить у провайдера дубликат моей симки с новым ПИН-кодом?
Не совсем. Получив доступ к личному кабинету пользователя оператора, вам могут поставить дистанционную переадресацию вызовов и запрошенный код можно будет получить так, как указ. во втором кейсе
Ну для получения доступа нужно знать пароль от кабинета (т.е. тоже только через тот же keylogger) или обратиться к провайдеру, что равносильно получению дубликата симки.
Вы правы, но в посте указывал — для подачи заявки на восстановление карты и для сброса пароля в ЛК данные требуются одинаковые.
Ловить карту жертве могут в любое время суток, но получать дубликат — только в рабочие часы точек обслуживания. И это требует обращения в точку, а значит и времени. У жертвы больше шансов увидев отсутствие сигнала на трубке обратиться в тому же оператору и пройдя идентификацию отменить заявку.
С ЛК в этом смысле значительно проще. Хотя тут и цели разные, наверное
Ловить карту жертве могут в любое время суток, но получать дубликат — только в рабочие часы точек обслуживания. И это требует обращения в точку, а значит и времени. У жертвы больше шансов увидев отсутствие сигнала на трубке обратиться в тому же оператору и пройдя идентификацию отменить заявку.
С ЛК в этом смысле значительно проще. Хотя тут и цели разные, наверное
Это когда воруют «свои» или те кто будет искать по соцсетям, чтобы добыть информацию о владельце телефона для связи с провайдером. Провайдер потребует назвать номер телефона, а он на симке не написан. Так что последние скорее всего отпадут. Или его можно считать с симки без ПИН-кода?
«Свой номер» в памяти телефона и/или СИМ-карты.
«Звонок другу» в конце концов :)
«Звонок другу» в конце концов :)
Ну согласитесь, что имея доступ к трубке, узнать номер уже не такая большая проблема. Добавим сюда возможные «Сири отправь смс на номер...»; использование стандартных пин кодов (не изменённых 0000, например) или вообще их неиспользование…
но в таких случаях правильно писали выше: ССЗБ
но в таких случаях правильно писали выше: ССЗБ
Разве все эти действия не требуют личного присутствия с паспортом у оператора? До сих пор не всякие тарифы можно через личный кабинет поменять, а вы хотите дубликат симки.
По поводу стати, она для домохозяек который используют один пароль и одну почту для всего, для людей которые хоть чуть чуть задумывают о безопасности, она не актуальна в принципе:
кейс первый — завладев моим смартфоном могут узнать мой гугловский аккаунт и даже угнать его допустим, но единственное что я потеряю, это телефонную книжку, и плеймаркет гугловский. ВСЕ остальные данные на других не связанных аккаунтах, о которых из телефона в принципе не узнать. Код восстановления привязан на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
кейс второй — откуда злоумышленнику знать хотя бы номер второй сим карты которая нигде не светится и не используется для коммуникаций?
кейс третий — третий кейс, не работает по той же причине что и второй.
Решение как всегда стандартное и старое — используйте разные пароли для разных целей, используйте различные не связанные между собой почтовые ящики для разных сервисов, и несколько лет назад к этому добавилось еще — используйте разные номера телефонов. Вот и все.
А так, могу написать такую же статью «Использовать нескольких почтовых ящиков/паролей — давай до свидания»
По поводу стати, она для домохозяек который используют один пароль и одну почту для всего, для людей которые хоть чуть чуть задумывают о безопасности, она не актуальна в принципе:
кейс первый — завладев моим смартфоном могут узнать мой гугловский аккаунт и даже угнать его допустим, но единственное что я потеряю, это телефонную книжку, и плеймаркет гугловский. ВСЕ остальные данные на других не связанных аккаунтах, о которых из телефона в принципе не узнать. Код восстановления привязан на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
кейс второй — откуда злоумышленнику знать хотя бы номер второй сим карты которая нигде не светится и не используется для коммуникаций?
кейс третий — третий кейс, не работает по той же причине что и второй.
Решение как всегда стандартное и старое — используйте разные пароли для разных целей, используйте различные не связанные между собой почтовые ящики для разных сервисов, и несколько лет назад к этому добавилось еще — используйте разные номера телефонов. Вот и все.
А так, могу написать такую же статью «Использовать нескольких почтовых ящиков/паролей — давай до свидания»
Мне кажется вы ошиблись комментарием. я не предлагал смены симки.
