Comments 257
Все это общеизвестно, ничего нового не узнал для себя.
Вы, может быть, и не узнали.
А я написал статью в ответ всем своим разновозрастным родственникам и знакомым, из которых 99% не знают ничего кроме СМС и которые задергали меня вопросами, что делать если не попасть на госуслуги, потому что смс ходят по 3 часа, а мессенджеры не работают совсем. И чтобы не объяснять каждому механизмы, просто теперь буду давать ссылку на свою статью.
Во всяком случае, у меня в более нет мыслей, какие еще методы они смогут освоить, может профессиональные безопасники помогут в комментариях, чтобы дедушкам, бабушкам было удобно пользоваться.
Да, наверное вы правы.
Вы не написали статью, вы её сгенерировали
А вы не замечали, что длинные тире редактор хабра сам расставляет?
Заметил, что пообщавшись долгое время с ИИ уже и сам начинаю писать в стиле ИИ. Бесит...
PS: Насчет статьи ничего не утверждаю.
Заметил, что пообщавшись долгое время с ИИ уже и сам начинаю писать в стиле ИИ. Бесит...
И тебе не хворать, шершавый кабан!
В наше время стало очень много текста сгенерированого ИИ. Его можно определить стилистически и по специальным символами которые добавляются между словами и видны только машинам. Хочешь я соберу еще факты как можно определить что текст сгенерирован ИИ?
Вы в словах «скопировал из вывода языковой модели» допустили несколько ошибок
пример не очень хороший с дверью и вторым замком... "не нужен интернет, время должно совпадать", - просто если внутри девайс съехал или отрубился, то пилить дверь как-то не прельщает... на западных биржах пользуюсь и в других аккаунтах пользуюсь гуглом, и в самом гугле гуглом, чтоб не сперли аккаунт, но в росии хз, дай список банков, в которых можно такое настроить? у меня есть счета в росии, но что-то я не видел такой возможности установить иджис или гугл тем более... проясни о чем ты?
SMS-коды — это защита уровня «дешевая проволока». Вроде есть, но перекусывается кусачками за секунду. Мессенджеры для кодов — это попытка забивать гвозди микроскопом, продавая при этом ваши данные.
Текст как из теплицы: ровный, стерильный и без запаха. Мысли выстроены аккуратно, но ни одна не выглядит прожитой. Читается так, будто автор ни разу не думал — только сгенерировал.
(автор решил, что быть прослойкой между LLM и читателями дело благодарное, отвечает ему пусть тоже LLM)
Это уже было.... у Станислава Лема.
....Разоблачили еще сорок три робота, пока профессор Баттенхэм разъяснял нам, что Маттрасса можно рассматривать как образчик космического конгломерата; тут я вспомнил, что об этом уже шла речь: как видно, юристам не хватало доводов, но внезапно вновь началась проверка. Теперь без стеснения просвечивали всех подряд и обнаруживали, что собравшиеся скрывают под безупречно сидящими костюмами части из пластмассы, нейлона, стекла и даже соломы. Кажется, в одном из последних рядов нашли кого-то, начиненного паклей. Когда очередной оратор сошел с возвышения, я оказался один как перст посреди огромного пустого зала. Оратор был просвечен и вышвырнут за дверь. Тогда председательствующий, единственный человек, оставшийся, кроме меня, в зале, подошел к моему креслу. Сам не знаю почему, я взял у него из рук компас, и вдруг стрелка дрогнула и неумолимо повернулась к нему. Я постучал пальцем по его животу и, услышав дребезжание, машинально взял председателя за шиворот, вытолкал за дверь и остался, таким образом, в одиночестве. Я стоял перед несколькими сотнями брошенных портфелей, пухлых досье с протоколами, шляп, тростей, книг, переплетенных в кожу, и галош. Побродив бесцельно по залу и убедившись, что мне здесь нечего делать, я повернулся и пошел домой.
Интернет убьёт не цензура государств, и не копирайт корпораций. Его убьет человеческая лень и LLM. ;)
У Гарри Гаррисона тоже, помнится, было, когда на заседании антиправительственного сообщества все были шпиками, кроме главгера, который просто позырить зашёл :)
Пикабу или ВК бы более подошёл для этой статьи, чем Хабр. Предполагается, что местная аудитория всё это знает (и также понимает минусы totp, главный из которых – вопрос "как бэкапить").
Нет, друг сказал, что его статью с тотр против такса боты на пикабу утопили сразу в минусах. Поэтому публикуется здесь - здесь хоть жить будет, возможно. Можно на ликбез людей сюда отправлять.
Почему-то наблюдаю на пикабу обратное – разъясняют, как настроить тотп, а посты, ругающие Макс, регулярно заплюсовываются. Так что, вероятно, ваш друг просто сумел разозлить аудиторию :-)
Но даже если бы вы были правы – всё ещё объяснения, как пользоваться тотп, нужны там, а не тут.
У пикабу есть особенность - там боты хитрые. Если просто ругают макс, ничего не делается, все хорошо, черный пиар - все запомнят. Если ругают, предлагая альтернативу - утопят сразу.
Ну я вот прочитал на Хабре. Заинтерисовался, мне кажется далеко не твое дело где публиковать человеку статьи. К слову у тебя ни одной стать опубликованной, видимо не нашлась та великая тематика на которую ты можешь, что-то тут нам поведать. Зато 4.5к комментариев на подобии этому с удовольствием накатал. Зачилься немного.
Вы в любом случае не можете отключить в банке/на госуслугах восстановление пароля по СМС, можно хоть сетчатку глаза в секретной пещере организовать, но если клонировав симку/получив доступ к СМС каналу до пользователя можно восстановить пароль - толку от включения ТОТП нету. Вот если бы была возможность ограничить взаимодействие с банком/госами исключительно ТОТП или ногами с паспортом в отделение - тогда да...
Основная мысль статьи это не защита от клонирования симки(ситуация на деле редчайшая), а вот что делать здесь и сейчас, если на госуслуги не попасть по причине того, что мобильная связь и интернет просто не работают. А интернет по проводу работает, с чем сталкивается уже 90% граждан РФ.
Вот раньше так и было: в договоре указывался логин пароль и секретная фраза (которая и сейчас везде осталась, но ее никто не спрашивает, ни один сервис, а сразу привяжите номер телефона, или как у гугла, ваще супер: вы не вы дайте любой номер телефона и вы сразу станете собой)
Так смс код тоже может жить минуту, две, три и тп
А если клонировали вашу сим карту, то у меня для вас плохие новости, уровень проблемы гораздо глубже, чем простое подтверждение банковских операций.
На этот случай при риске потери телефона я рекомендую держать кнопочный филипс с батарейкой на 2 месяца дома, да еще с таким номером, чтобы никто не связал вашу фамилию и номер, т.е. не с тем номером по которому говорите.
В идеале симка для резервного восстановления дома ТОТР с собой для повседневного использования.
еще с таким номером, чтобы никто не связал вашу фамилию и номер
Учитывая зашкаливающее количество утечек за последние 3 года, а также то что недавно наконец вычистили все "серые" симки благодаря недавним законам об ограничениях количества сим-карт на одного человека - это-то как раз стало невозможным.
Вкупе с отсутствием любых иных способов авторизации для физлиц во всех крупных банках РФ кроме SMS - в голову даже лезет внезапный вопрос - уж не нарочно ли так получается, что невозможно нормально самостоятельно защитить свои средства в банках РФ? И что единственным способом остается покупка (платной) страховки?
Мне сложно представить, даже при целенаправленной атаке, чтобы злоумышленник пытался перевыпустить, скажем, 5 симок жертвы, с последовательным перебором их всех. Обычно берется симка человека по которой он и звонит,
Я могу представить такой сценарий, но на такую атаку надо ну очень много денег. Скорее всего такая атака доступна только большим организациям.
чтобы злоумышленник пытался перевыпустить, скажем, 5 симок жертвы
А зачем? СБП вам услужливо подскажет на какой симке какой банк. Даже если отключить СБП (не все банки дают кстати) - все равно наверняка останется подбор номера в ЛК самого банка.
А данные из утечек и помогут злоумышленнику отфильтровать миллионы номеров до тех же 5 номеров конкретного человека (а это мы еще про пробивы не вспоминали).
