Comments 92
Хорошее начинание. Понятно что в чём-то даже такой способ будет не удобный, придётся привыкать, но я рад что Mail.ru двигается в сторону ухода от паролей.
UFO just landed and posted this here
UFO just landed and posted this here
Спасибо всем что слили карму за моё личное субъективное мнение. Так держать. Поясню для минусующих:
Открытие пароля (даже если хеша) — это прямая угроза безопасности, так как один пароль люди часто используют на нескольких сайтах.
В сравнении с этим привязка телефона — гораздо меньшее зло, напрямую не компрометирует учётки на других сайтах, а только допускает возможность спама и слежки.
Открытие пароля (даже если хеша) — это прямая угроза безопасности, так как один пароль люди часто используют на нескольких сайтах.
В сравнении с этим привязка телефона — гораздо меньшее зло, напрямую не компрометирует учётки на других сайтах, а только допускает возможность спама и слежки.
Через 50 лет за хэш с солью нобеля дадут!
привязка телефона — гораздо меньшее зло
Я так понимаю, благородный дон про злонамеренную переадресацию SMS не слышал?
Поголовная смсизация систем авторизации превращает потерю телефона в катастрофу личного масштаба.
Ну и вдогонку ситуация из жизни: как-то так случилось, что я потерял паспорт, а на следующий день в телефоне умерла симка. Паспорт делают несколько недель (находился не в родном городе), симку без паспорта перевыпустить невозможно. Вот весело бы было, если бы у меня на мыле была авторизация только через смс.
Ну и вдогонку ситуация из жизни: как-то так случилось, что я потерял паспорт, а на следующий день в телефоне умерла симка. Паспорт делают несколько недель (находился не в родном городе), симку без паспорта перевыпустить невозможно. Вот весело бы было, если бы у меня на мыле была авторизация только через смс.
>> так как один пароль люди часто используют на нескольких сайтах
То есть если кто-то, кому не важны его данные, действует не самым безопасным образом, то значит абсолютно всех надо нагибать на слив всех персональных данных? Браво! Вам за подобную «рекламу» не только карму слить надо…
То есть если кто-то, кому не важны его данные, действует не самым безопасным образом, то значит абсолютно всех надо нагибать на слив всех персональных данных? Браво! Вам за подобную «рекламу» не только карму слить надо…
Ёж — птица гордая… =), домохозяйки так и продолжат использовать один пароль везде. Уж лучше их насильно перевести на push-нотификацию, чем ежедневно принимать жалобы о взломах.
И я не думаю что push-нотификация сильно сливает персональные данные, это уже сильно зависит от используемого приложения: если оно и ранее перехватывало гео-позицию, тут ничего не меняется.
И я не думаю что push-нотификация сильно сливает персональные данные, это уже сильно зависит от используемого приложения: если оно и ранее перехватывало гео-позицию, тут ничего не меняется.
Хорошее начинание
Есть сомнения в безопасности телефонов, особенно в РФ (где основная аудитория mail.ru) в связи с популярностью noname китайских смартфонов c троянами
Лучше давать пользователям выбор. Кто хочет безопасности, тому второй фактор. И предоставить выбор этого второго фактора, например, я бы предпочла(правда я не пользователь mail.ru) FreeOTP пушам/SMS.
Ну вот, теперь они хотят обязать всех сдавать им свои телефоны.
Придётся уходить на альтернативные сервисы.
Придётся уходить на альтернативные сервисы.
Это поможет защититься от слива БД с пользователями
«Защита от незаконных врезок в трубопровод путем прокачки через него сточных вод» (с) Mail.ru
Очень напоминает сегодняшнюю ситуацию с тем, что у одного оператора связи проблемы с доставкой смс из банков и бухгалтерия полдня сидит без банков, поскольку «все на телефон завязано». Т.е. без телефона они вообще ничего не могут, даже просто зайти.
Учитывая, что в России ваши СМС может читать любой хрен через СОРМ не спрашивая разрешения оператора, шикарная идея.
