Comments 85
почему-то напомнило историю, когда оператор рассылал MMS сообщения, и ирония была в том, что чтобы прочитать его, надо было заплатить.
Подтверждения через СМС - это зло, особенно хорошо хто понимаешь, когда лишился доступа к старой симке на которую все оформлено.
И перехватывается товарищем майором.
И не только, а так же через перевыпуск сим у оператора по доверенности... надежнее чем токены ещё не придумали однако его надо держать всегда при себе
Смотря с какой стороны надёжнее. Сломался/потерялся токен, как в данном случае работает надёжность?
В первом посте говорится про ненадежность в случае если лишился сим карты (физический аналог токена). То есть сюда приписываем аналог на утерю или повреждение телефона с генератором кодов/токенов.
А вы говорите про надёжность с точки зрения безопасности, что такой токен в теории очень трудно и дорого взломать. Но это никак не помогает в случае из верхнего комментария, значит надёжность ненадёжная)
Токенены дублируются, у вас может быть и два и три токена и более, это как с бекапом, если у вас один бекап - то у вас нет бекапа)
Адекватные системы позволяют привязать сразу несколько токенов... А вариант из анекдота "...один сломал, другой потерял..." характеризует уже самого пользователя.
Вот да. Конечно мы не берём в расчёт УКЭП для гос порталов, там несколько иначе. Однако токены даже с защитой от копирования позволят скопировать ключевую пару с пометкой неэкспортируемый ключ (через специальный софт можно анлокнуть токен, и получить ключ, а может даже и записать новую пару), а что говорить про ключи без пометки.. спокойно экспортируются в локальный контейнер.
У меня к рутокенам отношение сомнительное, учитывая наличие подобного софта, можно поверить и в аппаратную закладку, использую yubico 5 nfc, и один рутокен эцп 2.0 флеш для создания безопасной среды.
Для большинства не технических пользователей это однако меньшее из возможных зол.
Симку обычно легко восстановить, проблема товарища майора касается немногих стран (где Твиттер к тому же часто заблокирован).
А вот приложение-аутенитификатор при смерти телефона восстановить уже невозможно. Бэкап коды к нему большинство пользователей не создадут или потеряют, остальные будут носить на бумажке.
Приложения аутентиыикаторв не бекапяися автоматом в облако ?
Обычно нет, да и не надо. Можно бэкапить куаркоды или кодовые фразы в защищенный контейнер, а уже потом сохранять в своё доверенное облако.
Да, бекапятся, например Microsoft authenticator
Что там по яндекс ключу? Когда он обновился на версию 3.*.* и пользователи мало того потеряли ключи в приложение так и в облаке бекапы исчезли ...
Использовал приложение из f Droid andotp позднее мигрировать в aegis после того как яндекс ключ решил обновиться и я потерял все доступы включая к github (сначала я хранил ключи в яндекс ключе) теперь же только локальные бекапы
А из другой страны симку легко восстановить?
А вот приложение-аутенитификатор при смерти телефона восстановить уже невозможно.
В Duo Mobile есть функция Duo Restore, где задаётся пароль для восстановления, при этом бэкап сохраняется в Google Drive. А потом на новом устройстве из бэкапа можно восстановить всё, если войти в свой аккаунт Гугл на новом устройстве и затем в приложении Duo ввести этот пароль.
Восстановить возможно, если это Authy и если пароль помнишь))
Не правда, не натягивайте ситуацию с симками в России на весь мир. В мире в большинстве стран СИМ карты не привязаны к паспорту или человеку и являются анонимными, если только вы сами не хотите сделать иначе, и если вы теряете не привязанную сим карту, то никак её не восстановите.
А можно привести в пример несколько стран где сим карты не привязаны к личности оформившего ее клиента, пожалуйста?
США (prepaid СИМ карты)
Израиль (prepaid SIM карты)
Наивный вы. Или вводите в заблуждение умышленно.
Для того, чтобы в США активировать prepaid карту, нужно её пополнить кредиткой.
А чтобы пополнить кредиткой - нужно ввести её номер, имя и биллинг адрес кредитки.
А так - да - не привязано :)
а там разве нет кода пополнения как в Европе? На кассе платишь наличкой, получаешь код пополнения и вводишь в телефоне.
У некоторых операторов можно пополнять наличкой купив карту пополнения. Кроме того, анонимные prepaid Visa/Mastercard Gift Cards на сумму до 200 долларов никто не не отменял.
Зачем "кредиткой", prepaid-картой онлайн совершенно спокойно. Так что это вы, похоже, врёте.
Как минимум все страны Европы, где сим карты продаются в любом магазине как обычный товар, просто покупаете вставляете и пользуетесь.