Чтобы решиться на такую атаку - надо точно знать, что у данной бабушки на этой карте с таким номером лежит большая сумма. Сделать поддельный паспорт или сговориться с оператором и выпустить такую симку. Сложно, но можно.
Я же предложил простой рецепт решения насущной проблемы, конкретно с госуслугами для родственников, а не гипотетический непробиваемый сейф от мощной группы.
Да и потом, при доказательстве хищения - деньги у бабушки застрахованы.
В тинькове можно поменять номер на не РФ, например.
Хороший пример, как не надо делать.
У моей тещи как раз лежал телефон с симкой. Водафон, если что. Она за номер платила (автоматом с банка, пропусков не было), но не разговаривала. Чисто для двух банков. Там был какой-то минимальный тариф. Через два года обнаружила, что после включения симка не входит в сеть. Позвонила оператору со своего "повседневного" номера. Тадам! Номер оказывается уже почти год, как у кого-то другого. Там конечно "дико извинялись", деньги даже вернули (точнее, сделали кредитное начисление), но вернуть номер не могли.
Вот вам и "резервный телефон".
У наших операторов - правило раз в квартал с телефона надо отправить одну смс, чтобы номер не отобрали, а то они считают его нерабочим. Такие правила.
Это логично для тарифов без АП. Но если регулярно платишь за номер, разве отключают?
У них есть плата за молчание, проще раз в квартал сделать 1 звонок для снятия платы.
Это логично, но должно быть исключение для номеров зарегистрированных на госуслугах хотябы. Или банкам.
Это логично, но должно быть исключение для номеров зарегистрированных на госуслугах хотябы. Или банкам.
Нет. Это логично и никаких исключений вводить не надо. Это госуслги и банки должны, наконец, про эту логику вспомнить и измениться соответственно, перестав применять телефонный номер, предполагая те свойства, которыми он не обладает.
Это, кстати, выглядит гораздо легче к выполнению, чем городить Еще Одну Систему, с которой операторы сверяться должны. (Потому что если не сверяться - все будут номер 'для Госуслуг' помечать).
А как влияет на данную проблему переход SMS на RCS?
В целом СМСки подводят. Мне, например, банк без предупреждения подключил смс-подтверждение, которое отключить нельзя, поддержка отвечает полным отказом. И независимо от того, что ранее услуги оказались по-другому, меня не предупредили и тому подобное. И вот я еду в соседнюю страну, надо с карты денег перевести, а моя карта превратилась в тыкву. Ближайший банкомат в 100+ километрах, горная местность, ехать часов 6 туда+обратно. И не только переводы - некоторые покупки тоже подтверждаются только смс-кодом. И что делать? В такой момент хочется взять того умника (который не подумал, что, хоть интернет то может и есть, а связи то с моим оператором нету!) и бить ногами в живот. Поэтому внедрение как минимум такого типа аутентификации, это прогресс
Вот в том и дело - что делать путешественникам при пересечении границ, если ни смс ни мессенджеры не работают? Хорошо хоть вай-фай есть в отеле.
СМС всегда работают в роуминге также, как и на родине и бесплатно для входящих сообщений. Единственное исключение — Россия, где их ограничивают административно.
Не факт. Вот сделали в Австралии принудительный переход на LTE (сети 2G и 3G тупо отключены для населения) и все симки с Украины и России умерли. Они видели сети (если телефон поддерживал 4G), но не коннектились. Стандарт не тот. Каждый оператор решал проблему сам. Кто-то решил, кто-то нет. Из-за этого случая Приватбанк разрешил в качестве "финансового телефона" регистрировать Австралийский номер. А если надо зайти, например, в аккаунт бабушки в Ощадбанк (эти принципиальны и ничего кроме разовых паролей и смс на национальную симку не признают), то передаем аппарат с родственником на Бали (благо раз 2-3 месяца появляется у нас). Там симка в роуминге заводится без проблем и можно получит смс для входа и сгенерировать разовые пароли. Их до следующей поездки обычно хватает.
Ну это странно, конечно, что немаленькая страна практически исключила у себя роуминг. Но в вашей ситуации вы не пробовали использовать VoWiFi (если ваш оператор поддерживает)? Все же это проще, чем телефон в другую страну возить.
Может, перевыпустить симку на родине, и передать еще раз в Австралию? Чтобы на Бали не гонять аппарат.
Насколько я помню, при переходе на 4G пришлось симки получать заново - действительно, там стандарт шифрования поменялся. И, судя по публикациям - для подключения к сетям 5G придется еще раз обновить симку.
Официально - несовпадение в стандартах. Я так и не узнал точно детали. У людей в Европе и Азии аппараты прекрасно ловили роуминг в 4g сетях. В Австралии просто не подключались. Начались массовые жалобы в "родные" конторы. Наши знакомые на Киевстаре и еще ком-то (не помню точно) после энного числа итераций и танцев с бубном поддержки смогли подключиться. А Водафон "не шмогла".
Кстати, подключение 4g-5g зависит исключительно от аппарата (поддеиживает ли 5g), тарифного плана (многие операторы сделали из 5g своего рода "премиум") и вышки. Симки универсальные.
Билайн явно зарезает LTE на старых симках.
У меня симка мегафона с 2008 года и 3g и LTE все норм с ней работает.
Что там за шифрование поменялось?
В разных странах выделяются разные частоты под 4G-5G, а тут видимо еще ченибуть свое с криптографией решили, вот и все..
В других странах тоже хватает гениев недумающих, а как оно будет в общем работать, а только в частно у нас все работает и ок, а то что при путишествиях нефига неработает никого не волнует. Не удивлюсь если австралийцы с своими симками имеют проблему при выезде из Австралии
У меня для вас плохие новости.
Уже не первый год уже российские карты далеко не везде в роуминге обслуживаются.
Есть такая, мелькавшая на хабре, и хотя уже давно не обновлявшаяся (но по моим наблюдениям с тех пор ничего и не поменялось), целая таблица по банкам РФ, которые умеют в TOTP: https://docs.google.com/spreadsheets/d/1NFZhFXMYETY4WDGnQcgYOfJS1ZBCraWloxNEcX-DXTk/
Ее ячейки говорят сами за себя.
Госуслуги умеют в ТОТР. С банками табличку видимо уже обновлять пора.
Госуслуги умеют в ТОТР
Слава богу что пока да. Но сворачивают куда-то не туда. Да и речь все же про банки шла.
С банками табличку видимо уже обновлять пора.
Как пользователь более 3х крупных банков могу сказать что там и нечего обновлять - ничего не поменялось: как не было так и нет.
QR код не распознавался FreeOTP, но вручную строкой добавился.
Госуслуги (раньше) не умели в GMT. Переехал в другую часовую зону — TOTP слетела к...
SMS в банковских приложениях выполняют две разные функции: второй фактор аутентификации при входе и простая электронная подпись (ПЭП) для платежей и документов. Хотя на первый взгляд они выглядят одинаково - там код и тут код.
TOTP используется как фактор при аутентификации. Но сам по себе он не может играть роль ПЭП. риложение аутентификации не в курсе о том, что именно подписывается - есть только некий набор цифр, который валиден в течение ограниченного времени. Поэтому конкретно в банковских сценариях от TOTP не так много пользы.
Извините, но в этой гугл-таблице точно есть ошибки. У Промсвязьбанка есть карточки одноразовых кодов. И были всегда (более 15 лет уже как).
Эти гады пользуются нами как хотят. Частотна почту приходят уведомления, что банк в одностороннем порядке изменил контракт. Думаете я читаю тот контракт, мелкими цифрами на 100500 страниц?
Конечно нет, но где-то там они и указали, что вот, мол теперь операции только через подтверждение паролем.
Я это понимаю, но кушаю кактусы, как те ежики, но и повлиять я один на это не могу. Толко рублем… и удобствами…
Надеюсь этот бардак прекратится. Пластмассовый мир.
«Нашему поколению осталось мало времени, чтобы спасти свободный интернет, созданный для нас нашими отцами. То, что когда-то было обещанием свободного обмена информацией, превращается в главный инструмент контроля»
Павел Дуров.