Телеграм, помнится, как-раз обжегшись на авторизации по СМС, ввёл пароли.
Да и даже без СОРМ — атака от мошенников, получающих новую сим-карту вместо вас (уже распространенный вариант) и теперь они будут сразу иметь доступ не только к телефону, но и почте. А для кучи сервисов это уже позволяет сменить пароль.
СОРМ даёт доступ ко всем вашим данным на мэйл.ру, в том числе к тем, которые вы считаете удалёнными. Есть такой «пакет Яровой», вот там всех на это нагнули. Поэтому СМС или пароль здесь уже ничем и никому из пользователей СОРМа не помешает.
Это все очень здорово, но я часто провожу время в таком населенном пункте, где из ОПСОСов — только Билайн. Причем, я — не пользователь данного оператора. И как тогда мне быть? При этом, там есть инет (оптика). Значит, котиков на ютубе я могу посмотреть, а почту проверить — мне сервер покажет комбинацию из трех пальцев?
Это точно не утка? Звучит слишком бредово.
Нет базы — нечему утекать! Стандартный 2FA в качестве защиты от утечек и принудительное требование смены пароля при намеке на утечку — более чем достаточно.
Вот кстати да, что будет с POP/IMAP/SMTP? Зарежут и оставят доступ только через фирменное приложение/webui?
Ну и для всех параноиков, которые считают что mail будет сливать временные пароли спец. службам — успокойтесь, у них и так есть доступ к вашем письмам и они могут их сливать хоть сейчас.
Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.
Нет базы — нечему утекать! Стандартный 2FA в качестве защиты от утечек и принудительное требование смены пароля при намеке на утечку — более чем достаточно.
Доступ по протоколу POP3 тоже не изменился.
Вот кстати да, что будет с POP/IMAP/SMTP? Зарежут и оставят доступ только через фирменное приложение/webui?
Ну и для всех параноиков, которые считают что mail будет сливать временные пароли спец. службам — успокойтесь, у них и так есть доступ к вашем письмам и они могут их сливать хоть сейчас.
Печальная новость.
Теперь читать почту близких людей будет проще.
Взял телефон спящего супруга/супруги, зашёл в почту. Если телефон заблокирован и не показывает коды в первых строчках уведомлений на главном экране — переставил симку и получил ещё один код для входа.
С кражей паролей бороться было проще: сменил пароль на новый и уникальный, сохранил туда, откуда не утащат, и больше не паришься до следующего слива. С кражей телефонов бороться будет значительно сложнее.
Теперь читать почту близких людей будет проще.
Взял телефон спящего супруга/супруги, зашёл в почту. Если телефон заблокирован и не показывает коды в первых строчках уведомлений на главном экране — переставил симку и получил ещё один код для входа.
С кражей паролей бороться было проще: сменил пароль на новый и уникальный, сохранил туда, откуда не утащат, и больше не паришься до следующего слива. С кражей телефонов бороться будет значительно сложнее.
переставил симку
pin-код жеж
Как правило, сим-карты в последние года выдаются с пин-кодами 0000 или 1234, выключенными по умолчанию. Большинство пользователей не стремится их включать, поскольку это затягивает процесс включения телефона, но при этом нечасто (пока ещё) даёт эффективную защиту.
В целом, пин-коды — штука легко подбираемая соц. инженерией в бытовых, семейных условиях. Что-то вроде «подглядеть из-за спины», пока партнёр вводит пин-код в перезагруженном злоумышленником телефоне. Графические ключи такую атаку делают более сложной. Но их в сим-карты, к сожалению, не завезли.
Имхо, использовать только смс без пароля — в целом опаснее, чем внедрять пароль без смс, поскольку взломы почт нужны не только незнакомым злоумышленникам, но и знакомым: ревнивым женам/мужьям или завистливым коллегам.