В целом же, давайте не мешать в кашу все вместе.
Втоая часть вашего комментария полностью верна: с использованием разных номеров телефона, разных и никак не связанных между собой учёток — такие (да и другие, думаю), атаки на ваши данные опис. методами, логично, исключены.
Многие так заморачиваются такими с схемами? К сожалению нет.
По поводу же остального комментария — какая разница, какой пароль (одинаковый или нет) на разных сервисах, если в итоге есть возможность получить доступ не используя пароля вообще? Выше в комментариях выложил картинку- имея только телефон без всяких проблем сменил себе пароль в G.
По поводу телефонной книжки и аккаунта в play market- тут каждому своё. Допустим я ценю свою телефонную книгу больше стоимости устройства, а на учётной записи AppStore у меня подвязаны ещё 5 устройств, которые легко могут уйти в lost режим в случае доступа того, кому это понадобится и куплено приложений на большую сумму, так что у меня потеря как то не воспринималась бы как «ай, и ладно».
Пост был о том, что не следует везде использовать такую удобную и крутую штуку как номер телефона, и не следует доверять защиту своих данных операторам и прочим.
Для вас это и так очевидно? Это хорошо, я за вас рад.
В целом же, давайте не мешать в кашу все вместе.
Втоая часть вашего комментария полностью верна: с использованием разных номеров телефона, разных и никак не связанных между собой учёток — такие (да и другие, думаю), атаки на ваши данные опис. методами, логично, исключены.
Многие так заморачиваются такими с схемами? К сожалению нет.
По поводу же остального комментария — какая разница, какой пароль (одинаковый или нет) на разных сервисах, если в итоге есть возможность получить доступ не используя пароля вообще? Выше в комментариях выложил картинку- имея только телефон без всяких проблем сменил себе пароль в G.
По поводу телефонной книжки и аккаунта в play market- тут каждому своё. Допустим я ценю свою телефонную книгу больше стоимости устройства, а на учётной записи AppStore у меня подвязаны ещё 5 устройств, которые легко могут уйти в lost режим в случае доступа того, кому это понадобится и куплено приложений на большую сумму, так что у меня потеря как то не воспринималась бы как «ай, и ладно».
Пост был о том, что не следует везде использовать такую удобную и крутую штуку как номер телефона, и не следует доверять защиту своих данных операторам и прочим.
Для вас это и так очевидно? Это хорошо, я за вас рад.
Я думаю люди, для которых это не очевидно, данный и подобные ресурсы в принципе не читают. Вы же не от домохозяек ожидали комментарии?
Дело в том, что вы предлагает не использовать то, что не использовать невозможно в обычной жизни. Во всяком случае это будет выглядеть как извращение. Как написали в комментариях — не позаботились о простейшей безопасности и по надеялись на других людей которым в большинстве случаев это не важно? — ССЗБ.
Есть такая замечательная книжка от Кевина Митника, то что там описано, сейчас элементарно можно применять в России, потому что культуры безопасности у нас нет. Звонишь, представляешь сотрудником ит отдела и тебе все предоставят, включая удаленный доступ, потому что никто айтишников никогда в глаза не видел, а про «безопасность» слышали только в фильмах. И это не фантазии, я лично путал телефонный номер и звонил не на ту фирму, и народ пытался найти указанный мной компьютер, было весело.
Дело в том, что вы предлагает не использовать то, что не использовать невозможно в обычной жизни. Во всяком случае это будет выглядеть как извращение. Как написали в комментариях — не позаботились о простейшей безопасности и по надеялись на других людей которым в большинстве случаев это не важно? — ССЗБ.
Есть такая замечательная книжка от Кевина Митника, то что там описано, сейчас элементарно можно применять в России, потому что культуры безопасности у нас нет. Звонишь, представляешь сотрудником ит отдела и тебе все предоставят, включая удаленный доступ, потому что никто айтишников никогда в глаза не видел, а про «безопасность» слышали только в фильмах. И это не фантазии, я лично путал телефонный номер и звонил не на ту фирму, и народ пытался найти указанный мной компьютер, было весело.
«Разве все эти действия не требуют личного присутствия с паспортом у оператора? До сих пор не всякие тарифы можно через личный кабинет поменять, а вы хотите дубликат симки.»