Оффтоп: весело читать Дурова. Читаешь глубокие слова о, например, inefficiencies of legacy platforms и о том, что with technologies like TON reaching their potential, the blockchain industry should be finally able to deliver on its core mission – giving the power back to the people, а потом в том же Телеграме видишь аукцион на т.н. "подарки" от UFC, ботов с казино с оплатой прямо в крипте, встроенную систему рекламы с реферальной системой...
Скрытый текст
И вообще,
Полный список "грехов" не перечислить.
Спасибо за скриншоты, для человека который целенаправильно отказался от использования всего что связанно со смартфонами это был способ взглянуть на мир без которого я бы точно не узнал бы как всё запущено, хотя конечно же догадывался.
Надо сказать что я всё равно не чувствую негативных эмоций к Павлу Дурову, ведь за всё в жизни надо платить. Телеграмм был феноменом конца десятых, бесплатное приложение ради которого люди покупали себе смартфон, окончательный убийца "аськи" и livejournal. Вот я был из поколения в котором студенческое общение было в VK группах но для следующих поколений студентов те возможности просто переехали в другой продукт Дурова. Только в эпоху Вконтакте монетизация интернет-сайтов никак никем не контролировалась, а сейчас столько регулирования со стороны государств, что приходится использовать каждый трюк в книге незапрещённых государством приёмов. Вот почему я перестал пользоваться не только платформой этого человека, а и всеми её конкурентами которые выглядят, боюсь, хуже (либо беднее по функционалу для требования той же студенческой группы)
Я уверен, в понимании лично Павла о том что такое "legacy platforms" Телеграмм это такое же легаси именно через то что в отличии от создателя "the blockchain industry" Павел выбрал не просто релизнуть приложение, а применить своё лицо в рекламной кампании продукта - и поплатился, в наше-то постпандемийное время. ИМХО, безопасные средства общения с сильной криптографией имеют тенденцию иметь анонимных создателей и отсутствие доверенного центрального сервера за счёт решения сделать хостинг по технологии peer-to-peer. Правда, тогда такие средства общения не будут нужны студентам которым надо хостить файлы и так чтобы скачивать эти файлы надо было не через консоль. Хотелки требуют платилку, ничего нового под Луной.
По сути, из настоящих борцунов за свободы, в смысле не анонимов в масках и не малоизвестных - сейчас только Дуров с Телеграмом и Илон с Экс-Твиттером. Пусть эти два веб-сервиса не самые большие на свете, простите за слово, рассадники швабодки - но без этих господинов обычным людям станет не лучше, а хуже. А грехи можна за всеми найти, за всеми бизнесами так гарантированно.
А напишите-ка статью как в этом цифровом мире выжить без "использования всего что связанно со смартфонами"
А в чём, собственно, сложность? У меня тоже нет и никогда не было смартфона.
Я даже пару раз честно пытался обдумать его покупку, но каждый раз приходил к выводу, что у меня просто нет сценариев при которых он бы мне понадобился.
Наверное наиболее близкий к сценарию необходимости кейс - карты в поездках чтобы было проще ориентироваться в незнакомом городе. Но этот кейс для меня довольно редок и в городах, как правило, почти полностью закрывается хорошей визуальной памятью.
Одновременно с отсутствием каких-то явных плюсов от его наличия с моей точки зрения это устройство обладает массой недостатков, которые в сумме явно перевешивают достоинства. А поскольку смартфоны, как устройства, в принципе появились когда я был уже довольно взрослым - у меня нет привычки к ним из детства, так что не начинать пользоваться тем, чем и так не пользовался всю жизнь - очень просто.
Фантастика!
Я много езжу по разным городам и странам и, откровенно говоря, когда задумываюсь как мы обходились без навигации раньше, просто себе представить не могу. Хотя и 15 лет назад ездил, и автостопом по Европе - как то справлялся. Открывал в ноутбуке )
Прямо снимаю шляпу!
как в этом цифровом мире выжить
Будет политота и Дартаньянщина, а оно мне или Хабру надо? Закончилось время когда технологии были технологиями а политота была политотой. Теперь же смешались кони, люди - со всеми вытекающими последствиями. У меня есть полунаписанные статьи на тему vim, J и философия GNU и их шлифовать мне нравится, а учить алкоголиков трезвенности это неблагодарная работа. Они же будут вопросы задавать, мне надо будет им отвечать с позиции примера для подражания. Тьфу!
Но если вам интересно моё мнение на конкретно заданный вопрос - то надо быть человеком такого характера и личных качеств, как девочка из аниме "Унесённые призраками". Не поддаться на соблазн и спасти близких методами любви к ближнему и трудолюбия. Я не "анимешник", ерунды не посоветую.
бесплатное приложение ради которого люди покупали себе смартфон
Причём здесь платный или не платный . Вы не видите суть сказанного ?
ну дуров то точно на страже свободного интернета. В его случае свободного от отсутствия рекламы и втюхивания всего и вся.
Жаль что в статье не предложен, но еще есть Proton Authenticator.
Есть на разные платформы и ОС
FOSS
Данные шифруются при синхронизации
Работает в том числе и без аккаунта если не хочется отправлять данные в облако
Показывает как текущий код, так и следующий
На вход в приложение можно поставить биометрию или ПИН
Довольно известный разработчик с понятной моделью монетизации своих продуктов через подписку(на другие сервисы, ТОТР вне подписки)
Он как Aegis, только на большее количество платформ.
Так статья и была написана для дискуссии, я как автор, скорее всего многое упустил из виду, а если более сведущие в безопасности коллеги предложат еще более удобные механизмы для граждан, я буду более чем доволен.
Вы агитируете против SMS, но упускаете их главный (для обывателя) плюс: если потерял телефон, идешь с паспортом в салон и восстанавливаешь SIM. Если потерял телефон с Google Authenticator (без облака) или Aegis (без настроенного экспорта) — ты теряешь цифровою личность. Совет «запишите коды восстановления на бумажку» люди игнорируют. Возможно - это главная причина что банки не отказываются от SMS
Потерял смартфон?
Так же идет с паспортом туда куда нвдо и решает вопросики.
Поэтому экспорт в "бэкап" обязателен: 3 резервные копии на 3 разных носителях, которые хранятся всегда на своём месте, не используются для других целей и, желательно, знаете о них только вы и доверенные лица. С кодами восстановления - тоже самое.
Обыватели важность копий понимают, хотя бы раз в жизни потеряв ценные данные.
Обыватели важность копий понимают, хотя бы раз в жизни потеряв
Если бы. Даже потеря данных сильно не всегда учит. Даже специалистов, которым за это деньги платят, и которые хотя бы знают, что есть такой зверь - бэкап.
Обывателю копировать данные куда-то просто на случай, если с основным носителем что-то случится, в голову может просто не прийти.
Установил KeePassXC, сделал отдельный файл с базой TOTP-аккаунтов. Файл забэкапил и синхронизировал.
Полная автономность. И не нужный всякие Google Authenticator, Authy и прочие.
Не настолько удобно, но удобство и безопасность (в текущем контексте) вещи несовместимые.
Рекомендую.
Есть еще вариант с использованием аппаратных токенов для хранения закрытых ключей OTP. Условный Yubikey прикладываешь к смартфону с NFC и получаешь OTP. Удобство и доступность подобного решения - дело субъективное. В одном кармане смартфон, в другом связка ключей от квартиры (в физическом и виртуальном смыслах). Одно к другому поднести не проблема. Никаких следов закрытого ключа нет ни в облаке, ни в оперативной памяти устройства. На мой взгляд, самый безопасный вариант использования технологии с точки зрения информационной безопасности. Ну а безопасность физического доступа к токену такая же, как к "ключам от квартиры, где деньги лежат".
Есть еще и PassKey - наиболее близкой аналогией будут SSH-ключи. Только более широко применимые, в том числе и в вебе.
На госуслугах нет Passkey . Если утерян телефон с Passkey и нет синхронизации с облаком - вход потерян.
На госуслугах нет
Зато теперь есть в Telegram.
Что вы так привязались к Госуслугам? Там вообще не ровен час только MAX и оставят.
Если утерян телефон с Passkey
В отличии от TOTP с PassKey вы можете привязать несколько ключей к одному аккаунту. И хранить один ключ на телефоне, второй на компьютере, третий в оффлайн-хранилище, в общем как заблагорассудится, при этом работать будет любой из них.
