Comments 14
>> геймеры оказались очень отходчивыми людьми
Думаю, что у них просто не было иного выбора, как смиренно ждать. Вариантов игровых приставок с учётом порочной практики «эксклюзивов» исчезающе мало.
Думаю, что у них просто не было иного выбора, как смиренно ждать. Вариантов игровых приставок с учётом порочной практики «эксклюзивов» исчезающе мало.
Sony поздно задумалась над двухфакторной аутентификацией и когда реализовала ее, то тоже немного опоздала: выбрали SMS, которые сейчас не рекомендуются к использованию в качестве фактора аутентификации.
Связка пароль+SMS всегда была 2SV, но не 2FA
Подробнее
Подробнее
Я уже комментировал эту терминологию ранее.
Автор статьи по вашей ссылке считает, что SMS не является вторым фактором, поэтому пароль+код_из_SMS он называет 2SV, а не 2FA. Я же полагаю, что через код в SMS подтверждается владение SIM картой. Наличие атак на данный фактор не означает, что он перестает быть фактором аутентификации. К тому же эти атаки являются нарушением законодательства.
Если рассуждать как автор той статьи, то одноразовые коды в мобильном приложении (и вообще любой фактор) тоже могут быть скомпрометированы, например, вирусом на смартфоне.
Автор статьи по вашей ссылке считает, что SMS не является вторым фактором, поэтому пароль+код_из_SMS он называет 2SV, а не 2FA. Я же полагаю, что через код в SMS подтверждается владение SIM картой. Наличие атак на данный фактор не означает, что он перестает быть фактором аутентификации. К тому же эти атаки являются нарушением законодательства.
Если рассуждать как автор той статьи, то одноразовые коды в мобильном приложении (и вообще любой фактор) тоже могут быть скомпрометированы, например, вирусом на смартфоне.
Я же полагаю, что через код в SMS подтверждается владение SIM картойПринципиальная разница в том, что для получения доступа к коду из приложения злоумышленник должен получить доступ к самому устройству и произвести атаку, а для получения смски доступ к оригинальной симке не нужен.
Фактор владения — он про неповторимость того, чем владеем — иначе в чём его смысл?
Ещё раз: чтобы скомпрометировать одноразовый пароль, злоумышленник должен действительно «украсть» его из того места, где он был до этого. И виноват в этом будет тот, у кого украли. Чтобы украсть код из смс, никакое взаимодействие с атакуемым не нужно вообще.
С чего вы взяли, что вы владеете своим смартфоном?
Если серьезно, то я понимаю вашу логику. Факт ввода кода из SMS действительно может подтвердить что-то из списка: владение SIM картой или доступ к сети/оборудованию оператора или доступ к сети SS7.
Кстати, если кто-то подсмотрел (MiTM, фишинг, камера, вирус) QR с seed при инициализации вашего TOTP токена, то он тоже может сделать сколько угодно дубликатов.
Если серьезно, то я понимаю вашу логику. Факт ввода кода из SMS действительно может подтвердить что-то из списка: владение SIM картой или доступ к сети/оборудованию оператора или доступ к сети SS7.
Кстати, если кто-то подсмотрел (MiTM, фишинг, камера, вирус) QR с seed при инициализации вашего TOTP токена, то он тоже может сделать сколько угодно дубликатов.
SMS лучше чем ничего.
Относительно сони и их техподдержки: когда я обнаружил, что к моему аккаунту привязана чужая консоль, получил ответ на обращение, что они не могут отвязать консоль взломщика от моего аккаунта, так как это моё второе обращение, и при этом не могут сообщить деталей об этой консоли (страну итд), так как «известно, она не моя». Предложили ждать полгода и деактивировать её самостоятельно, так как я виноват в «ненадлежащем отношении к безопасности у/з», признавать, что у них были утечки отказались. Попытки убедить их помочь мне, хозяину у/з, с включенной двухфакторной авторизацией результата не принесли. Негативнейшее впечатление.
1 в 1 ситуация произошла со мной в августе. При том что пароль от PSN я нигде больше не использывал (оба пароля — первого и второго инцедента были уникальными), а сам пароль как и нужно состоит из букв, цифр и символов. Такое чувство, что у них какие-то проблемы на серверной стороне с этим.
Жду пока пройдет пол года, чтоб домашние тоже могли воспользоваться консолью… бред.
Жду пока пройдет пол года, чтоб домашние тоже могли воспользоваться консолью… бред.
Сони просто очередная толстая корпорация с типичным соседством «и так сойдет» и многоуровневой бюрократии. У них же не аккаунты сфишили а вынесли содержимое с их серверов, двухфакторная авторизация после взлома их сервера смотрится как навешивание на ворота второго комплекта замков, когда их просто обходят сбоку там, где должна быть стена — короче простой популизм, чем мне поможет код с SMS при логине в PSN когда данные моей кредитки уже у Джона Смита и в продаже на силкроаде, надеюсь внутри кроме двухфакторки то что-то архитектурно поменяли к лучшему.
Самое главное не написали — что за двухфакторная авторизация? Какой чип используют и куда в приставке его надо пихать. Есть ли дрова для компа, чтобы тем же устройством авторизоваться в браузере?
По поводу этой 2факторной авторизации. Странная работа с принятием кода. На работе всегда даёт отмаз, что пароль не правильный. Дома все работает идеально. Мистика…
После подключения авторизации, пс3 попросила зайти на доп.сайт, где был сгенерирован уникальный пароль на вход именно с неё. пс4 вообще никак не сообщила о подключении, даже не попросил ввод доп.паролей.
После подключения авторизации, пс3 попросила зайти на доп.сайт, где был сгенерирован уникальный пароль на вход именно с неё. пс4 вообще никак не сообщила о подключении, даже не попросил ввод доп.паролей.
Sign up to leave a comment.
Двухфакторная аутентификация и открытые двери