Comments 237
что осложняет доступ другого пользователя к вашим данным.
(а сколько времени потеряно, если забыл/{взял не тот} ключ)?
Несколько раз помогал подключать и настраивать 2FA, разным людям.
Зато 2FA — это гарантия, что без особых ухищрений
(как то: доступ к отправляемым Вам сообщениям;
речь о ваших затратах на эту доп.защиту),
никто не «залезет» в ваш ящик
(а если и попробует, Вы об этом узнаете, получив сообщение с кодом подтверждения).
Узнать пароль можно, например, через троянца (на скомпрометированной системе),
или через незакрытую дыру в настройках вашего аккаунта/(используемого софта).
Если Вы признаёте замки на дверях (в т.ч. продублированные/усиленные), то должны понимать, что 2FA работает на Вас.
Да, впринципе, лучше иметь несколько разных ящиков, для разных целей.
Насчёт потери телефона (нет его рядом, когда нужен):
виноват тот, кто не подумал об этом.
Чем проще система, тем меньше её стойкость (чаще всего) ко взлому.
Всё просто :)
Только вот 2FA на почте — как замок на туалете, для большинства. Вроде бы и хочется иметь возможность запереть, но не настолько важно чтобы из-за этого терпеть неприятности из-за забытого ключа. Поэтому запирается на защёлку и не более того.
А представьте, если бы у вас дома был замок с 2FA. Т.е. вы подошли к двери, повернули ключ, а замок у вас спрашивает одноразовый пин-код или код из СМС (т.е. вам нужно достать ваш смартфон, разблокировать, открыть приложение, вбить код в замок). Удобно?! Не думаю… Безопасно?! — Намного лучше, чем без 2FA, но кто-то же может стоять сзади и стукнет вас по голове как только вы закончите процедуру входа… А что если за вами гонится кто-то или вы опаздываете на самолёт, а тут вместо того, чтобы быстро открыть дверь ключом, вам приходится исполнять целую церемонию на 5 минут…
Если же под паролем, который можно запомнить, вы имели ввиду что-то вида @LeXeY345Q — то я вас расстрою — это вообще непригодный пароль.
или к конкретному устройству
Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.
И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.
Если это ваша основная почта, то они эти данные наверное и так имеют.
Google Authentificator тоже на нескольких устройствах может стоять, правда без синхронизации. Но имхо она и не нужна, ввести код не так и сложно.
Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству.
Просто с TOTP нет привязки, я на нескольких сервисах так freeOTP использую. Но гугл как выяснилось не дает включить 2FA без привязки к номеру, а потом еще удивляется что его никто не использует.
Именно! Я использую Google Authenticator (тоже TOTP) на других сайтах, и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона. Так что в этом плане они ССЗБ, слишком хамски-требовательно собирают личные данные.
Это, безусловно, огорчительно, но я могу контролировать только то, что я могу контролировать. Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email и IP. На самом деле мой номер, безусловно, есть у гугла и так — я использую Google Play. Но для регистрации в Google Play использован отдельный email, который используется только для телефона. В общем, делаю что могу, чтобы не упрощать им жизнь. На самом деле, при сильном желании, гугл сможет увязать вместе все мои телефоны и email-ы, не всё автоматически, и не всё со 100% уверенностью, но сможет — но я сомневаюсь, что кто-то там будет этим заниматься сейчас, когда абсолютное большинство людей сами добровольно отдают всю эту инфу.
Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email
Я бы не был так уверен в этом. У многих в контактах, на смарте по крайней мере, пишется и мэйл, причем обычно таки основной — если он известен.
Я в этом уверен, потому что во-первых знаю, с кем общаюсь по email и как у них настроена почта, а во-вторых потому, что у меня основной email на своём домене, а вовсе не на gmail, так что даже если кто-то и указал email к моему телефону, то не gmail-овский, так что это практически ничего не даст (примерно ту же инфу можно найти у меня на сайте и в публичном резюме).
Суть не в том, чтобы от кого-то скрываться, а в том, что я готов сообщать свои личные данные только в обмен на что-то, что нужно лично мне — например, свой сайт и публичное резюме мне нужны, чтобы получать хорошую работу. А когда из меня пытаются требовательно вытягивать излишние (для функционирования нужного мне сервиса) личные данные, на пустом месте, не давая ничего взамен — я это воспринимаю как хамство и, по мере сил, сопротивляюсь.
Возвращаясь к теме статьи, про двухфакторную авторизацию, суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP), и она не требует знания номера телефона. Но гугл требует сообщить ему номер телефона и без этого не даёт включить двухфакторку через TOTP. Это — наглое вымогательство, и я лично этому потакать не собираюсь.
— Речь, как понимаю, о том, что именно номер телефона абонента — это не есть тот номер, по которому сеть (сотовой связи) обеспечивает абонента связью. Абонентский номер — нужен лишь для людей (чтобы могли связаться).
Это — наглое вымогательство, и я лично этому потакать не собираюсь.
— Теоретически — согласен. Практически-же — имею больше плюсов, чем минусов, от той-же 2FA.
В большинстве случаев Вы были бы правы, но в моём случае — это не совсем так.
Лично я из всех сервисов гугла реально пользуюсь только Play Market-ом, потому что мне кажется (возможно — зря, я из альтернатив использую только F-Droid, другие даже не смотрел пока), что в других маркетах нет нужных мне приложений (широкого выбора игр, в первую очередь, и некоторых платных приложений) и даже такого поверхностного контроля вредоносных приложений как в гугле.