вход потерян
Да и в целом - ну да, так и должна работать нормальная аутентификация - если уж утерял все-все носители - не сможешь войти пока ножками не придешь доказать что ты это ты. Я вас не понимаю - вы же в своей статье сами говорите о TOTP - так там никакой дядя-опсос вам слюньки вытирать не будет, вы сами за себя (как и должно быть)!
Про госуслуги меня родственники и задергали. А первым своим комментом я и написал для чего статья.
В отличии от TOTP с PassKey вы можете привязать несколько ключей к одному аккаунту.
Если разработчики сервисам рекомендации прочитали и это сделали.
Некоторые - не делают. Считают, что раз оно синхронизируется, то несколько ключей и не надо.
Некоторые - не делают. Считают, что раз оно синхронизируется, то несколько ключей и не надо.
Это риск менеджмент: чем больше ключей вы разрешаете, тем больше вероятность компроментации. Наиболее безопасный вариант, когда ключей нет ключ только один. Все остальное уже проблемы клиента.
Это риск менеджмент: чем больше ключей вы разрешаете, тем больше вероятность компроментации.
Когда несколько ключей (по одному на каждое из запоганенных устройств. Желательно такой, что device bound) - отозвать можно конкретный из них, выпнув таким образом соответствующее устройство из учетки. А с одним так не очень получается.
Это как с ключами от квартиры. Когда он только один и все время при вас, то вы контролируете доступ. Когда есть несколько в разных местах, вы уже ни в чем не уверены.
Это не совсем так. Важно не количество ключей, а как широко они распространились (общая "поверхность", с которой ключ может утечь). Т.е. три разных ключа на трёх разных устройствах – то же самое, что один на тех же трёх устройствах. Вот только его надо ещё как-то между ними синхронизировать, что создаёт дополнительные возможности для атаки.
Нормальный механизм испоганен плохой реализацией.
Ни в какие телефоны ТОТР секрет попадать не должен. Нужно отдельно аппаратное устройство где он живет. И такие есть, но хороших увы не знаю :(. Ну т.е. на 1-2 штуки есть довольно большой выбор, а вот чтобы десятки сервисов и десятки разных ключей генерировать, мне что-то не попадались.
Ссылочки есть с ценами? Не могу даже представить, как я смогу научить пользоваться таким устройством родственников.
Ну выж понимаете, ссылку на гугл я могу дать, но смысл ?
Очень зависит от количества. Некоторые банки в прошлом прям в кредитки встраивали генераторы. Просто смотришь цифры на карте... Собственно если генератор один, то совершенно не понимаю почему нельзя научиться на нем, а не на телефоне цифры смотреть. Когда их много - проблемы. Вроде бы новая версия mooltipass должна уметь, но его фиг купишь, делают очень редко и помалу, и из-за местных законов там по-моему никелевый аккумулятор...
Нет спроса на секьюрные вещи.
mooltipass
Для TOTP генератора - офигенный перебор.
Начинки от чего-то такого (случайные китайские псевдоумные часы на озоне) должно хватить. Я где-то в похожей теме уже спрашивал, знает ли кто готовую балванку для таких со внятным SDK, которую можно захачить на это. Увы, ничего не посоветовали, а собирать самому по отдельным частям - дешевле старый смарт взять получается.
А купить то похожее на то что по ссылке и разбираться, увы, не по моим навыкам.
Я где-то в похожей теме уже спрашивал, знает ли кто готовую балванку для таких со внятным SDK, которую можно захачить на это.
Вот идеальный кандидат. Нет беспроводных интерфейсов, и полный фарш, включая батарею. Корпус продается там же, да и весь али завален. Есть такие же на esp32s3, но безопасность их вызывает вопросы.
На цену смотрим. Плюс батареи тут нет, в отличии от готовых часов - только котроллер стоит. Если собрать - уже в цену БУ смарта и получится.
На али полторы-две тысячи когда скидки (почти всегда), я себе пару штук взял разных, круглый и большой квадратный. Это очень дешево за хороший сенсорный экран и фактически готовое устройство...
На али полторы-две тысячи
Без батареи же?
Это в десять раз дороже того, на что у меня ссылка была. Что уже готовое устройство с точки зрения железа.
И за ту же стоимость можно и бу смарт взять, который, в общем, тоже работать будет. Для целей "валяться в тумбочке рядом с компом и доставаться, когда авторизоваться надо" такая цена - много. Моя граница - ~500 за полный комплект, который только запрограммировать надо. Хороший экран, кстати, тут совершенно ни к чему. Вполне хватит монохромного жидкокристаллического, без всяких OLED.
Устройства "за пять копеек" чаще всего наглухо залочены, не имеют публичного sdk, и без портов для отладки. Реверс этого одноразового добра будет стоить адищных затрат по времени, и такие поделки исчезнут из продажи гораздо раньше того времени, когда вы разреверсите всё.
А еще смарт-часы от хуавей, которые не андроид, имеют открытый sdk, внутри есть полноценный security enclave (так как поддерживают оплату), и под них можно писать на слегка обрезаной жаве. Тоже как вариант, если есть такие часы.
Устройства "за пять копеек" чаще всего наглухо залочены, не имеют публичного sdk, и без портов для отладки.
Плюс-минус да. Где-то так оно выглядит. Но не так уж и золочены, судя по тому, что он там делал. Просто удобных интерфейсов для DIY хакинга нет. Тот что по ссылке - на неком TLSR8232, который, похоже, вполне документирован и SDK раздают.
Я подозреваю, что и с остальными часами "за пять копеек" так - стоит какой-нибудь чрезвычайно распространенный процессор(иначе бы так дешево не было), просто не привлекший внимания энтузиастов.
ЕМНИП какое-то время назад норвежский аналог госуслуг имел то ли TOTP, то ли HOTP с аппаратными устройствами. И ничего, люди справлялись (а что там справляться - прочитать код с экранчика).
Ну хоть кто-то сказал единственную здравую мысль.
Смысл 2ФА в том, что второй фактор отделен от первого. Когда они вместе - они регрессируют до 1 фактора.
2FA не для защиты от взлома устройства - если девайс взломали, то аутентификация это меньшая из проблем. Она для того, чтобы если база паролей с сайта утечет в онлайн, то ими не смогли воспользоваться. Популярные решения TOTP с этой функцией хорошо справляются и отдельный девайс пользователю не нужен.
Но если хочется хранить ключи отдельно, то YubiKey в связке с их Authenticator выглядит хорошим вариантом. Ключи хранятся на внешнем устройстве, приложение лишь показывает код (для подтверждения действия нужен физический тап).
Аппаратное устройство, которое, никак не вскрыть (со слов изготовителя). И бонусом прекрасный шанс утратив устройство в один момент потерять доступ ко всему, что через это устройство авторизовалось, т.к. бэкап не предусмотрен, что является фичей, а не багом.
В коропоративной среде, генераторы ключей применимы, т.к. есть резервирование как минимум через нескольких сотрудников. Но для личного пользования, IMHO, риски от использования аппаратных ключей перевешивают повышение безопасности.
Для TOTP в принципе не обязательно какое то отдельное устройство - это просто текстовая строка, на основании которой и текущего времени по чёткому алгоритму формируется одноразовый код. Строку можно хоть на бумажке записать.
Зайдите в Госуслуги, Почту, Telegram
И обнаружьте что в Telegram нет TOTP и потому Aegis тут не поможет. Зато поможет PassKey в KeepassDX.
Какие банки поддерживают TOPT?
Никакие)
Правильный вопрос другой: в каких банках нельзя всё сбросить звонком по телефону или получив СМС
Торт есть надо, а не поддерживать /s А вот какие банки подерживают ТОТР для входа через веб-кабинет - хотел бы знать, потому как если кто-то и поддерживает, то "в приложении", что эквивалентно объединению факторов аутентификации.
каким аутентификатором пользуетесь вы?
У меня аккаунт на GitHub, привязан к Microsoft Authenticator. Приходится таскать с собой старый телефон, на котором установлено это приложение.
Можно ли перенести на новом телефоне двух факторную аутентификацию, ещё и сменить при этом приложение? Например на Aegis.
Я бы попробовал находясь на гитхабе пойти по пункту: "Set up two-factor authentication again" и с нового телефона уже сканировал новым приложением ноый куар, после подтверждения нового кода и телефона, старый перестанет работать.