Был недавно случай в Германии по банковским махинациям с mTAN. Преступники использовали трояна или присылали Phishing-письма с переадрессацией на поддельный сайт банка, где пользователи заносили свои данные как номер банковского счёта и номер мобилки. Потом преступники звонили провайдеру (при чём самому крупному провайдеру в Германии) и представлялись как продавцы мобилок/сим-карт. Провайдеру они говорили, что к ним в «магазин» пришли люди, которые потеряли симку и поросили выслать новую на адресс этого «магазина». Потом с дубликатом симки переводили деньги со счёта с помощью mTAN.
Вот так просто можно было получить дубликат симки. После этого случая сказали, что усложнят систему, но кто их знает.
(Пруф этой истории: https://www.heise.de/security/meldung/Online-Banking-Neue-Angriffe-auf-die-mTAN-2851624.html)
на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
Сейчас набирают обороты такие системы как Apple Pay, где всё идёт через смартфон. Удобно. Тут уже способ с двумя мобилками не проканает. Да можно отказаться от них и везде платить наличными, но так же можно и отказаться от смартфона и использовать только мобилку с функцией звонилки.
Я пока такими системами не пользуюсь и банковский счёт у меня к смартфону не привязан, но уже на Западе поговаривают об отмене наличных. У скандинавов вообще чуть ли не 80% расчётов идёт безналичными.
Вот вчера например был репортаж на ТВ, что почти все аддоны (как AdblockPlus, Ghostery и WOT) собирают полную информацию о пользователях. При чём неанонимно как они все утверждают. И эту инфу можно купить у тех, кому принадлежат эти аддоны. Официально. Журналисты купили и смогли много чего узнать. При чём они узнали по этой инфе кто эти люди, кем работают и какие страницы посещают. Были там и судьи, и полицейские с садомазо.
Этот что ли? Там только про WOT сказали же, нет?
ПД особенно паспорт не так сложно найти, а ВОТ уже с ЭТИМИ данными все становится ГОРАЗДО проще…
Еще есть ss7 и fakebts
Или сделать дубликат симки. Для этого не требуется пин код. Вероятность успеха операции близка к 99 процентам.
кейс №1: почему не залочена СИМ-карта? ССЗБ
кейс №2: переадресация СМС? У кого? В Киевстар мне два раза пытались подобрать вход в личный кабинет — закончилось перезвоном оператора и одновременной блокировкой номера до моего визита в СЦ
кейс №3: фантазии на тему ограбления какого-то предпринимателя в Симферополе зимой 2013/14 через сотрудников местного офиса Киевстар (выпустили СИМ-карту двойника номера предпринимателя). От таких маневров не спасут никакие системы персональной защиты, если СБ сервиса протупила.
В общем все эти кейсы просто фантазии автора на тему имеющихся махинаций с применением спецслужб или откровенный криминалитет. Хотя история с «Телеграмом» кое-кого так и не получила однозначного объяснения — возможно и фантазии.
кейс №2: переадресация СМС? У кого? В Киевстар мне два раза пытались подобрать вход в личный кабинет — закончилось перезвоном оператора и одновременной блокировкой номера до моего визита в СЦ
кейс №3: фантазии на тему ограбления какого-то предпринимателя в Симферополе зимой 2013/14 через сотрудников местного офиса Киевстар (выпустили СИМ-карту двойника номера предпринимателя). От таких маневров не спасут никакие системы персональной защиты, если СБ сервиса протупила.
В общем все эти кейсы просто фантазии автора на тему имеющихся махинаций с применением спецслужб или откровенный криминалитет. Хотя история с «Телеграмом» кое-кого так и не получила однозначного объяснения — возможно и фантазии.
К моему сожалению, это не фантазия автора, а краткое описание ситуации имевшей место в прошлую субботу и разбирательства того, как докатились до такой жизни.
Сим карту блокировать — верный шаг, но конкретно в моем случае, не хотелось этого делать сразу т.к. была надежда, что человек засветит свое местоположение через iCloud и мобильный интернет.
о кейсе №3 вашего комментария: я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
Сим карту блокировать — верный шаг, но конкретно в моем случае, не хотелось этого делать сразу т.к. была надежда, что человек засветит свое местоположение через iCloud и мобильный интернет.
о кейсе №3 вашего комментария: я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
> Сим карту блокировать — верный шаг, но конкретно в моем случае, не хотелось этого делать сразу т.к. была надежда, что человек засветит свое местоположение через iCloud и мобильный интернет.
