Comments 10
Всё бы было зашибись с двухфакторной аутентификацией, если бы не одно "но".
Открываем на мобильнике: Настройки - Google - Управление аккаунтом Google - Безопасность - Защитный код (Получить одноразовый код подтверждения).
Вводим пароль и... обламываемся, если он у вас длинее 16 символов. Потому что поле ввода пароля конкретно вот тут ограничено по длине.
(Android 9, One UI 1.0)
Проблема именно Гугла в том, что они не разрешают генерировать одноразовые коды не в своём приложении. А если сходить в аппстор почитать отзывы на это приложение, то выяснится, что при обновлении на iOS 15, оно удалило всё своё содержимое. Многие люди лишились доступа к куче своих аккаунтов (не только в Гуглу). Не все понимают как работает TOTP, и что нужно было где-то ещё сохранять свой ключ.
Ещё смущает, что часто, сервисы внедряют не настоящую 2fa, а просто смещают всю защиту с пароля от сервиса на пасскод от телефона.
Этим самым они действительно защищаются от фишинга и от обвинений, что их сервисы «взламывают», но в тоже время порождают много других проблем в случае, если телефон попадает в руки недоброжелателей.
Видимо полноценный 2fa это слишком сложно для обывателя, поэтому они просто защитились от фишинга путём перекладывания ответственности на пользователя. Никакой это не 2fa, т.к. с помощью одного фактора доступ к телефону), я, как правило, могу сбросить основной пароль (второй фактор).
Вообще, было бы интересно почитать что-то на тему, как сегодня правильно организовывать доступ ко всем свом многочисленным аккаунтам. Где включать восстановление пароля, к чему его привязывать, полагаться ли на номер телефона, заводить ли для этого отдельную симку, а может вообще отключать везде по возможности восстановление пароля и т.д.
Даже 2fa от Эппл меня смущает. Так как, например, вот в такой ситуации можно легко лишиться всех своих устройств сразу, да ещё и кучи аккаунтов в интернете.
TOTP очень хорошая задумка, только все гиганты позволяют сделать его только через свои приложения, и как правило, после сдачи номера телефона, который тоже будет использоваться для восстановления в случае чего.
У меня гугловский 2FA в Microsoft Authenticator работает
У гугла в приложении как раз реализация RFC 6238, которую поддерживают многие сервисы (у меня там 15 сервисов). Камушек в огород яндекса, который решил, что это не безопасно и запилил своё приложение и свой стандарт одноразовых кодов.
У Яндекса точно свой способ. Но я видел сторонние приложения которые его поддерживают.
Я смотрел информацию вот на этом сайте: https://2fa.directory/ . Там говорят, что и у Microsoft необходим свой софт. И у Apple. Но и про Google тоже самое говорится, а как я сегодня узнал, на самом деле это не так.
Мир уже стал сложнее нежели просто нормальные пароли + парольнтца. Вот и приходится тратить кучу времени на то, чтобы разбираться.
В общем, как оказалось, это я криво смотрел на https://2fa.directory/.
На самом деле, Apple и Yandex требуют своих решений для авторизации. Microsoft и Google имеют свои приложения, но позволяют пользоваться и сторонними.
>Проблема именно Гугла в том, что они не разрешают генерировать одноразовые коды не в своём приложении.
Там стандартный TOTP, в AndOTP вставляется просто влёт.
Google заявила о росте безопасности на 50% после внедрения двухфакторной аутентификации