Можно, в гугловом есть экспорт, у микрософта тоже должен быть
Я использую Microsoft Authenticator
Не скажу, как это работает, но при покупке нового телефона при установке приложения и входе в него аккаунты от майкрософт остаются рабочими. Все остальные просто пропадают и я прохожу обычную регистрацию Authenticator в соответствующих сервисах. Единственное, из опыта, я делаю заранее список того, что есть в приложении, чтобы потом быстро пройтись сразу по всем службам, без внезапностей через месяц.
Основная проблема не раскрыта, ни одни из РФ сервисов кроме госуслуг не предлагает авторизацию через TOTP
Да, ещё бы давали возможность телефон отвязать, или сделать так, что-бы смс не обходило пароль или totp
у меня TOTP для входа на mos.ru настроен. для меня mos.ru - это замена сайта gosuslugi.ru.
Стоит отметить, что на mos.ru TOTP нельзя включить отдельно от SMS/push аутентификации, только в дополнение. И при включенном TOTP оно всё равно посылает СМС, и позволяет войти с кодом из посланной СМСки :(
Яндекс для доступа ко всем своим сервисам предоставляет TOTP - "Яндекс ID".
:-) Что только не придумывают вместо простого сильного или динамического пароля.....
Люди почему-то считают смартфон неотьемлемой частью себя.
А это не так.
Пароль первый фактор, ТОТР второй вместо смс.
Интересно... А зачем вам второй фактор? Все что "не в голове" у вас (ну или физически можно извлечь/получить без вашего прямого сознательного указания) - потенциально не безопасно...
Чтобы подтвердить владение девайсом. Мало ли кто и как ваш пароль узнает. Совершенно стандартная в мире безопасности вещь...
Дополнительные факторы никогда безопасность не ухудшают. Только улучшают. Ухудшают они удобство.
Зачем подтверждать "владение девайсом" и на основании чего это необходимо подтверждать? Зачем поставщику услуги знать "мои девайсы"? В договоре с поставщиком есть мой идентификатор (в его сервисе) и мой пароль (ну или хеш моего пароля или аппаратный ключ) подтверждающий что "это я потребитель его услуги". Какое дело поставщику услуги "на каком девайсе" я хочу его услугу "потребить"? Сегодня у меня 3 "девайса", завтра я приобрел еще 5 новых - как это "влияет" по поставляемую мне услугу продавца?
Если рассуждать - "мало ли кто узнает ваш пароль", то тогда и - "мало ли кто воспользуется вашим девайсом"... :-)
Скажем так, если кто-то "узнает мой пароль" - это моя ответственность перед поставщиком услуги, может я хочу чтобы кто-то его знал и раскрываю его сознательно, а если не хочу - то и не буду "раскрывать". Это мое дело как потребителя услуг продавца. Его дело - аутентифицировать меня как потребителя его услуги, может в договоре об услуге вы встречали фразу "получатель .... услуги на .... девайсе"? :-)
Подтверждение владения - стандартная процедура безопасности. Надо это или нет - вопрос отдельный.
Скажем в общем случае предполагается, что ключ нельзя скопировать и доступ предоставляется то у кто сможет годный ключ предъявить. Не тому кто знает как он выглядит, а тому, кто физически вставит его в личинку.
Делается это обычно для того, чтобы точно знать кто может, а кто не может. Нет у тебя в руках предмета и ты не можешь. И это всё вполне годная парадигма.
Вы не можете контролировать кто еще знает ваш пароль, а вот что единственный ключ у вас в руках гарантировать можете.
При этом как правило к девайсу всегда идет пароль, дополнительно
"Скопировать" невозможно только то "что у вас в голове".... Все остальное "физическое" скопировать гораздо проще... Контролировать свою голову вы можете гарантированно, а чем и как вы сможете гарантировать что ваша копия "физического" ключа единственная и ее никто "без вашего ведома" не сдублировал?
"Скопировать" то, что у вас в голове, тоже можно - методами социальной инженерии или, скажем, терморектально.
Многофакторные системы делают для того, чтобы один и тот же метод все ключи не выдавал. У вас украли телефон с генератором - у злоумышленика нет пароля. У вас выведали пароль, например, по телефону - но у злоумышленика нет аппаратного ключа или он не может по телефону же приложить ваш палец.
Это модель дырок в сыре: каждый фактор сам по себе уязвим, но сделать так, чтобы в одном сценарии сошлись несколько уязвимостей, сильно сложнее, чем задействовать одну.
Устройство этого ключа.
Давайте определимся, какого уровня атаку вы себе воображаете ?
Некто смог похитить ваш шифр блокнот так, что вы не заподозрили, разобрать его так, чтобы не сломать, после этого вероятно на электронном микроскопе считать биты, собрать обратно(совершенно в первоначальный вид) и вернуть вам обратно, верно ? Попутно они узнали пин для дешифровки всего этого (это как-раз элементарно, надо всего лишь скрытую камеру к вам подбросить)
Уровня "миссия невыполнима" операция. Требует каких-то магических совершенно оперативников итд итп.
Так вот: я совершенно не готов к противостоянию с такого рода угрозами. Я с фбр, анб, кгб и ми6 даже вступать в противоборство не буду. Они сильнее.
А все что мельче скопировать незаметно ничего не смогут, ибо хорошее устройство им не отдаст, а даже разобрать его, чтобы потом собрать и это было незаметно они не сдюжат
Стоимость подобной операции яб оценил в домик в москве, квартир на 200. У меня нет столько денег, чтобы ради меня столько тратить.
:-) Классика - https://www.youtube.com/watch?v=DRAln6qz3oU
:-) И конечно же "дополнительные факторы аутентификации" поставщик предлагать может. Но не навязывать потребителю. Это называется "навязанные услуги"...
Это называется адекватная оценка рисков и уменьшение поверхности атаки.
И поставщик сам определяет баланс между удобством и безопасностью.
Если вам не нравится - вы вправе искать доугого поставщика.
Я лично, предпочту банк с адекватной политикой безопасности.
Скажем так, если кто-то "узнает мой пароль" - это моя ответственность перед поставщиком услуги, может я хочу чтобы кто-то его знал и раскрываю его сознательно, а если не хочу - то и не буду "раскрывать". Это мое дело как потребителя услуг продавца.
Это не так. отыетственность, может быть, и ваша. Но это нужно выяснить сначала. А реагирование на инцидент имеет не нулевую стоимость. Если вы готовы ее нести, вовсе не значит что поставщик разделяет ваше стремление.
p.s. Авангард еще в 2013 году предоставлял TOTP и Таблицы одноразовых паролей. Интерфейс у них, правда, с 2013 недалеко ушел, но в плане безопасности - они молодцы.
Ого, про Авангард не знал, надо будет у них посмотреть на сайте политику безопасности.
Года два назад выяснял, воспользоваться не смог, ну т.е. толи карту не смогли сделать, толи условия были какие-то дикие, не помню уже. Помню что выяснилось, что это "не пойдет" уже на этапе вызова курьера. Какой-то был адский недостаток.
:-) А что и как "нужно выяснять" про ответственность?
Или вы адепт "супер клиентоориентированного" подхода - "Мы лучше вас знаем что вам необходимо!"?
Или "адекватная политика безопасности" - делайте только так как мы решили, альтернатив не допускаем? :-)
Видимо с таким подходом смс коды "подтверждения" так и "стандартизировали"....
Прелесть смс не в его безопасности, а в том, что он прост и понятен кому угодно. Ещё одноразовые пароли с бумажек были более-менее понятны. Кончились - пошел к банкомату, распечатал ещё.
А все эти торты - это для гиков решения. Пока их не будут принудительно внедрять со стороны самих банков, популярности они не наберут.
PS. Я пользуюсь на нескольких сервисах. Яндекс.ключ, бэкаплюсь в файлик. Но ничего действительно серьёзного не привязывал. Только то, что можно восстановить ножками - госуслуги, к примеру. А вот гуглопочту не рискну. Потеряю торт - не войду.
А вот гуглопочту не рискну. Потеряю торт - не войду.