Повторю еще раз: ССЗБ (сам себе злобный буратино). Больше мне добавить нечего.
> я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
Телекомам таким надо яйца отрывать за набор на работу непонятно кого за непонятно какие деньги и совершенно безконтрольно. Из-за вас при малейшем нестандарте от типовых входов мне «Приват24» теперь голосом оператора звонит и требует подтверждения операции. И что мне делать, когда телефон принял вызов и отрубился из-за батареи? :)
PS
Вы явно не бывший сотрудник «КС»/«МТС». Life:)?
Повторю еще раз: ССЗБ (сам себе злобный буратино). Больше мне добавить нечего.
> я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
Телекомам таким надо яйца отрывать за набор на работу непонятно кого за непонятно какие деньги и совершенно безконтрольно. Из-за вас при малейшем нестандарте от типовых входов мне «Приват24» теперь голосом оператора звонит и требует подтверждения операции. И что мне делать, когда телефон принял вызов и отрубился из-за батареи? :)
PS
Вы явно не бывший сотрудник «КС»/«МТС». Life:)?
Ну Приват в своё время сильно понадеялся на операторов их процедуры, привязав все действия к мобильному телефону пользователя, это да… Симки на бомжей всяких восстанавливали подбирая наиболее оптимальное время.
Контрактным абонентам обычно проще. А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
на счет PS, да просто бывший и всё :)
Контрактным абонентам обычно проще. А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
на счет PS, да просто бывший и всё :)
> Симки на бомжей всяких восстанавливали подбирая наиболее оптимальное время.
Контрактным абонентам обычно проще.
И чего это я с 1999 года на контракте сижу? Неужели только из-за статуса «золотого абонента»? :) Вести что-то важное через анонимные средства доступа может только полный даун. ССЗБ.
> А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
Так на то оно и анонимное, что ты обезличен для оператора. Еще раз: ССЗБ.
PS
«От жлобства одни неудобства» © народная мудрость
«Скупой платит дважды» © народная мудрость
Контрактным абонентам обычно проще.
И чего это я с 1999 года на контракте сижу? Неужели только из-за статуса «золотого абонента»? :) Вести что-то важное через анонимные средства доступа может только полный даун. ССЗБ.
> А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
Так на то оно и анонимное, что ты обезличен для оператора. Еще раз: ССЗБ.
PS
«От жлобства одни неудобства» © народная мудрость
«Скупой платит дважды» © народная мудрость
Как-то излишне дофига допущений. У хакера и пароль есть, и доступ к телефону, и к личной информации… А все двухфакторная аутентификация виновата, да…
Может быть кому-то будет интересно — недавно наткнулся на очень красивое описание разницы между двухэтапной и двухфакторной авторизацией.
Всего есть 4 фактора: ты что-то знаешь, у тебя что-то есть, ты находишься в определённом месте и ты являешься кем-то. В применении к компьютерной авторизации это, соответственно: пароль, одноразовый пароль сгенерированый на устройстве, гео-локация и сканер отпечатка/сетчатки/etc.
Для того что бы авторизация была именно двухфакторной, эти самые факторы должны быть разными. И вот тут основное отличие. Если одноразовый пароль присылают по СМС, в почту или как-то ещё, то работает фактор знания. Для того, что бы работал фактор владения, то этот пароль должен генерироваться непосредственно у тебя в руках. Это может быть Google-authenticator, E-NUM, аппаратный токен.
А по статье — соглашусь с мнением somniator. И, наверное, nazarpc. Но он не смог внятно аргументировать позицию. То, что пароль можно восстановить, имея на руках телефон жертвы (или доступ к СМС), никак не связано с двухэтапной аутентификацией. Последняя может быть вообще отключена, а пароль через СМС сбросить можно будет.
Всего есть 4 фактора: ты что-то знаешь, у тебя что-то есть, ты находишься в определённом месте и ты являешься кем-то. В применении к компьютерной авторизации это, соответственно: пароль, одноразовый пароль сгенерированый на устройстве, гео-локация и сканер отпечатка/сетчатки/etc.
Для того что бы авторизация была именно двухфакторной, эти самые факторы должны быть разными. И вот тут основное отличие. Если одноразовый пароль присылают по СМС, в почту или как-то ещё, то работает фактор знания. Для того, что бы работал фактор владения, то этот пароль должен генерироваться непосредственно у тебя в руках. Это может быть Google-authenticator, E-NUM, аппаратный токен.
