Комментарии 14
Натягивание совы на глобус.
Одно дело - вход в ЛК мобильного оператора, когда логичнее отправить СМС абоненту, чем запоминать пароль, и совсем другое дело "устаревший WiFi" - тоже СМС отправлять?
А уж светить фейсом в камеру, собирать отпечатки пальцев и прочее - вообще кринж.
Тем более что с современными технологиями это проще подделать чем угадать пароль, если он конечно нормальный пароль, а не год рождения.
Просто у людей фантазии нет...
100% понимания
0% осуждения
Подобные посты - крышка гроба над "саморазвитием" всех этих ВК и тп кусков...
В целом, протокол oauth достаточно надёжный (если, конечно, вы полностью доверяете и поставщику и сайту). Уж точно надежнее GSM с их СМС, где можно запросто подделать сообщение, перехватить сообщение... Но по-хорошему должна быть TOTP двуфакторка.
у VK есть TOTP
Если не ошибаюсь, TOTP никак не проверяет на каком сайте вводится и есть, вроде, схемы обмана, построенные на этом. А вот аппаратный ключ FIDO2 проверяет. У меня для Яндекс ID и VK ID Yubikey используется. Есть и российские аналоги, также не требующие никаких драйверов и ПО, например Рутокен MFA. Только там, вроде, нужно на версию прошивки смотреть: на старой фирменное ПО не работает. Есть разница и в количестве хранящихся на носителе ключей: у Рутокен MFA - 16, у Yubikey - 25, насколько помню. Но много, наверно, и не нужно. Пара упомянутых здесь ID доступ к значительной части рунета может обеспечить, наверно.
Когда все сервисы регулярно сбрасывают парольные базы в интернет, способ ввода пароля непринципиален.
Удивляет, что в вк можно просто войти, а ведь он мог бы подмять под себя всех кто использовал гугл как oauth.
Как totp может что то проверять непонятно.
Ybikey и подобные по сути от телефона мало отличаются, но все идет к тому что пароль нужен будет только один от госуслуг.
Всё-таки у аппаратных ключей есть свойство: от удалённого злоумышленника более или менее защищают. От условно близкого - при соблюдении некоторых условий (что не просто на самом деле). Например, не так давно вышли у Yubikey новые прошивки, которые устраняли возможность технического взлома имеющими физический доступ. А телефон - можно считать, что "проходной двор" для условно "богатых злоумышленников". Так что да, у нас по построению систем защиты условно богатые несколько более защищены (вход на Госуслуги по ЭЦП, ДБО по аппаратному токену). Да, TOTP by design не защищён от таких атак (наверно, не правильно выразился). Сбрасывают солёные хеши, а это радужными таблицами, насколько понимаю, не взламывается. К тому же Трой Хант и условно "соратники" (коих немало) предупреждают, но уж очень неспешно. Постарался по пунктам пробежаться.
А почему в статье не упоминается google или apple id? Например некоторым этот ваш VK никуда не упёрся (а у кого-то там даже аккаунта нет), но через google очень даже удобно. Хотя, вряд ли известно в открытых источниках, стали ли россияне чаще пользоваться google авторизацией.
Это пост-реклама?
Ну логично, это же просто удобнее
Я, видимо, слишком старый для этих ваших новых технологий.
Входить куда-то по СМС - верный способ всё потерять вместе с телефоном или перевыпуском СИМки. Многих знакомых чуть не силой пришлось заставлять ставить код разлока на телефон, неудобно же!
Логин через любой Id - верный способ потерять доступ вместе с баном на сервисе. Не новоря уже о сборе обо мне информации, которую я сам хз кому предоставляю.
Аппаратный токен - прекрасная вещь, если не выходить из дома. Как только надо войти где-то ещё, либо носить с собой с риском потерять, либо болт.
Нет уж, старый добрый логин-пароль. Пока есть возможность.
Россияне всё чаще переходят на авторизацию в интернет-сервисах без паролей