Comments 14
указать электронную почту для восстановления пароля.
Итого, вторым фактором является не совсем пароль, а доступ к этой электронной почте.
Уважаемые разработчики, ну не надо издеваться и делать все такими мелкими шагами.
Берите пример с Гугла и Микрософта - у них сразу есть куча способов подтвердить что ты это ты и при двухфакторном входе ты используешь любые удобные два. Если какой-то утратил - так у тебя еще есть. И терминология 'восстановление пароля' уже почти не используется.
Хорошо бы еще усовершенствовать, чтобы для смены креда нужно было использовать еще один, в дополнении к тем, что при входе использовались (т. е. даже если мошенник сможет залогинится - он не сможет выкинуть законного пользователя из учетки), но это проблематично по количеству артефактов доступа.
Ну и вдогонку.
Положим, у злодея есть на руках телефон (или, как тут рядом говорят - SIM-ку переставили). Пользователь поставил этот самый пароль. Однако смотрим
mail.ru - для получения доступа к почте в одном из вариантов нужен только телефон (пускают по SMS)
mail.yandex.ru - для получения доступа к почте в одном из вариантов нужен только телефон
Т.е. еще нужно вести базу и предупреждать пользователя о том, что доступ к такому-то почтовому сервису можно получить 'по SMS' и этот email использовать не стоило бы.
Так себе второй фактор получился.
Здравствуйте. Вы можете настроить двухфакторную аутентификацию в почте по инструкции: https://help.mail.ru/mail/login/2auth/
Это простой шаг, который значительно повысит безопасность вашего аккаунта.
Граждане поддержка(живая, или электронная - сейчас не угадаешь). Вы бы хотя бы читали, на что отвечаете.
Там в самом начале написано, что речь идет о сценарии 'Положим, у злодея есть на руках телефон'
А в этой самой инструкции, в которую вы отправляете (выделение мое)
это вход в почту в два шага: сначала нужно ввести пароль, а затем код из СМС
Т.е. злодей эту самую СМС в обсуждаемом сценарии отлично получит. Кроме того, обсуждалось вообще восстановление пароля. Оно в случае включенной 2fa как работает?
Паролей много не бывает. Первый пароль для разблокировки смартфона. Второй пароль для запуска приложения. Можно еще добавить пароль для подтверждения отправки сообщения.
добавить пароль в качестве второго способа защиты
В какой ситуации эта защита должна помогать, по мнению разработчиков? Есть сценарий для примера?
Есть.
Большинство людей сейчас юзают симки без пинкода либо со стандартным 0000.
При потере телефона вставят симку в другой аппарат, примут смс и авторизуются в максе, который, по заверениям партии, скоро сам станет фактором доступа к куда более серьезным вещам. А так, еще и пароль надо ввести.
В какой ситуации эта защита должна помогать, по мнению разработчиков? Есть сценарий для примера?
Как обычно. Телефонный номер переехал к другому человеку. Этому новому нужно дать возможность зарегистрировать учетку, но это должна быть другая учетка. А к перовой доступа давать не надо.
Ранее эксперты из «Лаборатории Касперского» пояснили, что мобильное приложение Max даже несколько «отстаёт» по своим «аппетитам» от других мессенджеров.
Уже сколько статей написано про разрешения, которые запрашивает мессенджер. Кто разобрался, тому уже эти обзоры не нужны, но все время на них ссылки в других статьях. Вот так и получится: один раз выпустишь статью на хайпе, а потом тебе будут портить репутацию, постоянно на нее ссылаясь.
То есть там до сего момента не было даже 2фа?
В моём мире пароль всегда был первым фактором, а код из TOTP (или СМС, хоть это и очень плохая альтернатива) - вторым. А тут, я так понял, до сего момента только код из СМС был для входа? Для мобильного приложения прямо выдающаяся защита. Хотя такое встречаю последнее время всё чаще, увы, даже где раньше был логин/пароль, сейчас их просто некуда ввести, безальтернативно телефон и СМС. Из последнего встреченного в этом жанре - личный кабинет одной из страховых компаний.
В мессенджере Мax появилась двухфакторная аутентификация для усиления безопасности пользователей