А по статье — соглашусь с мнением somniator. И, наверное, nazarpc. Но он не смог внятно аргументировать позицию. То, что пароль можно восстановить, имея на руках телефон жертвы (или доступ к СМС), никак не связано с двухэтапной аутентификацией. Последняя может быть вообще отключена, а пароль через СМС сбросить можно будет.
А ещё я буду обновлять страницу перед отправкой комментария. Тут уже дали ссылку на статью, с которой я скомпилировал это сообщение.
Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент.
И как же можно узнать Apple ID? Недавно на работе не могли разлочить айпад бывшего сотрудника.
UFO just landed and posted this here
Поможет ли такая схема: вставляем симку в звонилку за 100руб. и кладём рядом с пк, а ходить с симкой на которую ничего не привязано, поможет ли такая схема при угоне (не учитывается естественно прямой брутфорс)?
Есть ещё вариант, когда из-за двухфакторной аутентификации нельзя войти в аккаунт. Так было у меня с Dropbox-ом. На новый компьютер попытался поставить, а он требует пароль из SMS-ки. В течении 2-х дней я пытался послать себе в сумме десяток SMS-ок. Ни одна не дошла до телефона. Хорошо, что был вариант зайти с компьютера, где уже установлен и настроен аккаунт — там пароль с телефона не потребовался.
Посылали, случаем, не на номер от Google Voice или от подобного ему? Там есть проблемы совместимости с SMS-гейтами:
Sending text messages from a website like Skype or Facebook to your Google number currently won't be received. This is because these websites treat text messages as though they are sending a text message to an email address, which Google Voice doesn’t support. Please contact the other provider for further information.© Google
Только что попробовал восстановить пароли в Google аккаунте и Appli ID. Ни там ни там нет возможности восстановить пароль через СМС.
На iOS 9, вроде как, действительно Siri читала последнее сообщение, но сейчас, с последними обновлениями, просит пароль.
Это не так. Даже под паролем экрана на os10+, Сири позволяет это сделать. А еще, кстати, и отправить смс. Например о переводе с банковской карточки или номера мобильного, да :)
пример
Я это отключил, а так же голосовой помощник (не Siri, а именно голосовой помощник, сильно был ещё до Siri) на лок-скрине не работает — говорит, что голосовой помощник недоступен при заблокированном экране. Кстати, вроде даже не айфонс/макдигер/апплинсайдер пару недель назад про это писали.
Кстати, что заметил, если открыть верхнюю шторку с уведомлениями, то там есть поле поиска и буфер обмена таким образом открыт — я вставил какой-то телефон, который копировал ранее из контактов в мессенджер. Никак с топиком не связано, просто интересный факт.
Кстати, что заметил, если открыть верхнюю шторку с уведомлениями, то там есть поле поиска и буфер обмена таким образом открыт — я вставил какой-то телефон, который копировал ранее из контактов в мессенджер. Никак с топиком не связано, просто интересный факт.
У меня 10.2Pbeta1 ещё. в ней проверил — работает таки.
Вообще же, если отключать все, что теоретически может повлечь за собой проблемы и риски, можно вообще просто не включать телефон :)
Шучу конечно.
Вообще же, если отключать все, что теоретически может повлечь за собой проблемы и риски, можно вообще просто не включать телефон :)
Шучу конечно.
Хм, забавно. А по поводу «отключить всё» — угу, становится некомфортно жить, особенно, если раньше пользовался. Я отключил предварительный показ текста в сообщениях, не только потому, что банковские коды приходят, сколько от посторонних глаз и вот это реально печалька. Вот бы ещё скрыть имя отправителя, что бы было видно только инициирующее приложение вообще без подробностей.
На новых SIM-картах PIN-код отключён по умолчанию и является стандартным (обычно 0000), а не как раньше рандомно сгенеренный и в конверте запечатан. Как уже говорилось, будь включён PIN-код, ничего бы не произошло. Но множество людей не пользуются PIN-кодом не то, что для SIM-карты, но и для телефона.
