Pull to refresh

Comments 52

К сожалению SMS иногда очень подолгу ходят или вообще не приходят.
Потому это не удобно. У банков вот с такой проблемой не встречался, может потому что внутри России как то договорились и доставляют. А вот с SMS от акканта Макрософта — постоянно проблемы.
И у банков тоже. Лично два раза сталкивался с тем, что SMS от Сбера не приходили более часа. Хотя я больше склонен грешить на проблемы у Сбера с их отправкой. Но кто знает?
И конечно же это происходит в самый не подходящий момент. Потому что в в принципе момент не может быть подходящим если тебе нужны твои деньги, а ты не можешь ими воспользоваться.
Нужно давать альтернативу. Те же банки некоторые дают и электронные генераторы, и карточки с одноразовыми ключами.

У того же сбера раньше была альтернатива: листок с одноразовыми паролями,
который можно было распечатать в любом банкомате.
Гораздо удобнее, чем смс, но почему-то сбер убрал этот способ.

Особенно если ты уехал куда-нибудь в Индию, а SMS шлют на московский номер. Труба.
Пришлось завести U2F token. И Яндекс-ключ в качестве резерва.

потому что я активировал 2FA через гугл на криптобирже, имел неосторожность незабекапить ключ (заметьте — сверхнеочевидная задача для обычного человека), девайс сломался, и я потом месяц ждал ответа от техподдержки для подтверждения что я — это я, и нужно сбросить код

В Google Authenticator нельзя сделать back-up ключа, рекомендую обратить внимание на Authy. Его можно использовать в тех же местах, что и GA, но так же там есть back-up и возможность поделиться ключом с другими устройствами.

ну как это нельзя… как минимум в расширении хрома можно. Только я не до конца разобрался как это работает, когда только начал пользоваться им.

Можно, сделайте скриншот QR кода и распечатайте

Authy не безопасен по определению (т.к. данные уходят к ним на сервер и там лежат).
Есть же куча других реализаций, где можно бэкапить. Например Authenticator Plus.
Огромное спасибо за наводку! Странно, что в обсуждении на reddit его никто не упомянул. Теперь буду пользоваться Authenticator Plus!

>> В Google Authenticator нельзя сделать back-up ключа
Можно. Я нажал экспорт, сделал скриншот QR кода. Примерно через 6 месяцев понадобилось, я на другом устройстве открыл скриншот и QR код отсканировал. Всё получилось.
Если его декодировать, то он выглядит так: `otpauth-migration://offline?data=CiIKC`
Это base64, где есть имя сервиса, логин и не читаемый шифр из разных символов.

Можно

Это сейчас можно. Статья 2018 года. Функция экспорта появилась в мае 2020.

base64, где есть имя сервиса, логин и не читаемый шифр из разных символов.

Шифр на практике вполне себе читаемый.

Для меня основная проблема с 2FA — это то, что большинство реализаций завязаны на SMS, с доставкой которых проблемы вечно возникают в самый неудобный момент.


У гугла с этим все отлично, есть и totp, и phone prompt.

Восстановление профиля Totp все равно по телефону

Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.

Угу, как будто раньше этого не знали. Просто таки сюрприз — люди не хотят пользоваться тем, что неудобно, ненадежно и неочевидно в плане практической пользы.


Вообще говоря, было бы интересно увидеть статистику по предотвращению угонов аккаунта благодаря 2FA.

Во-первых — уже было на GT.
Во-вторых, это просто свидетельство того, сколько ящиков на Gmail создано «одноразовых», ботами, технических, для которых обычно не нужна повышенная безопасность (у меня, например, несколько домашних девайсов, типа NAS-ов присылают таким образом алерты и репорты), и так далее.

