Comments 20
UFO just landed and posted this here
двухфакторная аутентификация часто используется не для безопасности а чтобы собрать по больше инфы о юзере
У того же Гугла, какая информация будет собираться если вы активируюте двухфакторку с использованием приложения?
UFO just landed and posted this here
Необязательно гуглаутентикатор, таких приложений вагон и тележка
много, как минимум одного «уведенного» пароля будет недостаточно
Но и толку с него не так чтобы много.
много, как минимум одного «уведенного» пароля будет недостаточно
UFO just landed and posted this here
минус в карму за Андройд и нежелание думать головой.
Во-первых предлагаю не коверкать названия сервисов и компаний.
аутентификатор гугелю нужен чтобы:
- хомяки чувствовали себя в безопасности
- не разбегались по конкурентам когда ящик уведут (раз ящик всё равно надо создавать...)
- проще было их отслеживать: меньше уводят ящики — меньше действий по корреляции новых с имеющимися.
Во-первых предлагаю не коверкать названия сервисов и компаний.
- Хомякам фиолетово. Абсолютно. Они об этом просто не думают.
- Хомякам фиолетово есть у них ящик или нет, они о нём вспоминают раз в месяц. Или в полгода.
- Хомякам фиолетово даже если ящик увели, Гуглу и другим почти фиолетово. Например, ФБ вас отслеживает на каждой странице, где есть кнопка Like. И им фиолетово что вы думаете по этому поводу.
Андройд сам уже в гугель всё сливает, а аутентификатор гугелю нужен
Смешались в кучу Google Services, Android и Google Authentificator…
Чистый Android (тот же AOSP) ничего не сливает. Сливают Google Services, которые либо предустановлены производителем телефона, либо установлены пользователем. Без них жить сложно, но можно, есть свободные «эмуляторы», предоставляющие софту, ожидающему наличие этих сервисов, требуемые API. То есть, вместо Google Maps прозрачно будут использоваться OpenStreetMaps.
Google Authentificator это лишь частная реализация хорошо известного TOTP. С тем же успехом можно пользоваться открытым и свободным редхатовским FreeOTP. У меня, например, для двухфакторной авторизации вообще приложение под названием «OTP» на Maemo Linux. Никакими «сливами» в Google там и не пахнет.
Разрешения Google Authenticator:
Управление функцией вибросигнала
Неограниченный доступ к Интернету
Использование аккаунтов на устройстве
Создание аккаунтов и установка паролей
Управление NFC-модулем
Использование аккаунта на устройстве что подразумевает? геоданных не увидел. Да они и отключаются
Управление функцией вибросигнала
Неограниченный доступ к Интернету
Использование аккаунтов на устройстве
Создание аккаунтов и установка паролей
Управление NFC-модулем
Использование аккаунта на устройстве что подразумевает? геоданных не увидел. Да они и отключаются
Ну какая может быть ценность у бесплатной почты / форума / онлайн магазина / хабра / торентрекера? — около нулевая
Вы явно целевая аудитория хакеров :) Один из возможых вариантов развития событий:
Получив доступ к вашей почте, через которую вы подтверждали тот же пейпал аккаунт, злоумышленник сможет сменить пароль и получить доступ к вашему пейпалу, на который вы не включили двухфакторную аутентификацию, но подключили пластиковую карточку Сбербанка для оплаты/пополнения пейпал счёта. В результате через ваш аккаунт осуществляется оплата товара и вы теряете свои средства на карточке, без взлома Сбербанка.
Ну какая может быть ценность у бесплатной почты / форума / онлайн магазина / хабра / торентрекера? — около нулевая, стоит ли утруждать себя выдумыванием паролей или того хуже их генерацией?
Менеджеры паролей?
(про дроп боксы, скайдрайвы не пишу, ибо их использование для хранения чего то ценного — клиника, и даже просто использование уже повод для беспокойства)
зашифрованный контейнер?
Тем более, какой вообще смысл регулярно менять в таких местах?
"Вас взломали и вы об этом еще не знаете"
ИМХО, двухфакторная авторизация через мобилу имеет смысл при выполнении следующих двух условий:
- сервис через который проходят деньги
- этот сервис локальный (про юрисдикцию)
То есть управление DNS, аккаунтами у хостеров, почта, соцсети, любимый бложек — всё нафиг не надо? Окей.
Вообще, двухфакторная аутентификация часто используется не для безопасности а чтобы собрать по больше инфы о юзере (а потом продаться по дороже) и по сильнее привязать юзера к сервису.
В ряде случаев, как с телеграмом, оно было лишним и слабым местом.
Amazon AWS, DigitalOcean, Hetzner, Steam. Продолжать?
Вы реально глупости несете.
UFO just landed and posted this here
А уж как раз кипасс обосрался за поледний год и вспоминать не охота.
Пруфы?
UFO just landed and posted this here
Это называется не "обосрался", а "компрометированная машина". С тем же успехом можно было сказать, что keepass "обосрался", если на машине пользователся стоял кейлоггер.
Окей, у вас скомпрометирована машина — у вас утащат все пароли и ключи. Или не утащат, если вы нафиг никому не сдались.
Но это не повод бегать по городу с голой задницей.
Sign up to leave a comment.
Security Week 23: украли все пароли, невзлом TeamViewer, Lenovo просит удалить уязвимую утилиту