Так же точно в США такое есть. Когда Близы привязали свой баттел нет к телефону, они заблокировали анонимные сим карты, и там был скандал, что в США многие не могли больше пользоваться сервисом.
В Германии как минимум не получится. Тут симки действительно продаются в продуктовых магазинах (на них обычно десять евро стартовых лежит), но вставить и пользоваться так просто не выйдет - надо будет активировать с паспортом. С российским загранпаспортом и видом на жительство это сделать можно без проблем, хотя вот при наличии тур визы есть у меня сомнения - там ещё и место жительства попросят подтвердить (я давно последний раз активировал, уже точно не помню). Можно сделать либо на почте, либо через приложение, но там попросят включить камеру и показать в неё себя и документы.
Удивительно, я бы этого ожидал бы от Англии, но я жил и работал там (в Англии) в 2010 годах, и там таких условностей для активации не было. Да и после того как убрали роуминг в ЕС, это вообще для Германии выглядит как лишняя бюрократия, от которой никакой пользы.
Пользу, может, и никакой, но выпилить такое правило сложнее, чем принять. Тем более, что конечному пользователю оно обычно не особо мешает. Хотя концептуально это плохая практика.
Потому что времена изменились, и теперь достаточно наследить своей карточкой при оплате услуг и вставить симку в телефон, который имеет историю, а историю имеют даже новые телефоны в UK.
Не то что в 2000-х, для активации тебе нужно было позвонить с другого телефона на спецномер и сообщить свои имя, адрес, день рождения.
Как раз про РФ я и не думал, там Твиттер вообще запрещен.
Я думаю Твиттер в первую очередь США интересуют. В штатах 80% пользователей - postpaid, то есть на контракте и платят в конце месяца по факту использования. Эти 80% понятно не могут быть анонимные. Восстановление СИМ для них элементарно и чаще всего бесплатно. Среди оставшихся 20% prepaid пользователей есть анонимные, тут уж не знаю какой процент, но даже эти не все анонимны (а скорее всего большинство не анонимны).
В США всегда можно сделать анонимную карту (квазианинимную, естественно, ведь вычислить при желании владельца всегда можно) - ваших данных в аккаунте не будет. Несколько неудобно будет пополнять счет, но если очень хочется, то можно. Миллионы нелегалов так и делают. Но обычно средний американец об анонимности СИМ карты не задумывается.
Можно сделать и анонимную, никто не спорит, но обсуждаем мы не это, а 2FA ;) Вопрос сможет ли типичный пользователь (который не анонимен) восстановить СИМ. Ответ - почти всегда сможет. А кто анонимные, им использовать СМС для 2FA не стоит.
Postpaid SIM cards - сможет всегда.
Prepaid - не всегда, даже если карта не анонимная. Зависит от оператора / MVNO и от того, как именно потерян доступ. Например, есть дешевые операторы, которые отключают сервис, если нет активности в течение двух недель - месяца. Тогда в принципе нельзя вернуть потерянный номер.
В моё время (когда учился в Литве), компании подсаживали на свой мобильный провайдер раздачей бесплатных сим карт, буквально в школы привозили фуры (бусики) сим карт.
Многие друзья до сих пор ходят с анонимными сим картам тех времён. Так же скорее все было и в других странах, просто потому, что это выгодно и дёшево подсадить школьников, т.к не нужно заключать ни каких договоров, просто даёшь сим карту ему и его друзьям и обеспечиваешь себя клиентами как минимум до конца их школьных дней.
Ну так это лучшее среди альтернатив, нет? Как еще уменьшить кол-во левых аккаунтов?
Это никак не уменьшает количество левых аккаунтов - в номере телефона 10 цифр, соответственно опсосы могут наделать десятки миллардов аккаунтов. Это даже наоборот увеличивает количество левых аккаунтов, эти опсосы могут даже сознательно сами делать левые аккаунты, продавать левые симки и так далее - делают все, чтобы взять с сервисов деньги. Об этом и была статья - это больше выглядит как дыра в безопасности.
Увеличивает относительно какого способа подтверждения? Каждая симкарта хотя бы денег стоит. Пусть немного, но "десятки миллиардов аккаутов" как раз таки не сделаешь.
Для операторов связи симки стоят критически мало. Десятки миллардов на самом деле и не нужно чтобы завалить все спамом, для этого хватает и сотен или тысяч аккаунтов в сутки
Ну вы так и не ответили на вопрос, какой способ может быть лучше смс?:)
Продажа по дешевой, но не копеечной стоимости, нормальных железных токенов прямо в всех магазинах, которые и использовать для аутентификации.
Или даже не токенов, а просто скретч-кар, которую нужно использовать для создания/восстановления доступа к учетке.
