Comments 52
Потому это не удобно. У банков вот с такой проблемой не встречался, может потому что внутри России как то договорились и доставляют. А вот с SMS от акканта Макрософта — постоянно проблемы.
И конечно же это происходит в самый не подходящий момент. Потому что в в принципе момент не может быть подходящим если тебе нужны твои деньги, а ты не можешь ими воспользоваться.
Нужно давать альтернативу. Те же банки некоторые дают и электронные генераторы, и карточки с одноразовыми ключами.
Пришлось завести U2F token. И Яндекс-ключ в качестве резерва.
потому что я активировал 2FA через гугл на криптобирже, имел неосторожность незабекапить ключ (заметьте — сверхнеочевидная задача для обычного человека), девайс сломался, и я потом месяц ждал ответа от техподдержки для подтверждения что я — это я, и нужно сбросить код
ну как это нельзя… как минимум в расширении хрома можно. Только я не до конца разобрался как это работает, когда только начал пользоваться им.
Можно, сделайте скриншот QR кода и распечатайте
Есть же куча других реализаций, где можно бэкапить. Например Authenticator Plus.
>> В Google Authenticator нельзя сделать back-up ключа
Можно. Я нажал экспорт, сделал скриншот QR кода. Примерно через 6 месяцев понадобилось, я на другом устройстве открыл скриншот и QR код отсканировал. Всё получилось.
Если его декодировать, то он выглядит так: `otpauth-migration://offline?data=CiIKC`
Это base64, где есть имя сервиса, логин и не читаемый шифр из разных символов.
Для меня основная проблема с 2FA — это то, что большинство реализаций завязаны на SMS, с доставкой которых проблемы вечно возникают в самый неудобный момент.
У гугла с этим все отлично, есть и totp, и phone prompt.
Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.
Угу, как будто раньше этого не знали. Просто таки сюрприз — люди не хотят пользоваться тем, что неудобно, ненадежно и неочевидно в плане практической пользы.
Вообще говоря, было бы интересно увидеть статистику по предотвращению угонов аккаунта благодаря 2FA.
Во-вторых, это просто свидетельство того, сколько ящиков на Gmail создано «одноразовых», ботами, технических, для которых обычно не нужна повышенная безопасность (у меня, например, несколько домашних девайсов, типа NAS-ов присылают таким образом алерты и репорты), и так далее.
Не практично, и 2FA — это рак.
Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
Телефона нигде нет, специально проверил.
Аттракцион невиланной щедрости (в смысле что он готов заплатить)
И даже если они говорят что ваши данные зашифрованы, что они в безопасности, что даже сама корпорация их не может расшифровать и даже если это правда — в любом случае эти данные у них есть. Не важно в каком виде, но вы ими поделились.
И да, ой сюрприз, но даже налоговая, паспортный стол и военкомат кое-что о вас знают. И у многих ваш номер и адрес проживания, данные паспорта и т.д.
Ну что, вы там ещё не против вообще существовать??
Я всего лишь говорю что 2-х факторная это хорошо там где это нужно. Но не стоит отдавать больше контроля над своими личными данными (координата, голос, номер телефона) там где это не нужно.
Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.
Получается, что большинство пользователей просто не готовы жертвовать удобством ради чувства ложной безопасности. Вы же сами об этом пишете.
Да, в этом плане программисты действительно ведут себя не логично.
Аналогия с рамками в метро, аля защита от террористов. Все понимают, что это бесполезно, направлено, дабы отловить пару человек в год, а страдают каждый день все. И всем очевидно, что реальный террорист всё равно найдёт способ пронести бомбу.
Так же и с 2FA — может быть спасёт от пары случаев взлома, страдают все, но кому надо всё равно найдёт способ угнать данные.
Боюсь, проблема глубже… даже если вам самим не очень важны какие-то учетные записи, то они могут быть важны злоумышленникам, чтобы пользоваться ваши учётками с хорошей репутацией для спама и прочих действий. Может и не у вас, так у кого-то еще, кто запамятовал, что установил эту почту с легким паролем второй для восстановления пароля от уже более ценной почты… ситуаций может быть много. Сервисы защищают не именно ваши данные, они защищают свою систему в целом, так как часть людей не понимают последствий своих решений, а страдать из-за них могут все. Лёгкого решения этой проблемы нет. Поэтому выбирают меньшее из зол
Только доп программами. Ну и пользоваться альтернативами с поддержкой ключа\пароля на вход.
Отказался от 2fa, прожил с ним год, самое неудобное, что случается нет заряда на телефоне а зайти куда-то надо особенно в отпуске, как-то разбил дисплей и потом морока с восстановлением аккаунта обернулась блоком учетки на оутлуке на 3 дгя. А там надо было срочно войти и получить пароль от другой учетки. Так что 2fa в нынешнем виде больше усложняет жизнь чем обнзопашивает мои аккаунты, чтоб восстановить доступ тратится слишком много времени возможно стоит пересмотреть саму концепцию
1) Лишние действия. Ожидание смсок при каждом входе в банк-клиент надоедает, еще и для почты такого же не хочется.
2) Боязнь самозалочиться. Телефон конечно всегда под рукой и в этом плане очень удобен, однако телефон может разрядиться, повредиться, быть украден. И что тогда делать? Забыть про свои старые учетки? Или с бОльшим гемором их восстанавливать. Недавно столкнулся с ноутбуком брата: чтобы войти в учетку Google, введите код из смс, только вот номера больше нет такого, а другие варианты — отказ. И чего делать?
Почему-то у всех 2FA ассоциируется с СМС, если немного дальше -аутентификатор от Google. Уже давно есть множество различных аутентификаторов на любой вкус и цвет и на любой случай жизни. Для критической инфраструктуры — аппаратный токен с защитой pin кодом и технологией запрос-ответ, для обычного пользователя токен push otp (например, MobilePass+), который и в оффлайн режиме работает. Для тех, кто боится потерять, утопить или рассинхронизировать токен есть графические генераторы otp
(например, GridSure). Просто у нас пока нет гигиены безопасности. Почистить зубы — тоже лишние действие для пользователя… Так и с 2FA.
В Вашем аккаунте обнаружено 2 проблемы с безопасностьюФейсбук номер четыре. По раскрытию ссылки пролемы была всего одна и заключалась в том что я вошел в свой эккаунт с другого устройства.
apapacy@gmail.com
В новой версии Проверки безопасности доступны рекомендации по защите данных, подобранные специально для Вас.
Узнайте, что Вы можете сделать для безопасности аккаунта уже сегодня. Это займет всего одну-две минуты.
При этом как я уже сообщал Выше сейчас, именно сейчас (не год назад и не месяц назад) включить 2-ю авторизацию на гугле можно только и исключительно через СМС.
То есть позиция довольно однозначно показывает что гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты. И это ведет не к увеличению безопасности а к ослаблению безопасности. (не почты а личной безопасности).
Я вам открою страшную тайну. Если у вас есть телефон с андроид, и вы с него заходили в свою гуглоучетку, например чтобы поставить софт из маркета (и на телефоне есть постоянно или бывает периодически интернет), то ваши координаты с номером уже там. И подобное происходит уже достаточно давно.
Почему большинство людей не используют двухфакторную аутентификацию?