а еще больше их от регистраций в маркете андроид телефонов, где тоже никому не нужна безопасность. Вообще я не представляю как там можно хоть что-то посчитать, когда существуют огромное количество сайтов, продающих почты от бот регистраций тысячами…

При смене номера будет геморрой 200тыщ аккаунтов переносить на новый номер.
Не практично, и 2FA — это рак.
Хватает сервисов которые не привязывают 2FA к девайсу.
Двухфакторная аутенфикация конкретно от гугла и хайп который они пытаются поднять это просто способ получить номер телефона и координату не только для андроидов а и для всех абсолютно. Так что я если что против такой псевдобезопасности
И я продублирую свой комментарий к посту на ГТ (2FA на TOTP, а не на СМС):

Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
как выглядит в настройках
image

Телефона нигде нет, специально проверил.
За totp не знал включу себе на одном из эккаунтов. Но это не снимает вопросов с смс. Т.к. 1 при логине предлагается защититься все же телефоном и для большинства к которому я отношу себя это смс и только и 2 если установить Аутентификатор на ios то не за требует ли он повышенного доступа? Что касается андроид то вопрос от разработчиков ОС разрешение ли вы определить свою координатузвучит риторически
Я пытаюсь с totp но гугл мне не позволяет это сделать без телефона. Возможно если это делать с другого девайса или же если уже было раньше активировано то можно. Сейчас только телефон. Даже если это можно сделать зайдя в какой-то режим через лабиринт меню этоне меняет основного. Гугл хочет мой телефонный номер.
Картинка
image

Аттракцион невиланной щедрости (в смысле что он готов заплатить)
Вам тогда нужно переехать в тайгу и жить там без технологий вообще. Ибо любой аккаунт — это по факту осознанная (видимо не для всех) делёжка личной информацией с третьими лицами (корпорациями и т.д.)
И даже если они говорят что ваши данные зашифрованы, что они в безопасности, что даже сама корпорация их не может расшифровать и даже если это правда — в любом случае эти данные у них есть. Не важно в каком виде, но вы ими поделились.
И да, ой сюрприз, но даже налоговая, паспортный стол и военкомат кое-что о вас знают. И у многих ваш номер и адрес проживания, данные паспорта и т.д.
Ну что, вы там ещё не против вообще существовать??
Не совсем уместный сарказм. Я как раз не призываю «усиливать» безопасность предоставлением гуглу свою координату и номер телефона (заодно и образец голоса).
Я всего лишь говорю что 2-х факторная это хорошо там где это нужно. Но не стоит отдавать больше контроля над своими личными данными (координата, голос, номер телефона) там где это не нужно.
Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.

Получается, что большинство пользователей просто не готовы жертвовать удобством ради чувства ложной безопасности. Вы же сами об этом пишете.
Безопасность все же не ложная. Я как минимум знаю несколько десятков случаев когда взлом аккаунта был остановлен лишь благодаря 2FA.
мой телефон (honor 8) попросил раз в 3 дня вводить пароль хотя я пользуюсь отпечатком пальца… улетел в помойку. Безопасность не критичных данных должна быть разумной и комфортной, на то они и не критичные данные. Иногда кажется что мы живем в некой цифровой диктатуре, где нам приказывают что мы должны видеть слышать как жить и как себя обезопасить. БЕСИТ. Недавно на mail.ru заблокировали мою почту из которой я регистрировался на всяких фан сайтах типа джоя и фишек, потребовали от меня номер телефона и второй запасной ящик… были посланы. Иногда кажется что миром пытаются править кучка параноиков.

Да, в этом плане программисты действительно ведут себя не логично.
Аналогия с рамками в метро, аля защита от террористов. Все понимают, что это бесполезно, направлено, дабы отловить пару человек в год, а страдают каждый день все. И всем очевидно, что реальный террорист всё равно найдёт способ пронести бомбу.
Так же и с 2FA — может быть спасёт от пары случаев взлома, страдают все, но кому надо всё равно найдёт способ угнать данные.