Тут уже давали ссылку, я лишь ещё раз её повторю, т.к. именно она полностью сделала для меня видимой разницу между двухэтапной/двухфакторной аутентификацией: http://www.outsidethebox.ms/18372/
Ну и на Wiki так же доступно написано: https://ru.wikipedia.org/wiki/Многофакторная_аутентификация
Кстати говоря, есть вполне доступные, «попсовые» токены, которые могут быть более надёжной альтернативой OTP на смартфоне и уж тем более SMS. Например такой: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ (от Российского производителя и продаётся у нас) либо такой https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/ (в РФ, как я понял, его не найти, только ebay/ali/etc)
На первом аппаратном токене, от Джакарты, при аутентификации надо нажать на токене на аппаратную кнопочку, тогда аутентификация успешно проходит. Есть ли на аппаратном токене от Yubikey такое — не знаю.
Вот тут есть список сервисов, которые поддерживают аппаратные U2F-токены: http://www.dongleauth.info/#email
На хабре про U2F как минимум пара статей точно есть:
https://habrahabr.ru/post/256579/
https://habrahabr.ru/post/305508/
Теоретически, можно отвязать от сервиса телефон, добавить туда аппаратный токен, добавить OTP. Хранить токен дома, а OTP иметь на телефоне. ИМХО, в данном случае сочетается удобство и приемлемая безопасность — когда нужно на новом устройстве аутентифицироваться, то используется OTP, однако в случае, когда OTP более недоступен (утеря смартфона, его поломка), то всегда можно с помощью токена зайти. Так же есть Резервные коды, которые так же можно хранить рядом с аппаратным токеном (вдруг поломается). Другое дело, что всё вышеперечисленное есть у Gmail и, вроде, у Mail.Ru, но у подавляющего большинства остальных — такого нет.
Тут уже давали ссылку, я лишь ещё раз её повторю, т.к. именно она полностью сделала для меня видимой разницу между двухэтапной/двухфакторной аутентификацией: http://www.outsidethebox.ms/18372/
Ну и на Wiki так же доступно написано: https://ru.wikipedia.org/wiki/Многофакторная_аутентификация
Кстати говоря, есть вполне доступные, «попсовые» токены, которые могут быть более надёжной альтернативой OTP на смартфоне и уж тем более SMS. Например такой: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ (от Российского производителя и продаётся у нас) либо такой https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/ (в РФ, как я понял, его не найти, только ebay/ali/etc)
На первом аппаратном токене, от Джакарты, при аутентификации надо нажать на токене на аппаратную кнопочку, тогда аутентификация успешно проходит. Есть ли на аппаратном токене от Yubikey такое — не знаю.
Вот тут есть список сервисов, которые поддерживают аппаратные U2F-токены: http://www.dongleauth.info/#email
На хабре про U2F как минимум пара статей точно есть:
https://habrahabr.ru/post/256579/
https://habrahabr.ru/post/305508/
Теоретически, можно отвязать от сервиса телефон, добавить туда аппаратный токен, добавить OTP. Хранить токен дома, а OTP иметь на телефоне. ИМХО, в данном случае сочетается удобство и приемлемая безопасность — когда нужно на новом устройстве аутентифицироваться, то используется OTP, однако в случае, когда OTP более недоступен (утеря смартфона, его поломка), то всегда можно с помощью токена зайти. Так же есть Резервные коды, которые так же можно хранить рядом с аппаратным токеном (вдруг поломается). Другое дело, что всё вышеперечисленное есть у Gmail и, вроде, у Mail.Ru, но у подавляющего большинства остальных — такого нет.
Статья действительно хорошая. Грань для SMS между 2SV & 2FA лежит в том, можно ли злоумышленнику принять смс (вытащить незащищенную пин-кодом симку, через сири, прочитать на экране и т.д.). Хотя все же лучше схема с разделением — описанная вами или мной (про сим для восстановления пароля «в шкафу»)
Yubico поддерживает U2F, более того, есть даже дешевые ключики по 5$ (точнее были, на момент написания комментария на амазоне пока нет в наличии, но можно же погуглить… :) )
На гмайл для привязки токена все равно нужно вводить телефон. Возможно ли привязяв токен, удалить телефон — не в курсе.
Yubico поддерживает U2F, более того, есть даже дешевые ключики по 5$ (точнее были, на момент написания комментария на амазоне пока нет в наличии, но можно же погуглить… :) )
На гмайл для привязки токена все равно нужно вводить телефон. Возможно ли привязяв токен, удалить телефон — не в курсе.