В целом, пин-коды — штука легко подбираемая соц. инженерией в бытовых, семейных условиях. Что-то вроде «подглядеть из-за спины», пока партнёр вводит пин-код в перезагруженном злоумышленником телефоне. Графические ключи такую атаку делают более сложной. Но их в сим-карты, к сожалению, не завезли.
Имхо, использовать только смс без пароля — в целом опаснее, чем внедрять пароль без смс, поскольку взломы почт нужны не только незнакомым злоумышленникам, но и знакомым: ревнивым женам/мужьям или завистливым коллегам.
Графический ключ тоже легко подсматривается через плечо. Или по жировому следу под лампой.
Уязвимость графического пароля
Кстати, на днях заметил на Protonmail, что они сделали возможность авторизации только по одному паролю. Видимо слишком неудобно было для многих пользователей вводить два пароля, с этим ещё и проблемы у запоминалок паролей.
Уязвимость графического пароля
Кстати, на днях заметил на Protonmail, что они сделали возможность авторизации только по одному паролю. Видимо слишком неудобно было для многих пользователей вводить два пароля, с этим ещё и проблемы у запоминалок паролей.
Легко, соглашусь. Однако, пин-код подсматривается, как мне кажется, проще: пользователь совершает отрывистые нажатия на «клавиши» с чётко определёнными границами, имеющими иногда свойство неотключаемо подсвечиваться после нажатия. Для сравнения, жест при вводе графического ключа, если отключить демонстрацию ввода, выглядит как хаотичное движение пальцем по экрану, в котором опасность представляет только анализ жирового следа.
К тому же, ввод пин-кода от сим-карты нельзя заменить сканированием отпечатка пальца, FaceID или иной биотметрией, которую нельзя атаковать через слежку за пользователем.
>Protonmail <...> сделали возможность авторизации только по одному паролю
Да, причём, где-то полгода-год назад, как мне показалось, и это выглядит логичным: если тип второго фактора авторизации совпадает с типом первого, дополнительную безопасность они обеспечат вместе только для слишком замороченных пользователей.
К тому же, ввод пин-кода от сим-карты нельзя заменить сканированием отпечатка пальца, FaceID или иной биотметрией, которую нельзя атаковать через слежку за пользователем.
>Protonmail <...> сделали возможность авторизации только по одному паролю
Да, причём, где-то полгода-год назад, как мне показалось, и это выглядит логичным: если тип второго фактора авторизации совпадает с типом первого, дополнительную безопасность они обеспечат вместе только для слишком замороченных пользователей.
UFO just landed and posted this here
UFO just landed and posted this here
Вам есть что скрывать от близких?
Почему у Вас в ванной/туалете дверь есть — Вы что-то скрывате от близких?
UFO just landed and posted this here
Вы это… того… к гастроэнтерологу обращаться не пробовали?Почему у Вас в ванной/туалете дверь есть — Вы что-то скрывате от близких?Запах
А если запах в ванной — ну что я могу сказать, мыться чаще надо.
UFO just landed and posted this here
Могу Вам посочувствовать, если у Вы не можете себе позволить товар ценою в 10 долларов. Вариантов запахов около 20, правда, бабочек среди них нет.
Один моется, второй срёт? Сорри, не в курсе, как оно бывает, никогда не жил с совмещенным санузлом.
Есть, что скрывать.
Примеры:
А ещё таким же образом могут получить доступ к почте дети и гости. И хотя у меня пока нет детей, я уверен, что в будущем мне будет, что от них скрывать.
Впрочем, я вижу в этом комментарии перевод темы из «это небезопасно» в «безопасность не нужна».
Примеры:
- У меня есть доступ с личных компьютеров к сведениям под NDA. Специфика работы по фрилансу над некоторыми проектами.
- Иногда друзья обращаются ко мне с просьбами или советами и просят не раскрывать полученную информацию никому. Если я обязался не сообщать никому, то «ну уж этому-то человеку можно сказать» недопустимо.
А ещё таким же образом могут получить доступ к почте дети и гости. И хотя у меня пока нет детей, я уверен, что в будущем мне будет, что от них скрывать.