Боюсь, проблема глубже… даже если вам самим не очень важны какие-то учетные записи, то они могут быть важны злоумышленникам, чтобы пользоваться ваши учётками с хорошей репутацией для спама и прочих действий. Может и не у вас, так у кого-то еще, кто запамятовал, что установил эту почту с легким паролем второй для восстановления пароля от уже более ценной почты… ситуаций может быть много. Сервисы защищают не именно ваши данные, они защищают свою систему в целом, так как часть людей не понимают последствий своих решений, а страдать из-за них могут все. Лёгкого решения этой проблемы нет. Поэтому выбирают меньшее из зол

А чего не упомянули всякие приложения — генераторы кодов входа типа Google Authentificator? Самое оно для замены смс. Я лично редко пользуюсь двухфакторной аутентификацией, потому что это действительно не слишком удобно — лишний раз искать какой-то код в смс или приложении. Но зато с удовольствием пользуюсь гугловским способом с уведомлениями на смартфоне. Это куда быстрее. Надо лишь тыкнуть по кнопке в уведомлении на главном экране, а не копировать код который еще надо найти перед этим. И не понимаю паранои насчет номеров телефона. Ну что с того что у гугла будет мой номер? Гугл не будет же заниматься каким-то мелким хакерством типа снять деньги со счета или присылать фишинговые смс… А то что все мы у них под колпаком — это и так понятно. Захотят — и без моего номера найдут как взломать. Другое дело что ввожу телефон я только на проверенных сайтах типа гугла, яндекса, соцсетей… Плюс конечно менеджер паролей. Без него никуда!
Одна из проблем конкретно с GA то, что его нельзя запаролить…
Только доп программами. Ну и пользоваться альтернативами с поддержкой ключа\пароля на вход.

Да гугловский GA довольно слабо выглядит, хотя если подумать, запоролить сам телефон будет вполне достаточно.


Так же пользуюсь Authy, более продвинутый в этом плане, и запоролить самое приложение можно

UFO just landed and posted this here
После того как 1Password добавили поддержку одноразовых паролей использовать 2FA стало очень удобно.
UFO just landed and posted this here

Отказался от 2fa, прожил с ним год, самое неудобное, что случается нет заряда на телефоне а зайти куда-то надо особенно в отпуске, как-то разбил дисплей и потом морока с восстановлением аккаунта обернулась блоком учетки на оутлуке на 3 дгя. А там надо было срочно войти и получить пароль от другой учетки. Так что 2fa в нынешнем виде больше усложняет жизнь чем обнзопашивает мои аккаунты, чтоб восстановить доступ тратится слишком много времени возможно стоит пересмотреть саму концепцию

Тут что с 2FA, что без него, сегодня из-за 2FA что-то залочилось, завтра что-то где-то взломали и опять у вас что-то сломается и виноваты опять все кроме вас. Вспоминается goo.gl/Z9NpwV
Для себя отметил два момента, почему в данный момент не хочу использовать 2FA
1) Лишние действия. Ожидание смсок при каждом входе в банк-клиент надоедает, еще и для почты такого же не хочется.
2) Боязнь самозалочиться. Телефон конечно всегда под рукой и в этом плане очень удобен, однако телефон может разрядиться, повредиться, быть украден. И что тогда делать? Забыть про свои старые учетки? Или с бОльшим гемором их восстанавливать. Недавно столкнулся с ноутбуком брата: чтобы войти в учетку Google, введите код из смс, только вот номера больше нет такого, а другие варианты — отказ. И чего делать?
Та же история. Пользовался, пока не потерял телефон. Сделал для себя вывод, что вероятность потерять телефон все же на порядки выше, чем то, что меня взломают и 2FA это неоправданное усложнение своей жизни.