Почтой гугла я практически не пользуюсь — у меня есть несколько аккаунтов, но используются они исключительно через POP3, а не веб-интерфейс gmail, так что в гугле они или любом другом сервисе — для меня не имеет значения, где исторически открыл аккаунт там и живёт.
Поиском не пользуюсь — предпочитаю duckduckgo.
Документами не пользуюсь — предпочитаю paper.dropbox.
Диском не пользуюсь — предпочитаю dropbox и акционный терабайт в mail.ru (должна же быть от mail.ru хоть какая-то польза) через webdav.
Отдельно я иногда вынужден пользоваться почтой/документами/диском гугла потому что этого требует компания, на которую я в данный момент работаю — но для меня это не является поводом делиться персональными данными с гуглом, на самом деле я для таких рабочих вещей тупо завёл отдельный телефон с отдельной симкой — если компания хочет отдавать свои данные гуглу, это её право, я возражать не стану и буду рабочие документы держать в гугле, но только рабочие, а не личные.
Ну и последнее, что касается рекламы — даже если я вообще все личные данные передам гуглу это никак не повлияет на его доходы и ту рекламу, которую я вижу — потому что последний раз я рекламу в инете видел лет 15 назад, примерно когда стали популярны анимированные баннеры — с тех пор всё заблокировано намертво, и на компе и на телефоне.
Перечитал сейчас этот коммент, и увидел любопытную закономерность — в том, что из меня получился такой вот "невыгодный" пользователь виноваты сами рекламодатели и компании:
- Агрессивно блокировать рекламу я начал только после того, как она стала анимированной/popup/popunder и начала мешать читать основной контент сайта.
- К gmail я относился вполне дружелюбно в то время, когда они обещали "вот-вот" реализовать поддержку PGP. Как только стало ясно, что читать наши письма для гугла важнее, чем обеспечить безопасность переписки, и что PGP там не будет никогда (или будет, но с ключами у них на сервере, а не у меня в браузере) — я перестал воспринимать gmail как полезный сервис.
- Я, вообще-то, к акциям равнодушен, и никогда ничего не делаю только потому, что мне сделали "выгодное" предложение — с зарплатой программиста можно позволить себе не гоняться за скидками и не экономить каждую копейку. Терабайт в облаке mailru был первой акцией, на которую я среагировал — и причина была вовсе не в том, что мне нужен этот терабайт, а в том, что они слишком нагло требовали установки своего говнософта с сильно подмоченной репутацией. Так что я из принципа поставил его в виртуалке, состояние которой после этого вернул на снимок сделанный до установки как только выполнил условия акции. А когда они (ожидаемо) отключили "бета" поддержку webdav, чтобы без их софта этим терабайтом пользоваться стало невозможно — поставил стороннюю утилиту работающую как webdav-прокси в их протокол.
Я понимаю, что реклама нужна, что бедным компаниям нужно получать прибыль… просто помимо денег надо иметь ещё и совесть! И вот с последним у них проблема. Пока это не изменится — не надо рассказывать мне какой бессовестный я, что лишаю компании их "недополученной прибыли".
Странная у Вас логика.
Во-первых, Вы меня не услышали — продуктами гугла, включая поиск, я практически не пользуюсь. Про youtube я отдельно не писал, но пользователем youtube я себя так не считаю — я в него не логинюсь, видео не выкладываю, комменты не пишу, видео смотрю хорошо если одну штуку в месяц.
Во-вторых, если гугл когда-то купил андроид, а у меня стоит цианогенмод, поддержку которого компания цианоген уже год как прекратила, то что и кому именно я, по Вашему мнению, должен — гуглу? оригинальному разработчику андроид? компании цианоген? разработчикам каждого приложения на моём телефоне? а ничего, что я за телефон уже и так заплатил порядка $450?
Что до браузера на вебкит… ну, пока файрфокс не отключил поддержку половины плагинов — я браузерами на вебките тоже не пользовался, но сейчас да, пока на вивальди. Что возвращает нас к предыдущему пункту — если мне нужен браузер а-ля 12-я опера, а вовсе не хромиум, так что и кому я должен — компании вивальди или гуглу? Или просто должен всем крупным компаниям по определению, просто потому, что дышу одним воздухом с ними?
Что до честно и по совести — как я уже писал выше, абсолютное большинство компаний, включая гугл (после окончания фазы развития компании под лозунгом "don't be evil"), ни честность ни совесть не практикуют — так что лично им я по чести и совести не должен абсолютно ничего. Миру в целом — может и должен, и хотя мне не нравится такая постановка вопроса я считаю что более чем достаточно возвращаю в опенсорс бесплатных проектов — у меня выложено более 30 модулей на CPAN, более сотни репо на гитхабе, кучка статей… В общем, на роль паразита который хочет "только брать, и ничего не хотите давать в замен" я не очень тяну.
Просто я отдаю взамен вовсе не то, что хотел бы от меня получить гугл, когда предоставлял "бесплатный" доступ к своим сервисам — но почему, с Вашей точки зрения, это проблема? Гугл мне тоже даёт вовсе не то, что я бы хотел получить — отсутствие поддержки PGP в gmail, куча дыр и нарушений приватности в андроиде и гуглхроме, малварь в play market, поиск который за мной следит, etc. Но я беру — или не беру — что дают. Гугл тоже может брать — или не брать — софт, который я выкладываю в опенсорс. Это, по-вашему, недостаточно честно и по совести?