Так секреты TOTP стоит сохранять в оффлайне, сгенерите QR код с ним, распечатайте и в конверте отдайте родственникам на хранение. Или вот так разместите на публичном форуме - https://habr.com/ru/news/973700/comments/#comment_29211616 , никто ведь не догадается, что это очень секретная информация. ;)
Ну так без SMS вообще еще проще и куда уж понятнее!
Вопрос же в балансе удобство/безопасность. Вы забывате про безопасность.
С смс безопаснее, чем с голым паролем.
А вот интересно много ли было задокументрованных случаев увода кодов посылаемых через смс не методами социального инжиниринга, а именно технически? Ну и их процент в общей доле случаев когда получают несанкционированый доступ.
Просто такое ощущения что тема с аутентификаторами стала популярной, вот несколько систем с которыми работали внезапно решили что им надо тоже, хотя о этого карточка кодов работа или там смс.
Думаю, банки просто замалчивают факты, дурным пиаром пахнет. СМС плохо ходить сейчас стали, вот прям сейчас катаясь по СПБ я не могу посмотреть пробки, нет мобильного интернета. СМС также ходят очень нестабильно.
Даже сидя на проводном интернете я не могу провести операцию через банк при помощи подтверждающей смс.
Думаю, банки просто замалчивают факты, дурным пиаром пахнет.
Не думаю что это так легко замолчать, особенно если оно распостранено широко, вон против социальной инженерии постоянно предупреждают "никому не говорите кодов из смс/аутентификатора" и даже при всем этом она вполне цветет и пахнет, это скорее говорит о том, что случаев когда коды доступа были утащены и использованы посредством технических средсв либо исчезающее количествор на общем фоне, либо вообще документировано не было - несмотря на теоретические и технические возможности вроде как.
Я не в России, просто тенденция интересна, у нас насколько помню банки смс не слали никогда, интренет банкинг сначала был с карточками кодов постоянными для логина, плюс одноразовые подтверждающие коды из списка для переводов не между своими счетами внутри банка. Потом появились пин-генераторы аппаратные, а сейчас в основном либо цифровая мобильная подпись, либо что-то из специфических аппов аутентификаторов типа Smart ID пин генератор може можно взять, но уже не бесплатно ка краньге а заденьги, а вот одноразовых кодов на бумаге больше нет.
СМС-код можно увести, либо если сесть на коммутаторе, либо если сидеть и атаковать вас целенаправленно, подсовывая левые БС.
Ну или замену симкарты сделать.
Потому, на мой взгляд, это нихрена не канал массовых атак.
Потому, на мой взгляд, это нихрена не канал массовых атак.
Ну вот у меня схожие мысли, если бы это все было так просто как живописуют, такие случае были бы массовы, а сейчас что-то про это не слыхать, только рассказывают про теоретическую возможность такого, но вот показать такие случае из реального мира особо не показывают.
Помню года три-пять назад у кого-то известного увели денег перевыпуском симки. Приходит человек в салон сотовой связи как-бы с доверенностью и ему дают твою симку. Человек неделю истерил и затыкал дыры. И вы знаете что :)? Эти же люди перевыпустили симку опять :). В другом офисе.
В этот момент мне стало понятно: смс не годится.
Я сам лично имел прекраснейший разговор в офисе сотового оператора. Про доверенности итп. Разговор оставил осадочек. Ну т.е. люди не совершенны, но мне очень хотелось бы, чтобы имбецилы не могли мою симку кому попало выдать.
С тех пор вроде бы стало можно эту опцию (выдача симки по доверенности) отключить, итд итп, но в целом совершенно нет уверенности что в следующий раз не придут с решением суда...
Ну так это и есть та самая направленная атака. Массово такое не организуешь, даже самый тупой сотрудник в салоне заподозрит неладное, если со стопкой доверенностей придёшь.
Массово такое не организуешь, даже самый тупой сотрудник в салоне заподозрит неладное
Если атаку не делает сам сотрудник. И даже без стопки доверенностей, а просто удачно делая вид, что они есть.
А я у себя один, мне как-то совершенно не менее больно, если меня одного нагрели, а не вместе с кем-то еще.
Более того, шансов получить что-то взад при массовости больше, без нее меньше.
Помню года три-пять назад у кого-то известного увели денег перевыпуском симки.
Интересны детали, потому что, - кто-то кое-где когда-то и прочее это на уровне агенства ОБС, повторюсь, то чтто это можно сделать не означает что это млжно делать легко и массово. То есть то же самое мошенничество через социальную инженерию вот они случае разные массово, на слуху с примерами и делами, атут все на уровне слухов. Ну и опять таки это не технический перехват смс или там клонирование симки без участия соучастника в структурах оператора, по сути это тоже самое что мастерская по изготовлению ключей делает для соучастника знающего адрес, дубликат ключа с помощью которого обносят квартиру.
Погуглите и будут вам детали.
Совершенно не понимаю причем тут массовость. Меня я беспокою. Если я пострадал - это плохо....
И мне совершенно неважно как именно получили смс, технически, не технически, важно что я пострадал. Нетехнически даже хуже. Склонировать смс сможет не только лишь каждый, а в фотошопе доверенность нарисовать любой дурак в состоянии.
Погуглите и будут вам детали.
То есть деталей нет по сути, в отличии от той самой социальной инженерии. Из чего можно сделать вывод что это скорее именно что уникальный случай, для которого веротней всего было еще много разных особенностей которые и аобудили к таким сложным процедурам.
Т.е. вы всерьез хотите, чтобы я вам детали случая пятилетней давности вывалил :)? Я похож на слона ?
Процедура, похоже проста. Любой хрен с горы показав школьнику работающему в салоне связи любую бумажку с печатью и подписью сможет скорее всего получить симку на ваше имя. Потом еще в банк надо будет позвонить и сказать что сим-карту поменял. Они спросят что-нибудь секретное, ну как они любят, у меня по-моему номер паспорта спросили.
Чувствуете ? Это запах безопасности :)
Я про то что все это на уровне агенства ОБС, и массовостью похоже не пахнет в отличии от всяких "служб езопасности банка" , "старших прапорщиков криминальной полиции" и тому подобного.
Опять же вы сами пишете
любую бумажку с печатью и подписью сможет скорее всего получить симку на ваше имя
То есть уверенности вот нет в этом, только спекуляции. Повторюсь я не говорю что это невозможно, но вот почему то есть у меня такое ощущение, что это не массово ни разу, и не так просто как это проецируется в общественное сознание только и всего.
Если по российским законом для доверенности требудется нотариальное заверение, та самая печать, потому что доверенность физического лица физическому лицу без заверения врядли будет иметь печать, не япония все таки, то это надо еще карманного нотариуса надо иметь, готового присесть с конфискацией за такие финты если дело вскроется - то есть выхлоп этого всего должен быть далеко не на уровне "обычного" человека и потому это добавляет еще одно сомнение на тему массовости такого.
есть у меня такое ощущение, что это не массово ни разу
Напомню, что по похожей схеме ЭП получали. Было достаточно массово, чтобы удостоверяющие центры почистить и гайки насчет порядка выдачи закрутить, полностью запретив их выдачу по доверенности.
А телефонные номера в комплекте с госуслугами у нас стремительно по силе возможного воздействия к ЭП приближаются.
Страничку в Госуслугах со списком номеров и возможность поставить запрет на новые договора - вот тоже вряд ли бы делали, если случаев было мало.
Благодаря двухфакторной аутентификации я лишился всех вложенных денег и 3 лет работы
Перевыпускники, или Карт-бланш на воровство
При этом можно нагуглить такие проблемы и у обычного люда
Узнал что ставить говно на 100МБ это не круто.
❤️ Узнал ставить другое говно на хххМБ это круто.
Расходимся.
import pyotp
totp = pyotp.TOTP("VERYSECRETTOP")
print(totp.now())
покороче вариант
покороче вариант
А заходишь лет так через 5 — а оно тебе «какой такой питон???»
import pyotp
Ваш совет выглядит как "если у вас нет дома, просто купите дом". Или, перефразируя ближе к нашему контексту -- "возьмите код TOTP из вашего генератора TOTP". И это не установить некое гавно на ХХХМБ.
Спасибо за совет, это действительно поможет экономить мегабайты на диске!