Хаха, от меня из будущего, использующего u2f ключ XD

Потому что акк не несет цены, зачем на нем повышенный уровень безопасности. Если б было че-то ценное то да юзал бы
Акк-то понятно не несет, так ведь почта же. Если так пароль можно каким-либо образом узнать, то в случае двухфакторки нужно только мобилу отжимать либо эсмски перехватывать, но в данном случае скорее всего тобой будут интересоваться уже совсем другие структуры, коли почта представляет для кого-то такую ценность, что кому-то выгодно нанимать хацкеров, которые как в американских фильмах перехватывают твой траф на скамейке у кафе с открытым вайфаем. Поэтому для простого обывателя это защита 100%, даже если бабушка растрезвонит всем твой же пароль.
UFO just landed and posted this here
Я, как и многие жители Украины, пользуюсь телефонным номером с авансовой оплатой без привязки к персональным данным потому что он банально дешевле контрактного. Такой номер при желании совсем несложно угнать, но для телефонной связи такой безопасности достаточно, потому что профита от его угона почти никакого. А вот когда номер становится (промежуточным) фактором аутентификации, то угон такого номера уже гораздо опаснее и привлекательнее для злоумышленника.
Не знаю как но в большинстве случаев те кому нужно знают и персональные данные для всех абонентов. Вспоминте хоя бы скорость раскрытие преступлений с телефонными «шутниками» (пару часов и челеовек под следствием)
А все очень просто, настраивал родственнице почту во встроенном клиенте на киткате, постоянно получал ошибку авторизации, перепробовал все что мог, а оказалось что все дело в банальной включенной двухфакторной авторизации, которую я подключил незадолго до этого, ибо модно-молодежно плюс безопасно. И это не какой-то сторонний клиент, это дефолтный e-mail клиент для Андройда! Как сейчас обстоят дела с этим не знаю, у самого зефир, но почтой на мобиле не пользуюсь, ибо всегда под рукой стационарка, может и поправили, так что отзовитесь плиз если у кого работает почта в дефолтном клиенте с аккаунтом с ней, буду знать…

Почему-то у всех 2FA ассоциируется с СМС, если немного дальше -аутентификатор от Google. Уже давно есть множество различных аутентификаторов на любой вкус и цвет и на любой случай жизни. Для критической инфраструктуры — аппаратный токен с защитой pin кодом и технологией запрос-ответ, для обычного пользователя токен push otp (например, MobilePass+), который и в оффлайн режиме работает. Для тех, кто боится потерять, утопить или рассинхронизировать токен есть графические генераторы otp
(например, GridSure). Просто у нас пока нет гигиены безопасности. Почистить зубы — тоже лишние действие для пользователя… Так и с 2FA.

Не думаю что кто-то против двухфакторной аутентификации. Я например обсуждал тут повышенную активност гугла начиная с начала этого года. Мои знакомые зная что я работаю в ИТ обратились недавно с вопросом и со ссылкой на статью. Если в двух сорвах о содержании статьи — Вы должны защитить почту gmail иначе будут пропадать деньги с Вашей платежной карточки и т.п. Ко мне самому не далее чем сегодня пришло письмо от гугла в лучших традициях писем счастья такого вот содержания.
В Вашем аккаунте обнаружено 2 проблемы с безопасностью
apapacy@gmail.com
В новой версии Проверки безопасности доступны рекомендации по защите данных, подобранные специально для Вас.
Узнайте, что Вы можете сделать для безопасности аккаунта уже сегодня. Это займет всего одну-две минуты.
Фейсбук номер четыре. По раскрытию ссылки пролемы была всего одна и заключалась в том что я вошел в свой эккаунт с другого устройства.

При этом как я уже сообщал Выше сейчас, именно сейчас (не год назад и не месяц назад) включить 2-ю авторизацию на гугле можно только и исключительно через СМС.

То есть позиция довольно однозначно показывает что гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты. И это ведет не к увеличению безопасности а к ослаблению безопасности. (не почты а личной безопасности).
> гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты

Я вам открою страшную тайну. Если у вас есть телефон с андроид, и вы с него заходили в свою гуглоучетку, например чтобы поставить софт из маркета (и на телефоне есть постоянно или бывает периодически интернет), то ваши координаты с номером уже там. И подобное происходит уже достаточно давно.
Согласен, проблема в удобности. Не всегда работает.
Sign up to leave a comment.