Номер телефона они просят давно (якобы для лучшей защиты аккаунта), но это опционально и я к этому отношусь спокойно и без возмущения.
Ещё они несколько лет назад начали требовать номер при регистрации нового аккаунта. Это было огорчительно, но это их право — я просто начал регистрировать новые email-ы в других сервисах, претензий к гуглу, опять же, никаких.
А здесь речь немного о другом — при попытке включить 2FA (которым пользуется слишком мало людей, как они плачутся в статье) номер телефона выставляется обязательным требованием, с выбором между звонком и СМС — хотя на самом деле он таковым не является, и в дальнейшем (после подтверждения номера) появляется возможность выбрать другие варианты 2FA, в т.ч. не требующие номера телефона. Здесь уже имеет место неявная подмена понятий (что номер и 2FA это одно и то же), введение в заблуждение (что варианты 2FA это только звонок или СМС), отсутствие своевременного информирования пользователя (что другие варианты 2FA, не требующие номера, станут доступны после верификации номера). Всё это уже, на мой взгляд, является хамством и вымогательством личных данных. Возможно, юридически, это находится в серой зоне и засудить их за это не получится. Но это не значит, что это нормально и надо с этим соглашаться — это значит, что законы далеки от совершенства.
Это все равно что пойти в магазин и возмущаться на продавца за то, что он попросил от вас плату за товар.
Нет, это всё равно, что продавец помимо платы за товар попросил у вас заодно порыться в вашем телефоне.
и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона.
Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
Телефона нигде нет, специально проверил.
Ваш номер с ФИО засветился у гугла давным давно, когда кто-то из ваших знакомых синхронизировал свой андроид, вы могла этого человека вобще один раз в жизни видеть, это мог быть банально сантехник из жека которого вы просили позвонить и оставили свой номер.
Гугл даже знает как вы выглядите, что покупаете и что любите есть/пить, проанализировав фотки ваших друзей которые они на гуглофото хранят и прочитав все ваши письма об онлайн заказах.
Скрыться от корпораций невозможно, не прекратив общение с внешним миром, всегда найдётся кто-то кто тебя сдаст, даже не подозревая.
От одного номера с ФИО пользы мало. Чтобы делать на этой информации деньги или нанести ущерб, нужно привязать к этому кучу других данных — email-ы, геолокацию, фоточки, интересы, посещаемые сайты, поисковые запросы… И вот доступ к этой информации частично можно ограничить (заблокировать геолокацию, не заливать фоточки, …), частично осложнить объединение этих данных в общую запись (использовать для телефона отдельный email, использовать на андроиде XPrivacy а в браузерах плагины вроде uBlock Origin и uMatrix, …).
Что потом делают корпорации с этими данными это уже другой большой вопрос.
PS
А чтобы блокировать геолокацию, надо обладать нужными знаниями, перепрошить смартфон на прошивку без сервисов гугла (для многих телефонов таких нет) или под рутом выпилить сервисы гугла.
Простое отключение геолокации не прекращает отправку данных о локации в гугл, лишь в аккаунте перестают отображаться твои перемещения на карте, это может быть полезно в ситуации когда злоумышленник угнал твой аккаунт (воспользовавшись отсутствием 2fa) и может посмотреть твои перемещения по карте.
Автор коммента не настолько наивен, и задумался о приватности задолго до того, как об этом стало модно говорить (и, да, до того, как добровольно сообщать о себе корпорациям что-либо, чего не хотел сообщать). Нужными знаниями автор так же обладает, телефон прошит как полагается, более того, автор выложил здесь статью о том, как это правильно делать: Защита личных данных на Android-телефоне. За прошедшие годы она несколько устарела, основная проблема — XPrivacy не работает на версиях Android начиная с 7.0, поэтому автор пока, скрипя сердцем из-за отсутствия обновлений, остаётся на 6.0.1. Рано или поздно, скорее всего, необходимость в обновлениях перевесит потребность в контроле над телефоном и приватностью, но пока — я предпочитаю сохранять XPrivacy.
Про это уже было выше.
PS
Есть такие штуки как цифровой отпечаток компьютера, как с этим бороться? Для каждой почты использовать отдельный ПК?
На мой взгляд нет смысла в полумерах, типа не включать 2fa и убирать галочку геолокации в настройках, тут нужен либо сверхпараноидальный режим во всём что касается коммуникаций, либо вообще не париться, полумеры бесполезны.
habrahabr.ru/post/174221
Анализ базы данных, в которой была собрана анонимизированная информация о времени и месте звонков и СМС 1 500 000 абонентов на протяжении пятнадцати месяцев показал, что для идентификации 95% людей достаточно знать всего четыре пространственно-временные точки.
Всего две точки позволяют различить индивидуальный след половины пользователей, а одиннадцати достаточно, чтобы различить все до единого следы. На иллюстрации слева приведены примеры таких индивидуальных следов. Авторы исследования сравнивают уникальность мобильного следа с отпечатками пальцев — в 1930 году французский пионер криминалистики Эдмон Локард показал, что для идентификации по отпечатку пальца достаточно двенадцати совпадений деталей рисунка.
Ну вы поняли? :) Анализ бигдаты позволяет деанонимизировать всех. А те кто не поддаются деанонимизации увы сразу привлекут внимаение систем, как необычные элементы
Собственно вот
habrahabr.ru/company/nordavind/blog/180063
Не путайте возможность получить немного каких-то данных через анализ бигдаты, и добровольный слив вообще всех возможных данных в удобной для анализа форме.