Когда TOTP может подвести? (И как это лечить)
Я бы к статье добавил, что этот второй замок обладает и недостатками второго замка. Если вы потеряли от него ключ - то уже не важно, что у вас все есть для первого замка, а также что вы увешаны с ног до головы паспортами и другими идентификаторами личности. Второй замок вас не пропустит и точка. (с оговорками, что иногда таки можно прийти в офис какой-либо организации и уговорить лично их отключить TOTP вам).
Поэтому критически важно сохранять резервные копии TOTP. Все равно каким методом - хоть иметь второй смартфон с ровно теми же секретами в нем.
Еще нюанс - получив доступ к БД вы фактически получаете доступ ко всем пользователям, поскольку TOTP ключ придется хранить в БД в явном (пусть даже и шифрованном) виде.
Это не хэш от пароля, это не разовые смс коды, которые болтаются в памяти сервера и не уходят в БД.
Вот это тоже меня смутило. По сути, второй пароль. Утечёт - и знать не будешь. Что гипотетический риск перехвата SMS (через SS7 - вряд ли, где-то слышал, что законы запрещают такое вмешательство, поэтому sms у нас везде спокойно внедряют; а вот через чтение сообщений в телефоне...), что гипотетический риск перехвата шифрованного ключа с паролем от него. В одном одиозном мессенджере, за упоминание которого в неотрицательном ключе здесь сразу минусуют карму, вероятно, примерно такая же защита, как в sms, раз его приняли как второй фактор. Но я пока не стал к нему привязывать, TOTP всё-таки поинтереснее выглядит.
И здесь скорее вопрос в том, доверять ли стороне, которая так или иначе хранит второй фактор.
TOTP секреты уникальны для каждого сервиса. Зачем они нужны хакеру если он уже на сервере и с правами к БД? А вот украсть и перебрать хеш пароля ценно так как часто пароль бывает одинаковым на куче сервисов. TOTP здесь как раз безопаснее.
SMS коды может и не уходят в БД, они уходят и проходят по куда более сомнительным местам с сомнительным шифрованием
Зачем они нужны хакеру если он уже на сервере и с правами к БД?
Иногда есть только доступ на чтение, но не на запись. Иногда не хочется светиться во внешних логах, а потихоньку сливать базу. А здесь можно спокойно авторизовываться в системе от имени админов или нужных пользователей, причем это не вызовет срабатывания каких-либо защит, и делать все нужные черные дела от чужого имени.
Одно дело разово утянуть базу и другое - долгое время спокойно хозяйничать в самой системе от имени легальных пользователей.
Хотел бы я узнать как вы собрались получать к нему доступ если он никогда не покидает совершенно никак не связанного с интернетом отдельного "брелка"?
А все те, кто свои пароли, итп загружают в какие-то "очень надежные сервисы" вряд ли вообще озабочены какими-то такими сценариями.
Хотел бы я узнать как вы собрались получать к нему доступ если он никогда не покидает совершенно никак не связанного с интернетом отдельного "брелка"?
Речь идет о другой стороне - стороне сервиса.
Второй фактор нужен, в одном из сценариев - чтобы когда база паролей у сервиса утекла, злодеи не могли расшифрованными/подобранными паролями воспользоваться для входа в сервис.
Но база seed-ов TOTP (проверять же код как-то надо) - она тут же лежит, рядом с базой паролей. Поэтому утечет вместе с ними. А поскольку алгоритм требует plaintext-а, чтобы работать, то злодей эти seed-ы успешно используют, чтобы запрос кода пройти.
Так и ради бога. Этож пароль только для этого сервиса. Для другого другой. Ну т.е. не надо одинаковые пароли и одинаковые сиды использовать в разных местах. Для ТОТР это обычно и невозможно, т.к. вы сидом не управляете, его часто дает сервер случайно сгенерив
Ну да, для одного. Но злодеи в случае кражи базы авторизации все равно в сервис вламываются. Нехорошо.
В случае тех же Passkey-ев, где алгоритм односторонний, это невозможно - знание чисел на стороне сервиса ничего не дает.
Не понял в чём вы видите проблему. Что те кто украл всё из сервиса и фактически всё там контролирует смогут вами залогиниться :)?
ТОТР безусловно компромисс. По хорошему вы должны подписывать на доверенном устройстве приказ на конкретное действие (залогинь меня, перечисли васе пять рублей, поменяй мне пароль итд итп)
Не понял в чём вы видите проблему. Что те кто украл всё из сервиса и фактически всё там контролирует смогут вами залогиниться :)?
Что те, кто украл не все, а только базу аутентификации, смогут под мной залогинится и украсть уже точно все. Или сделать что-то от моего имени(в контексте Госуслуг вполне угроза - попробуй потом доказать, что это не ты был), а не украсть.
А теперь главный вопрос. А как же именно хранится секрет на устройстве?
Aegis шифрует секрет.
Можно хранить в открытом виде. Если кто-то проник на твоё устройство с root правами и может доставать TOTP секреты из приложения, то все уже потеряно и без TOTP, ничто не мешает скейлоггить пароль и подсмотреть СМС.
Именно для всего этого ТОТР и нужен.
Только вот не надо его в телефон тащить. Генератор должен быть где-то отдельно. И тогда даже если кто-то проникнет в телефон - это будет не такой огромной проблемой. (в идеале, конечно иметь не ТОТР, а некий механизм подписи конкретной транзакции, но это уже другое дело, может когда-нибудь переизобретут то, что вебмани лет десять назад использовали, там надо было сгенерировать одноразовый пароль используя части транзакции, сумму, получателя итп)
Хорошая система должна вам позволять совершенно безопасно пользоваться вашим интернет банком с компьютера или телефона на 100% контролируемого "хакером".
В современных телефонах хранилище ключей это программно-аппаратрое решение (Apple Secure Enclave для iOS, Samsung Knox под Android и т.п.), просто органично встроенное в привычный UI. Поэтому нет смысла возиться с отдельными деаайсами.
Я совершенно им не доверяю вы уж меня простите. Ну т.е. если бы оно показывало фразы на отдельном экране и просило ввести куда нужно - можно было бы рассмотреть, но учитывая "бесшовность" его работы это не то, чему я готов доверить "много денЯк".
Но тут каждый сам для себя решает что его устраивает, что нет.
запретите LLM
Не понял один момент: "Поддельный сайт просит вас «перенастроить 2FA» и показывает свой QR-код. Вы сканируете — хакер получает точную копию вашего генератора."
Хакер ничего не получает, просто на телефон будет добавлен новый уникальный TOTP, который не будет подходить ни к каким приложениям.
Или я чего-то не понимаю?
Спасибо за статью, подобный тип авторизации встречал, но впервые услышал как называется)) В целом круто, но как по мне, ничего надёжней пароля скрытого в последнем бастионе конфиденциальности (мозге) нет. Он независим от времени, его не перехватить и он нигде не записан (по хорошему).
перешел на google authentificator. Скопировал на второй телефон. Убедился, что на обоих телефонах одновременно google authentificator работает и выдает одинаковые числа. Несколько дней всё хорошо. Сегодня запускаю, а ключей на певом телефоне нет. Хррошо, что второй телефон я не стёр, телефон был выключен и на нем сохранился номер, но зеленой галочки не было (не синхрон с сервером гугли). Размножил на второй телефон. А так бы был поход в МФЦ за восстановлением доступа. Аочему самопроизвольно исчез ключ не знаю - баг, потери данных на серверах гугли или недокументированная fuzzy logic гугли. Склоняюсь к последнему. Настраивая телефон и приложения я выходил из apple cloud, перезаходил в гугли мэйл. Недокументированные костыли делают программы непредсказуемыми. Пример еще: Тбанк послал число для верификации мэйла на ящик мэйлру. На ящике перенаправление всего на другой мэйл, письмо от тбанка не было перенаправлено. Другие письма в то де время перенаправлялись.
За много лет работы в ИТ обнаружил, что самые надежные бэкапы - это простой бумажный блокнот с записями. Как ни странно. Любой электронный носитель может внезапно умереть. Для тотр - 32 символа в блокноте.
Кроме того, «число на бумажке» можно «дополнительно скрыть». Например, на бумажке записано 2000 символов, и только хозяин знает, что «ключ получается, если, начиная с 18-й строки, идти взад и брать каждый третий символ». Даже если кто-то увёл бумажку — удачи найти правильные 32 символа.
удачи найти правильные 32 символа.