Это всё конечно хорошо, но что бы отвязать устройство от AppleID нужно знать не только пароль а еще ответы на секретные вопросы
Имея телефон (не выполняя сброса, разумеется) и зная пароль, можно без особого труда сбросить эти вопросы через обращение в поддержку по телефону, а иногда и без таковой. Try it — https://iforgot.apple.com/password/verify/appleid
Ответы требуемые странице могут отличаться, но если устройство не новое, то часто доступен метод «девайс», с получением пуша на устройстве.
Ответы требуемые странице могут отличаться, но если устройство не новое, то часто доступен метод «девайс», с получением пуша на устройстве.
Кейс четвертый:
К тебе подходят типы со стволом и просят перерегистрировать айфон на одного из них…
К тебе подходят типы со стволом и просят перерегистрировать айфон на одного из них…
Как-то плоховатенько с третьим кейсом получилось. Вроде в наше время в полосатом операторе стоит система отслеживания действий сотрудника КС. То не было у него доступа к профилям, которые он не обслуживал в данный момент (не получил звонка/инцидента в ближайшие 10 минут — нет прав открывать сторонний профиль), то просто все действия фиксировались и возникала алярма на компе ведущего группы или сотрудника отдела качества. Т.е. устраивали в каком-то виде разборы с СБ.
О других операторах не могу утверждать.
О других операторах не могу утверждать.
В КС стоит подобная «аппаратная» система? Т.е. не административный запрет, а конкретно, технический?
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Возможно, такие действия сотрудников оцениваются процедурно, при еже*(дневной? месячной? квартальной?) аттестации сотрудника с выбором рандомных разговоров (например) и с снятием рубля за действия не по процедуре, но что они ВООБЩЕ никак не могут увидеть информацию… очень маловероятно.
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Возможно, такие действия сотрудников оцениваются процедурно, при еже*(дневной? месячной? квартальной?) аттестации сотрудника с выбором рандомных разговоров (например) и с снятием рубля за действия не по процедуре, но что они ВООБЩЕ никак не могут увидеть информацию… очень маловероятно.
В КС стоит подобная «аппаратная» система? Т.е. не административный запрет, а конкретно, технический?
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Таки Вы не работали в КС, как я и предположил :)))
Банальное разделение прав доступа — такой переход делается через передачу вызова на «старшего по смене» или через СБ. Никаких проблем.
Система конечно же не аппаратная, а софтварная. Мой пост был направлен в первую очередь на тот факт, что такого рода действия фиксируются. И по мере возможности жестко пресекаются.
И если раньше в КС было «не лазать туда, не делать того, иначе бо-бо», то сейчас пришли к автоматизации сего действа. Которая так или иначе глубже контролирует сотрудников.
Т.е. я хотел сказать, что указанный автором третий кейс маловероятен. По крайней мере у некоторых сотовых операторов.
Может среди остальных читателей geektimes найдется кто-то из реального КС и прольет свет на этот кейс?
И если раньше в КС было «не лазать туда, не делать того, иначе бо-бо», то сейчас пришли к автоматизации сего действа. Которая так или иначе глубже контролирует сотрудников.
Т.е. я хотел сказать, что указанный автором третий кейс маловероятен. По крайней мере у некоторых сотовых операторов.
Может среди остальных читателей geektimes найдется кто-то из реального КС и прольет свет на этот кейс?
Автор сосредоточился на недостатках использования телефона для двухэтапной аутентификации.
Двухэтапная аутентификация может использовать токен.
Или приложение.
В одном из банков с которым я имел дело для доступа в интернет банкинг тебе нужен пароль и цифровой код генерируемый аппаратным токеном.
Такая двухэтапная аутентификация безопасней чем использование одного пароля.
Двухэтапная аутентификация может использовать токен.
Или приложение.
В одном из банков с которым я имел дело для доступа в интернет банкинг тебе нужен пароль и цифровой код генерируемый аппаратным токеном.
Такая двухэтапная аутентификация безопасней чем использование одного пароля.
Почитайте комментарии. Или можно сразу статью.
Тогда это уже будет двухфакторная. И да, она намного безопаснее.
Двухэтапная аутентификация может использовать токен
Тогда это уже будет двухфакторная. И да, она намного безопаснее.
Sign up to leave a comment.
Двухэтапная аутентификация — давай до свидания