Что касается привлечения лишнего внимания — на здоровье, пусть развлекаются. Даже если меня целевым образом взломают и сольют всё, что смогут — они получат не более, чем все остальные отдают добровольно, а вот ресурсов на это им придётся затратить намного больше. Мои данные принадлежат мне, и делиться ими со всеми любопытствующими желающими я не считаю необходимым или полезным для себя. Если им очень-очень любопытно, они готовы сильно потратиться на получение этих данных, и у них получится взломать мои системы — ну и ладно, значит моей квалификации не хватило для их защиты, и в этом никто кроме меня самого не виноват. Ну и кроме того, чем больше людей будут понимать вред от добровольного слива всех своих данных корпорациям, тем больше будет стараться это предотвращать, и тем меньше внимания будет привлекать каждый из нас.
Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!
Что здесь не так?
Из них 2 последние показаны на предыдущем экране.
Знание двух последних цифр ничего не дает — код будет выслан на полный номер телефона, состоящий не из двух и не из четырех цифр.
Две цифры — всего лишь напоминалка владельцу аккаунта о том, какой именно номер был использован для аутентификации.
У меня, например — используются три разных номера для трех разных групп аккаунтов. Без подсказки их легко перепутать.
Смартфонами вы тоже не пользуетесь?
Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.
У Google есть Google authentificator в качестве второго этапа. Ему не нужен номер, только более менее точное время.
Ну и вообще я за себя говорю. Кому-то может и удобно.
Я давний пользователь, и это очень удобно. Особенно после историй друзей как они потеряли телефоны, а у них не было бэкапа, и 2FA исчезала. Даже если я все устройства потеряю, то всё равно при синхронизации с сетью я верну все свои пароли и 2FA.
Это как если бы сказали «мы знаем, что ремни безопасности спасают жизнь, но из-за юзабилити не станем автоматически принудительно пристегивать каждого севшего в машину».
P. S. Ни в коем разе не агитирую против ремней, просто отвечаю на вопрос.
Эх, самые продвинутые кресла, что я когда либо видел/ощущал… активная поддержка спины и удержания тела решают, само кресло на ходу (машины) блокирует тело просто идеально (хорошо так обхватывает).
Это был единственный раз, что я без ремня ехал так.
можно и на красном свете
Если в это время другой водитель решит проскочить на красный/уснёт/другая причина, что будет с водителем копающимся в бардачке или на заднем сидении?
В любом случае, голову отключать никогда не рекомендуется, и любая ситуация оценивается самостоятельно. Я не думал, что к простой фразе начнутся придирки, поэтому не стал расписывать точную планировку дорожной ситуации и прикладывать план расположения всех транспортных средств с указанием их векторов скоростей, с теоретическим обоснованием того, что процедура залезания в бардачок и взятия нужного предмета, занимающая такое-то количество времени, в указанной ситуации будет безопасной. Какой смысл загромождать комментарий бесполезными очевидными деталями? Или вы будете утверждать, что таких ситуаций не может быть в принципе? Даже когда водитель стоит в дикой пробке, окружённый неподвижными машинами со всех сторон?
Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?
Не совсем понял насчёт телепортации.
У водителя сзади банально может свести ногу судорогой (или он перепутает педаль) и всё, впереди стоящую машину выбросит на перекрёсток/в кювет.
Но не суть. Писал я это не ради придирки, а что бы напомнить, транспортное средство является объектом повышенной опасности, а потому отстёгивать ремень, когда поблизости находятся другие транспортные средства не разумно ни под каким предлогом.
На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать.
У меня таких проблем даже на жигулях не было )
Пристегиваюсь на автомате, даже если еду недалеко и небыстро.
В такси — тоже.
С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.
после переустановки, обновления, утери телефона
Вы ведь как-то решаете вопрос с сохранением информации на случай переустановки или утери. Бекапы там, синхронизация с облаком? Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?
Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?
В самом Google Authentificator такая возможность не предусмотрена, в Андроиде без рута тоже.
Доступ можно восстановить, воспользовавшись альтернативным каналом получения одноразовых паролей.
С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.
У меня на каждый сервис пароль из не менее 16 случайных символов. Я это физически помнить не смогу)
Использовать хороший и большой, но одинаковый пароль везде — это еще большее снижение безопасности, т.к. при его компроментации со стороны какого-то одного сервиса под удар подставляется вообще всё.
А если скомпрометированы 2 пароля?
создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли
Тут то же самое: вы не помните пароли, вы помните схему их формирования.
Подобная методика имеет ряд известных недостатков перед менеджерами паролей. Например, сложно или невозможно подобрать схему, которая подошла бы сразу под все ограничения всех сервисов. Или невозможно хранить пароли, которые вы не можете формировать сами. Невозможно хранить дополнительную информацию, хотя бы тот же логин. Невозможно хранить более одного пароля для сайта. Если схема формирования пароля не очень сильная, то компрометация одного из паролей может привести к компрометации всех.
В общем, на мой взгляд, такой подход можно использовать в дополнение к менеджеру паролей, а не вместо.
С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы
Очень спорно, голова тоже не очень надежное место, особенно для редкоиспользуемых паролей, они просто забываются между использованиями. Парольные менеджеры обычно могут предоставить хорошую криптографию и ту же многофакторность, плюс можно самостоятельно окружить его дополнительными уровнями защиты в зависимости от уровня паранойи и позаботиться о хорошем мастер-пароле.
А если схему вычислить сложно, то тогда скорее всего сложно и пароль по ней воспроизвести каждый раз, входя в сервис.