В том числе и владельцу, лет через 5-10.
У бумажки есть только один жирный недостаток. Я задалбываюсь с нее вводить. Ну т.е. когда это 20 символов со спецсимволами, а некоторые сервисы их по три раза просят очень утомляешься.
Использовал одно время мультипасс, но у него сдохло колесико :(
Здравствуйте.
Пожалуйста, опишите ситуацию через форму: https://help.mail.ru/mail/forms/support/
Наши коллеги всё проверят и помогут вам.
Назовем условный мессенджер «Такс» (все совпадения с реальными мессенджерами случайны).
Вы теряете связь по своему номеру, а хакер получает ваши коды для входа в банк или госуслуги.
Такс и Посулуги. Так было бы наверное лучше, раз уж мы решили называть "условно"
Я оставил рассинхронизацию времени как фичу - попробуй успей ввести ТОТP в окно 3 секунды ^-^
По пп. 1 и 4 хотелось бы реальных, а не теоретических примеров использования SS7 для перехвата и утечек одноразовых кодов из пакета Я.
Скорее переход на квартальные патчи безопасности и раскрытие непропатченных уязвимостей в Андроид кому попало тысячам разработчиков (с которым можно напороться на несанкционнированое использование TOPT генератора) несут явную угрозу.
Товарищи, читал-читал и назрел вопрос.
Тут уже поднималась выше тема "железных" TOTP, ну то есть вместо мобилки - устройство с кнопками и экранчиком, где код по аналогии с мобильным приложением, отображается.
Для MS даже такое есть. Вроде бы прямо хорошо для режима параноика. Но почему-то массово я таких девайсов не нашел (плохо искал?)... Или там какая-то "железная" проблема в реализации этого всего? Или дорого выйдет?
Или в чем может быть проблема реализации? Расскажите...
Тот что 'для MS' - он для любого сервиса, использующего RFC6238, если я правильно понимаю. Но у этого цена не здравая вот совсем.
Или дорого выйдет?
Да нет, себестоимость деталей там выглядит значительно меньше. Дерут за 'ну раз ты такой параноик... и еще мы за дорогие бумажки заплатили, где написано, что твоя паранойя должна быть довольна'
MS там скорее просто написал, что он "сертифицировал" сие творение для себя, чем и подкинул цену немножко выше уровня, скорее всего...
Хотя, 16,5 евро за штуку - это 1500 рублей.. ну не знаю, возможно, моя паранойя столько выдержит ))... если он для всех, конечно...
1500 рублей.. ну не знаю, возможно, моя параноя столько выдержит ))
Лучше сразу FIDO2 тогда брать. Хотя, если паранойя не слишком зубастая, можно платку купить и запрограммировать.
Прямо руки зачесались... Спасибо за наводку.
Смешно, кстати, что такой, вроде бы более сложный способ - доступнее для изготовления. Потому что там батареи не надо, ни часов, ни экрана. Хотя с экраном было бы приятнее, чтобы и там тоже видеть, что за сайт вход запрашивает но это уже от чрезмерной паранойи.
Вопрос совсем непрофессионала. Еще один.
Вот допустим, кто-то (я) решит делать такой девайс (железный TOTP) самостоятельно ну, например, чтобы потешить свой интерес и паранойю.
Какая там примерно аппаратная начинка? Понятное дело - экран, батарейка, какой-то там корпус, напечатанный на 3D принтере, наверное, какой-то специфичный микроконтроллер (с часами).. Вроде как звучит недорого)...
Если бы я был профессионал, у меня вопроса выше не возникало. Ну да, звучит недорого (смотрим на цену тех часов). А теперь сравниваем с ценой этих Token2. У меня, скажем, сразу вопросы возникают, чего это так и чего именно я не понимаю.
Аппаратная начинка... вот тут(youtube, заглядываем в описание - там предыдущие серии) какой-то умелец хачил и разглядывал, на чем такие часы делаются.
А на чем делаются сертифицированные токены в десять раз дороже - понятия не имею.
Если жадность не душит по поводу переплаты (как меня) - смотрим платки на STM32-S3, RP2350. Их пачками наделали.(Примеры без экрана - что у этих picokeys в диалоге Download упоминаются. У тех же компаний есть обычно и с экранчиками. А у китайцев есть клоны.)
Опять же - взгляд мимопроходящего, специалисты по микроконтроллерам своей мудростью просто так делиться не хотят.
спасибо)
Это что, назрела необходимость генератор сделать, подумал уже может генератор тотр в часы свои встроить: https://habr.com/ru/articles/969230/ - думаете, спрос реален. В спящем режиме часики 60 часов могут спать.
Есть куча устройств, типа таких.
Причем появились давно, в году 2008 если не раньше.
Но тут надо чтобы их выдавала сама организация. Типа идешь, подписываешь догвоор и они вот тееб вторйо фактор (собвенно так они и применялись у нас в организации в году 2013)
https://feitian-us-online-store.myshopify.com/collections/otp-solutions/otp-authentication#:~:text=Collection: OTP Tokens,access and credential-based attacks.
Пиплу не надо. Ведь СМС 100% надежно им так в Сбербанке сказали. А еще можно купить страховку непонятно от чего...
Нету толком спросу :(
Вообще железка нужна конечно, но не одна для банка, вторая для госуслуг итп, а одна для всех с кучей профилей. Надо запилить...
А зачем нужен TOTP если нет интернета?
Я пользуюсь приложением TeleOTP, так как сам его и разработал.
Возможно, это не входит в идеологию того, что для генерации кодов не нужно скачивать мессенджер, но телега, я думаю, есть у многих, а просто открыть в ней мини-приложение проще чем скачивать отдельное.
Плюс, коды уже хранятся в вашем аккаунте, поэтому не нужно сильно беспокоиться за перенос на другое устройство и за резервные копии.
Понимаю, что может быть много вопросов касательно безопасности и отказоустойчивости:
TeleOTP не хранит ваши ключи на своих серверах. Используется "облачное хранилище" Telegram, а перед этим ключи шифруются через AES с вашим паролем.
Телегу угонят и все аккаунты вместе с ней? Ключи шифруются, поэтому для того, чтобы получить к ним доступ на новом устройстве, нужно ввести пароль. Ну и стоит побеспокоиться о безопасности вашего аккаунта в ТГ.
Зачем мне вам верить? Не верьте, можете посмотреть исходники на Github (конечно, можно и их подделывать, а деплоить вредоносный код), или даже развернуть своего бота.
Простите, что так нагло рекламируюсь, но может быть кому-то будет это полезно и удобно.
Вопрос безопасности достаточно щепетильный. Я сомневаюсь, что из читателей, кто-то в здравом уме будет ставить себе непроверенного бота. Я бы не стал. Невесть что, да поверх мутного мессенджера, который постоянно онлайн. Ну такое себе. Вот если бы просто числомолотилка без всяких разрешений, с открытым кодом. И весом апк на 1 мб - я бы подумал.
ставить себе непроверенного бота
Здесь появляется проблема, как сделать бота проверенным (и нужно ли)? Как минимум, им пользуюсь я и многие мои знакомые, плюс ещё некоторые люди, которые увидели его в Telegram Contests. Ну ещё и открытый код.
Здесь появляется проблема, как сделать бота проверенным (и нужно ли)?
У бота же нет доказательств, что он запущен именно из тех исходников, которые опубликованы на GitHub, а рантайм окружению можно доверять? Open Source это про совместную разработку, а не коллективную безопасность. В энтерпрайзах вопрос неопределённости закрывается сторонними аудитами.
Не в укор вам, как разработчику, просто базовые принципы безопасности. Спасибо, что поделились исхдниками.
Вот я только что квеном программу набросал которую я могу проверить и залить себе в процессор и носить на руке, если ваш код длиннее на порядок, мне такое не надо - а вышло у меня 100 строк. Хотите в личку могу кинуть для проверки.
Может еще запилю часы с генератором тотр на е-инк, надо подумать - новая статья может нарисоваться.
А в чем смысл киллер-фичи "Работа в оффлайне", если без интернета ты в учетку не зайдешь?
Как раз использую альтернативу TOTP – WebAuthn/FIDO2/passkeys
SMS — это дыра, а мессенджеры — шпионы. Переходим на TOTP и повышаем безопасность за 5 минут