Впрочем, я вижу в этом комментарии перевод темы из «это небезопасно» в «безопасность не нужна».
Сервис планирует внедрить новые способы авторизации, в том числе с помощью биометрии (сканирование отпечатков пальцев, определения лица и т.п.) и физических ключей.
То есть захочешь пользоваться сервисами mailru — иди сдавай биометрию? Небось к единой базе МВД, ой, то есть ростелекома подключатся. То есть пользователь должен будет пойти в сбербанк и сдать там биометрию. И только потом его допустят до сервисов mailru. Гениальный маркетинговый ход. :)
ps: из серии «как сделать органам удобно»
То есть захочешь пользоваться сервисами mailru — иди сдавай биометрию? Небось к единой базе МВД, ой, то есть ростелекома подключатся. То есть пользователь должен будет пойти в сбербанк и сдать там биометрию. И только потом его допустят до сервисов mailru. Гениальный маркетинговый ход. :)
ps: из серии «как сделать органам удобно»
Пароль:
- можно сделать любой желаемой сложности;
- поменять на новый элементарно;
- хранится в голове (пока не открыта телепатия)
Биометрия:
- сложность ограничена тем, что есть (пальцами, радужкой и т.п.);
- (для отпечатков пальцев) можно поменять не более 9 раз (с трудом — ещё 10, у мужчин — 11);
- находясь в общественном месте, Вы постоянно светите эту самую биометрию (фото морды лица сделать элементарно; отпечатки остаются на всём, чего Вы касаетесь, копии снимаются элементарным скотчем; уже были сообщения о сканах радужки с 2 метров, и т.п.)
Хм, наверно, биометрия и правда надёжнее… (сарказм)
Компания подчёркивает, что одноразовый пароль невозможно подобрать или угадать.
А кто-нибудь может объяснить не слишком подкованному техническими знаниями человеку, почему одноразовый пароль невозможно подобрать? Очень многие присылают комбинации из 4 цифр. Нажать на сайте «выслать одноразовый код», ввести «1111», если не подошёл, нажать «отправить заново», снова пробовать «1111». И так, пока не подойдёт. Или же mail.ru использует сложные одноразовые пароли? Но в таком случае постоянно их вводить вполне может утомить.
Код может быть шестизначным, и тогда перебор будет ощутимо дольше.
Поставщик смс может отреагировать на массовую отправку смс (а она, как мы знаем, недавно у некоторых подорожала в шесть раз) и после n-ного сообщения сказать: «слишком много запросов, подождите пять минут».
Но, соглашусь, с «невозможно» они переборщили. Вероятность всё-таки ненулевая, хоть и низкая на уровне погрешности.
Поставщик смс может отреагировать на массовую отправку смс (а она, как мы знаем, недавно у некоторых подорожала в шесть раз) и после n-ного сообщения сказать: «слишком много запросов, подождите пять минут».
Но, соглашусь, с «невозможно» они переборщили. Вероятность всё-таки ненулевая, хоть и низкая на уровне погрешности.
Очень плохая тенденция, особенно для тех, кто часто меняет номера. Столько сервисов нужно будет отвязывать.
Пытаются найти баланс между удобством и безопасностью. Для кого-то важнее первое, для кого-то второе. Надеюсь, что они оставят оба варианта.
UFO just landed and posted this here
Так, интересно, их сайт загажен рекламой, поэтому выкачивал почту клиентом. Как теперь быть?
Т.е. периодическая автоматическая проверка почты телефоном/сервисом станет невозможной? Или я что-то пропустил?
Т.е. теперь для входа в почту нужно еще второе устройство — телефон? «У» — «удобство» новых технологий.
Вход по смс БЕЗ пароля СНИЖАЕТ безопасность.
Насчёт пушей не скажу, но насколько мне известно они контролируются целиком apple/google, что опять же без пароля снижает безопасность.