Приложение не обязательно использовать именно гугловское, там открытый стандарт, который много кто поддерживает. А ключи можно забэкапить (на бумажку или файлом, если есть рут).
Еще одна история в копилку минусов двухфакторки: у одного хостера включил, но СМС с кодом не приходило. Обращался к оператору — безрезультатно. В итоге позвонил хостеру, и девушка безо всяких дополнительных вопросов мне просто двухфакторку отключила. Вот она и безопасность…
Если большинство угонщиков аккаунтов действуют по одной схеме, может будет лучше при совершении подобных действий принимать какие-то меры, там лишний раз проверить телефон у пользователя или ещё что-нибудь. А так это похоже на то, что мы знаем, что аккаунт угнали, но делать ничего не будем с этим. Собственно, судя по отзывам и появляющимся даже на гиктаймсе статьям, у Гугла это официальная позиция. Им наплевать на угоны и пользователей. А сейчас у них с одной стороны какая-то дикая параноя, раньше использовал почтовые ящики на gmail, чтобы с серверов уведомления себе присылать, потом, в какой-то момент, уведомления приходить перестали, т.к. Гугл ужесточил какие-то настройки, и надо обязательно проходить доп. проверки, типа номера телефона. Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.
И всё это на фоне того, что люди предоставляют всю мыслимую и немыслимую информацию о своём аккаунте, который угнали, а гугл их шлёт лесом
Попробовал включить 2FA, а мне предложили указать телефон и смс или звонок. OTP все?
Для аутентификатора Гугла (ОТР), нужно чтобы просто время точное было на телефоне. Если про вход на сервисы Гугл, то даже при утере телефона можно зайти через «список резервных кодов» или смс.
Нет, это ни на какой-то там случай, это тупо потому, что гугл хочет получить номер Вашего телефона. После ввода и верификации номера телефона открывается возможность использовать вместо номера телефона (звонок/смс) другие методы, включая через приложения для TOTP. А на случай утери телефона/программы — скачиваются одноразовые коды (которые надо положить в менеджер паролей).
Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.
Такое можно утверждать только если бы было сказано «менее 0.999(9)%». Ведь даже 1% от 1 млрд (+ 1 человек) уже больше 10 млн, а для «менее 10%» верхняя граница выше 100 млн. Таким образом автор статьи намеренно создает окрас «это бесполезно» имея на руках относительно нейтральные неполные данные.
2) Корпорация надо все больше и больше данных. Им уже давно мало мой IP и куки. Хотите 2FA? Но вторым фактором может быть контрольное слово, второй почтовый ящик и т.д.
3) Если не приходит SMS — ничего не сделаешь.
4) Наличие уязвимости SS7 не делает защиту абсолютной, как многие полагают в финансовой сфере.
5) Если я меняю номер телефона, то меня ждёт куча геморроя, если у меня нет старого.
Я как-то для одного сайта сделал почту через Яндекс ПДД. Через 5 лет надо было ящик добавить. По бумажкам нашел реквизиты для доступа, но пароль не подошёл. Однако есть ящик почты с которого делали. Но… номера телефона уже давно нет. И всё встало. Вы пробовали когда-нибудь вообще обращаться в саппорт яндекса? Нет ни телефонов, ни почты тематической, форма для техподдержки зарыта где-то в глубинах фака и когда я через неё отправил данные — мне никто не ответил до сих пор. У гугла — аналогичная фигня. С таким подходом и отношением к пользователям — оно и не удивительно, что народ нафиг посылает весь этот геморой.
Я за то, чтобы оставлять контроль и ответственность на стороне пользователя. Есть мои логин/пароль — я сам должен заботиться об их сохранности. Если я сочту нужным включить 2FA — включу, если нет — не буду. Но так, как есть это сейчас — навязывание — так быть не должно.
SMS? Вообще-то мне казалось, что основной способ это Google Authentificator App.
Вообще, расстраивает тенденция железной рукой загонять всех в рай. Сделали новую секурную фичу — предложите её юзеру. Даже сделайте включённой по умолчанию… Но оставьте возможность и выключить! Жизнь — она сложнее любых, наперёд продуманных, схем!
В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду.
Вот поэтому я купил себе домен и сделал «свою» почту, которая просто где-то хостится.
Следующий этап, до которого я уже созрел — свой почтовый сервер, возможно в виде решения на своём компе. Во всей этой схеме меня расстраивает только зависимость от домена. Покупка на 1-2 года только, я бы с удовольствем выкупил его лет на 20, как-нибудь юридически это оформить и можно про это направление уверенно забыть или хотя бы не думать )))
У меня лет 20 свой почтовый сервер дома, и я честно скажу — домен это мелочь. Помимо домена нужен статический IP (причём крайне желательно — не замеченный ранее в рассылке спама), нужен сервер не на винде (и нужно запретить файрволом виндовым машинами в локалке отправлять что-то в инет на порты SMTP) — иначе вирусы рано или поздно начнут спамить с вашего IP, нужно настроить DNS (и не только MX, но и SPF, обратный резолвинг IP и, нередко, ещё кучку всего), и, не смотря на все эти усилия, периодически этот IP всё-равно будет попадать в разные чёрно-серые списки и удаляться из них нужно будет самостоятельно, а крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее. Ну и спам-фильтр тоже свой нужен. Я за столько лет привык, но если бы надо было заниматься всем этим с нуля сейчас — не факт, что я бы на это решился. Из плюсов — посторонним корпорациям сложно читать мою почту или лишить меня доступа к ней (сложно а не невозможно потому, что не шифрованные PGP письма может читать мой провайдер, а лишить доступа можно отобрав домен), ну и я вижу ушло от меня письмо на самом деле, или пока болтается в исходящей очереди qmail.
крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее
это может быть проблемой. У меня сейчас-то некоторые сервесы иногда не принимают мой e-mail, т.е. чисто адрес, наверное, валидацию не проходит «по названию».
Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.
P.S. Для меня лучший менеджер паролей это две маленькие записные книги.
Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.
Поэтому надо:
— принудительно изолировать менеджер паролей от интернета (блокировка файрволом, например)
— пользоваться им только на той системе которую делал сам, не запускать и не открывать на чужих
— обязательно шифровать базу паролей и не держать её открытой всё время — ввёл пароль, автоматом через минуту база должна закрыться и отключиться
— не держать менеджер паролей в явном виде на компе — портейбл решение, контейнер TrueCrypt, отдельная флешка, но только как установленное приложение в системе
— использовать только опенсорс решения
Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)
У меня записная книжка в ворде. Раз в год обновляю бумажную версию)
Просто поставьте KeePass. И не издевайтесь над животинкой, дайте ему доступ в инет — пусть синхронизирует файл с паролями через Dropbox. И получите опенсорс, надёжно зашифрованный файл с паролями, доступ к паролям со всех устройств и всех ОС, автоматический ввод паролей на сайтах, etc. А чтобы не вводить основной пароль на чужих компах — держите KeePass на своём телефоне.
Чуть ли не первая же новость:
«Энтузиаст под ником denandz сумел не только найти способ взлома менеджера паролей KeePass, но и написал специальную утилиту, чтобы любой смог без проблем получить доступ ко всем паролям, хранящимся в KeePass.»
Да, я понимаю, все исправлено уже, но все же…
Если у вас есть возможность подложить свои выполнимые файлы в каталог — почему просто не запустить кейлоггер, или не подменить сам KeePass.exe на фейк, который запросит пароль, а потом запустит настоящий KeePass.exe?
Давайте не сходить с ума — да, в винде есть проблема с загрузкой dll из текущего каталога вместо системного (в *NIX похожую проблему решили много десятилетий назад убрав . из $PATH), и, насколько мне известно, KeePass под виндой содержит немало специфических для винды механизмов защиты от разных архитектурных недостатков винды, хотя вряд ли они помогают на 100%, но дело вовсе не в этом. Дело в том, что в данный момент ничего более надёжного и при этом доступного обычным пользователям просто не существует (и я сейчас не про конкретное приложение KeePass, а про сам подход — локальное опенсорсное приложение, использующее открытый формат файла и стандартные алгоритмы шифрования, плюс старающееся противодействовать архитектурным дырам в ОС настолько, насколько это получается сделать).
Хотите большей безопасности — не используйте винду, для начала… но это беспредметный разговор, потому что абсолютно надёжных систем не существует, и любая попытка значительно увеличить безопасность ещё более значительно вредит юзабилити и доступности решения.
Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)
У меня накопилось страниц 30 верно, все разделены на разделы — ресурсы, почта, различные сервисы и пр. Не могу сказать, что утомительно, видимо привычка. А одной программе я никогда все пароли не доверю — «Что знают двое, знает и свинья».
Стороннему сервису вроде LastPass свои пароли доверять, действительно, неблагоразумно. Но программы вроде KeePass совершенно безопасны — код опенсорс, приложение устанавливается на комп/телефон локально, формат файла открытый и простой — а-ля обычный XML зашифрованный AES или что-то в этом духе. Так что использование такой программы для паролей вполне безопасно.
К слову говоря, в менеджере паролей у меня они далеко не все — у меня свой «блокнот» есть в виде Notepad'a, а бумажная версия (распечатка блокнота) обновляется раз в год ;)
Я согласен, всё это эфемерно, для кажущегося спокойствия.
А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
Боюсь ее потерять.
Я так то тоже не особо паникую. Но. На некоторые ресурсы захожу только по двухфакторной авторизации. Ибо есть дети и они бывает играют на рабочем ноуте и бывает лень их в их учетку отправлять. Вот тут то и пригождается 2ф ибо без кода от гугла просто не пустит.
Как вариант второй фактор авторизации :)
При регистрации клиент придумывает число, скажем это 50
Далее при авторизации клиенту выводится рандомное число, например 26, и клиенту надо ответить на это число (50 — 26 = 24)
Ответ = 24
Так не? Старый связисткий метод опознания свой/чужой...
Знаете что меня напрягает, облачные хранилища например и подобные онлайн сервисы, где в качестве пароля тебе нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие. Сразу пропадает доверие к подобным сервисам. Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр. Брутфорсу достаточно скормить алфавит и цифры 0-9, взломать пару дедиков с толстым каналом, кинуть ботов и дело в шляпе!
… но повторяющиеся буквы, цифры, символы не допускаю.
И снижаете тем самым энтропию. В идеале пароль должен быть случайной последовательностью и символы могут в нем повторяться сколько влезет.
нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие.… Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр.
И в чем проблема? 9 знаков в данном случае это нижняя граница, а не верхняя. Вы можете набрать необходимую энтропию увеличением длины.
А тут ещё и известно, что кроме алфавита и цифр от 0 до 9 в пароле ничего и нет…
Уж как-то и неприлично в очередной раз вставлять эту картинку:
Рэндел даже потрудился прикинуть сколько времени придется подбирать пароли этим самым брутфорсом.
Не, не уменьшиться, за счет большого количества слов. Есть такая система выбора пароля которая обычно идет рядом с этой картинкой — Diceware.
Даже если вы будете знать, что я случайно выбрал четыре слова из словаря в 7776 слов — это даст 64 бита энтропии. Это даже больше чем на картинке.
И ещё больше треша от Гугл. У меня от почты был забыт сложный пароль давно уже, года три назад, прикол в том, что на ПК стоит портативный The Bat и почтой я пользуюсь без проблем (кстати, может кто-то подскажет как из него вырвать мой пароль?), но вот при попытке восстановить пароль, Гугл просит кучу старой, давно забытой информации. Ну и 5 последних писем отправленных, с этим проблем нет. Но они проверяют всю инфу в сумме. В общем через браузер мне на почту не попасть, но уже 3 года принимаю и отправляю через The Bat на ПК. Всё бы ничего, но некоторые письма нужные в спам папку ушли, а на ПК эту папку не показывает… Идиоты они там 90%е!
само приложение шифрования синхронизируется через сервис MEGA… Пароль от сервиса MEGA и от SANDISK SECURE ACCESS® один и тот же.
Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.
Никаким менеджерам паролей я не доверяю и никогда на это не подпишусь
Чем по вашему этот самый SANDISK SECURE ACCESS безопаснее чем KeePass, например? Это закрытое коммерческое ПО, вы ничего о нем не знаете. Сочетание шифровалки флешки с блокнотом дает вам какое-то подобие менеджера паролей, но лишает дополнительных фич, в том числе и в области безопасности, например защиты паролей в памяти. Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.
Вам бы серьезнее все обдумать, ваши меры избыточно сложны, но не добавляют безопасности.
Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.
Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…
Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.
Слава программе MalwareBytes Premium за 40 евро в год. Уже 3 года у меня и я честно сказать позабыл что такое рекламное ПО, навязчивое ПО и вирусы в программах с опасными сайтами. И систему не нагружает и ничего не пропускает! В отличие от разных дорогих антивирусов, уже не говоря о бесплатных. У меня с безопасностью всё хорошо!
Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…
Если вы используете метод защиты «неуловимый джо», то почему не используете просто LastPass?
Слава программе MalwareBytes Premium
Отлично, еще и сомнительный антивирус в качестве гарантий безопасности. У вас плохо все с безопасностью, только ее видимость. Театр безопасности расслабляет и снижает безопасность еще сильнее.
Сначала поясните, зачем это вообще может потребоваться устанавливать.
Ну, я ставил чтобы получить акционный терабайт. Ставил не глядя, со всеми галочками — ради терабайта не жалко! Правда, это была виртуалка, которая сразу после этого была откачена на предыдущий снимок, до состояния когда всё это ещё даже не скачивалось.
Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…Не один, но теперь они знают, что нужно выполнить поиск по файлам *.txt слова «necr0x» (логины же вы тоже храните?).
кстати, может кто-то подскажет как из него вырвать мой пароль?
Свойства почтового ящика, транспорт, журнал протоколов, включить.
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.
Просто Гугл трактует это как:
Двухэтапная аутентификация – это просто
При входе в аккаунт вы можете установить флажок «Запомнить код на этом компьютере», после чего система перестанет запрашивать код.
Однако ваши данные по-прежнему будут под защитой. При попытке входа в аккаунт с другого компьютера система потребует ввести код или вставить токен авторизации.
Называть можно и так и так.
Нет, это разные вещи. Вот тут неплохо расписано http://www.outsidethebox.ms/18372/
владеть телефоном
Нет, ему достаточно узнать содержимое СМС. Например, дав денег сотруднику какого-нибудь салона связи и перевыпустив вашу сим-карту, таких историй навалом.
Фактор остается тем же, просто добавляется шаг. Так что это 2SV.
Начал пользоваться очень активно, имкю более 30 сервисов на которые звхожц постоянно и на которых включена двухфакторка от гугл.
Параноики которые боятся двухфакторги от гугла, могут скомпилировать свою программу и пользоваться ей или же пользоваться простеньким ява скриптом работающим онлайн например таким http://live4sharing.com
А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
Боюсь ее потерять.
Кстати, как вариант — разработать собственный алфавит…
Возможно — это самый эффективный способ защиты от утечки информации.
Возможно — это самый эффективный способ защиты от утечки информации.
Только если вместо google вы не пользуетесь другими сервисами. Потому что вполне возможно что среди всех компаний у гугла защита пользовательских данных наиболее серьезная. Но это лично мое мнение, которое не подкреплено никакими фактами.
Только если вместо google вы не пользуетесь другими сервисами
У других сервисов лучше с защитой (той же двухфакторной аутентификацией) и они не столь навязчивы.
Кроме того, шансы на то, что злоумышленники разработают методику взлома аккаунтов именно пользователей Google — выше (аналогия с вирусописателями), обратная сторона популярности.
Код с двухфакторкой на бумажке, никто с собой не таскает понятное дело.
Это получается в почту я зайду только когда вернусь домой и сделаю симку?
Сейчас Гугль на требования властей отдаст лишь ваше имя пользователя и неверифицированные (а значит потенциально подложные) ФИО, ну и ip с которых входили в ящик. Всё это юридически не доказывает принадлежность ящика вам. А вот номер мобильного телефона — всё, сушите сухари.