Хм… а как «слив базы» зависит от авторизации по паролю?
У каждого пользователя mail.ru есть доступ ко всей базе пользователей mail.ru?
У каждого пользователя mail.ru есть доступ ко всей базе пользователей mail.ru?
>> а как «слив базы» зависит от авторизации по паролю?
Так же, как слив базы телефонов зависит от авторизации по смс.
Так же, как слив базы телефонов зависит от авторизации по смс.
Похоже старею-((
Как это связано??
Как это связано??
Никак. Это была реклама акции мэйл ру по сбору телефонов пользователей.
Еще раз. Речь не про мейл.ру
Речь про автора статьи, который написал отсебятину про слив базы и что это как-то связано с возможностью заходить по смс. И в оригинальной новости этого тоже нет.
Это не реклама мейл.ру, у них для этого, вроде, есть свой блог. Если на комменты посмотреть, то скорее антиреклама.
Это просто редактор «отработал инфоповод», отработал на от… странь. Странно, что такие статьи попадают в топ.
Речь про автора статьи, который написал отсебятину про слив базы и что это как-то связано с возможностью заходить по смс. И в оригинальной новости этого тоже нет.
Это не реклама мейл.ру, у них для этого, вроде, есть свой блог. Если на комменты посмотреть, то скорее антиреклама.
Это просто редактор «отработал инфоповод», отработал на от… странь. Странно, что такие статьи попадают в топ.
>> Это не реклама мейл.ру
Это реклама их нововведения.
>> Если на комменты посмотреть, то скорее антиреклама
Задумано как реклама, ну а по факту получился сбор мнений, опрос. Но цель — налить в уши много сладковатого дерьма. Прочитайте самый первый комментарий — вот так они хотели. Ну а дальше получилось «не по плану».
>> Странно, что такие статьи попадают в топ.
Ничего странного. Народ научился отличать вкус дерьма даже в весьма скромной концентрации, поэтому комментариев много, а из-за их количества поднялся рейтинг статьи.
Это реклама их нововведения.
>> Если на комменты посмотреть, то скорее антиреклама
Задумано как реклама, ну а по факту получился сбор мнений, опрос. Но цель — налить в уши много сладковатого дерьма. Прочитайте самый первый комментарий — вот так они хотели. Ну а дальше получилось «не по плану».
>> Странно, что такие статьи попадают в топ.
Ничего странного. Народ научился отличать вкус дерьма даже в весьма скромной концентрации, поэтому комментариев много, а из-за их количества поднялся рейтинг статьи.
UFO just landed and posted this here
Вроде только месяц прошел с той новости как «российские власти пытались взломать аккаунты оппозиционеров перехватывая СМСки»
https://habr.com/news/t/453488/
Мда. Сваливать надо с этих мудаков.
Что, ради всего святого, заставляет людей в 2019 иметь почту на mail.ru?
UFO just landed and posted this here
Многие используют vk и ok которые как-бы тоже mail.ru пренадлежат, если они для почты такое введут, то и туда протащат. Думаю это и есть конечная цель — окончательно деанонимизировать пользователей популярных соц. сетей.
Заведено много лет назад. С ящиком работа исключительно с почтой, исключительно из нормального локального клиента, по smtp/pop3.
В этом режиме оно вполне себе нормально работает.
В этом режиме оно вполне себе нормально работает.
А каким образом одноразовые пароли по смс связаны защитой БД пользователей (я так понимаю это мысль автора, учитывая что в цитируемой статье ничего по поводу БД не видел)?
Номер телефона я им не дам. Особенно если учесть, что если бы у меня его не было — я что, не смог бы пользоваться их почтой? Что за дискриминация?
Сейчас не 1994 год, почту можно завести много где, в том числе и на своем домене.
Сейчас не 1994 год, почту можно завести много где, в том числе и на своем домене.
Sign up to leave a comment.
Mail.ru заменит пароли на одноразовые коды по SMS. Это поможет защититься от слива БД и кражи паролей