Уверен после само-переназначения 2018 мы в скором времени увидим обязательное требование верификации «персональных данных» (почему-то принадлежащих государству, а не человеку) для любых интернет сервисов. Конечно же для нашей «безопасности» и «борьбы с террористами», шатающих скрепы.
1 Потерял досуп ко второму фактору — потерял доступ к аккаунту навсегда. Вы же знаете: у гугла нет и не может быть при такой огромной аудитории техподдержки, даже если пользователь будет согласен предъявить паспорт, отпечки пальцев, результат колоноскопии и ЭЭГ с вживлённых в мозг электродов, это не поможет. У гитхаба техподдержка есть, но как они собираются вернуть аккаунт при идентификации личности — загадка. В Штаты что ли для этого лично ехать? Как онп убедятся, что аккаунт действительно принадлежит этой личности? Или они на полицию надеятся, что они посадят того, чей паспорт предъявили, и что это будет достаточным препятствием?
2 Гугл и мейлру требуют привязку телефона.
3 Взламывают аккаунты обычно через секретный вопрос, а не через пароль, если пароль надёжный. В качестве любимой еды у многих — борщ (а в истаграме фотка — чел в кафешке кушает борщ), а в качестве девичьей фамилии матери — Иванова, а в качестве клички домашнего животного — кличка, засвеченная в соцсети под фоткой «ПаСмАтРиТе На БаРсИкА !111». Ответ на секретный вопрос должен быть рандомным.
4 миниальные требования к паролям — «должно быть столько то цифр и такая-то длина» — это snake oil.
Для важных сайтов привязал 2FA. Если взломают на левых сайтах, то там ничего нет, если на важных, то телефон защитит.
Т.к. authenticator работает с привязкой к устройству, то в случае потери или кражи анонимно на пэйтбин выложены резервные коды без лишней информации в случае чего ссылка открывается и доступ без проблем получается. Чтобы легче было запомнить ссылку сделан редирект с поддомена аккурат на пэйстбин (или другие варианты)
Я не пользовался менеджером паролей пока не забыл пароль от аккаунта. Восстановить его не смог, ибо забыл пароль от почты и не имел доступа к мобильному телефону, который был указан.
Как бонус: я не пользовался облачным хранилищем фотографий пока не сломалась флешка в телефоне. Восстановить 1500 фотографий восстановить предложили за +-24к рублей (в трех разных сервисах)
P.S. Доверяю свои данные Apple и Google
Слово в защиту мененджера паролей: самые надежные пароли это сгенерированные пароли, которые регулярно меняются. Каждый день где то что то ломают, сливают данные, и заинтересованные люди их хранят. Во времена технологий БигДата и машинного обучения проанализировать эти данные не проблема. HumanFriendly пароли раскрывают Вас, ваши паттерны, мышление, предпочтения. Даже одного пароля достаточно чтобы составить словарь и забрутфорсить алгоритм составления паролей на одном из богом забытых сайтов где вы когда то регистрировались.
Зависит от софтины. В случае KeePass — софтина опенсорсная, формат файла с паролями открытый, если не путаю — алгоритм шифрования AES, внутри XML. Есть несколько реализаций, в т.ч. под разные платформы, плюс чуть ли не библиотеки для разных языков программирования для чтения базы KeePass. В общем, как бы ни сломалось конкретное приложение KeePass под конкретной OS — доступ к своим паролям Вы не потеряете.
Т.к. сам по себе imap такую проверку не поддерживает (на сколько мне известно), то первое что пришло мне в голову, что при включении 2FA, imap перестанет работать. Но imap после включение 2fa работает как и раньше.
Сейчас я думаю что гугл при аутентификациях в аккаунт запоминает ip и разрешает imap-соединение с таких ip. На сколько правильно такое суждение?
Однако, как оказалось, FIDO U2F уже не модно. За столько лет так и не взлетел.
Теперь не торопясь пилят новый стандарт Web Authentication twitter.com/jamespugjones/status/931324766782332928
Такое ощущение что надёжная аутентификация никому (читай правительствам и корпорациям) не нужна, кроме гиков-фриков.
Приезжаю тут к родне в Донецк.
Сюрприз первый — через месяц вырубился роуминг Мегафона и моя российская СМС-ка стала «тыквой»… А там привязка к вебманям, Авито и т.п…
Ладно, помучался, но как-то пережил. Перепривязал к другому оператору.
Второй сюрприз — через несколько месяцев симка того второго оператора просто молча сдохла, потомучто деньги на ней кончились, а я думал, что она в «read-only» режиме год может функционировать.
Хрен с ним — второй раз нудная переписка с саппортом вебманей…
И тут недавно те же грабли в третий раз — ложится последний украинский ОпСос, действовавший в Донецке… А местный сотовый оператор работает замкнуто внутри ДНР.
Занавес.
PS: Случай исключительный, да, но осадочек-то у меня всё-равно остался от таких жёстких «аутентификаций».
PPS: Не пишите про внешние ключи для WM и прочие советы — это уже освоено, но после собственных шишек.
И у меня почему-то возник стереотип, что у всех операторов так. А на самом деле по-разному бывает.
Взять хотя бы ту же машину и WiFi в ней… берем симку, ставим. Подключаем тариф «с интернетом». Платеж ставим автоматом с отдельной карты. Но бывает зараза такая, что интернет в машине не включается «очень долго». А потом, как бывает нужен, «хоп, хей ла-ла-лей, бамбалейло!!!»… вымораживает ну очень дико.
Google: почти никто не пользуется двухфакторной аутентификацией