Лучше всего - более менее универсальных, чтобы для любого сервиса учетку сделать можно было подтвердив 'я живой человек, реально потратил свои xyz денег'.
Я конечно прошу прощения, но за что минусить то?:) Я просто к тому, что нормальных альтернатив авторизации по номеру телефона, к сожалению, нет. Не смотря на то, что это глобальный костыль - вход по смс
Нормальных по каким критериям? Ваша аргументация буквально целиком построена на апелляции к глупости, между прочим.
Нормальная альтернатива - это почта, там хотя бы нет уязвимости SS7.
Основная проблема с почтой - стоимость "создания" новой - нулевая. Например, на своем домене можно настроить получение писем на любые @mydomain.com и скриптом обрабатывать пришедшие письма - осуществлять подтверждение регистрации.
Номера -- отдельно, SIM-ки -- отдельно. Вообще говоря, чтобы получать SMS на номер (особенно, если ты оператор), SIM-как как существующая железка совершенно не нужна.
Но эти левые аккаунты может делать только опсос, а без смс - кто угодно. Всё же есть разница.
Давать возможность добавить номер телефона для аутентификации только после того, как пользователь наберёт социальный вес. Чтобы было что защищать, конечно. Если ничего не пишешь и только читаешь, то и СМС подтверждение тебе не нужно.
В данном конкретном случае задача уменьшения числа левых аккаунтов путём выбора какого-то способа регистрации не стоит вообще. Потому ваш вопрос изначально не имеет отношения к решению задачи предотвращения описанной в статье схемы.
Он и не должен был иметь отношение к решению этой задачи...:D Я ответил на коммент, имея в виду, что альтернатив СМС подтверженим нет. Из-за чего их используют все - от google/telegram до всяких пятерочек/вкусвилл
Любопытно, вы понимаете, что вы только что признались в подмене тезиса, то есть в открытой демагогии?
Потому что это то же самое, что в обсуждении "одежды для плохой погоды", где речь о защите от дождя, сказать, что резиновые сапоги - это плохо, а валенки - хорошо, потому что они защищают от холода. Да, холодная погода - тоже плохая, только это не та же самая плохая погода.
При всем моем сдержанном скепсисе относительно гражданина Маска, его эпатажных поступках и Твиттере как проекте, хочу заметить, что если такой большой и массовый сервис начнет продвигать нормальную 2FA (TOTP же, ну, какие смски), то это может стать переломной точкой в принятии этой технологии среди далеких от инфобеза и криптошизы пользователей.
Или не стать. Оно может и помереть.
Так в Твитере давно есть TOTP! Он бесплатен и останется бесплатным.
Ну а тут дело в альтернативах. Пользователь выбирает, что ему включить для безопасности. С одной стороны есть "сложный" totp, с закрытыми и глюкавыми приложениями (комментарии из ветки выше). С дургой стороны - "простые" смски, про которые все давно уже выучили (банки вон форсят их, 3dsecure тот же). Что выберет нетскушенный пользователь? Конечно, более привычный инструмент.
Если альтернативы не станет, шансов на то что кто то захочет проинвестировать 15 минут времени в изучение технологии и инструментов ее использования станет больше. А там и до mass adoption недалеко, глядишь и банки начнут верить в topt.
Во Франции банки вместо СМС кодов показывают на странице 3ds предложение зайти в мобильное приложение (если есть привязанный к аккаунту экземляр). Там уже показывается список транзакций ожидающих подтверждение и кнопки Подтвердить/Отклонить. Никаких кодов. СМС используются только как fallback, если у человека нет смартфона. И дела так обстояли ещё в 2018 году. Это, конечно, не TOTP в привычном понимании (приложение скорее всего просто шлёт какую кнопку нажал юзер на сервер, нет никакой сложной криптографии, кроме банального SSL), но тем не менее... Кстати, удобно.
Похоже, моим надеждам на бесплатные для всех (а не только для подписчиков twitter blue) "длинные твиты" (4К символов) не суждено оправдаться - Маск занялся тотальной монетизацией, считает каждую копейку и будет пытаться выжать прибыль по максимуму.
2FA через СМС - это зло. Причем абсолютное зло. Пример из жизни мобильного оператора
T-Mobile USA:
"У нас есть проблема SIM swap - злоумышленники хакают нашу систему или подкупают наших сотрудников и подменяют СИМ карты пользователей. Поэтому мы защитили наших пользователей и реализовали 2FA через СМС на номер пользователя (тот самый, который только что увели, склонировав СИМку - и убив симку, которая у жертвы). Мы дали возможность сделать 2FA через TOTP в дополнение к СМС, но для удобства пользователя oтменить 2FA через СМС вы не сможете (чтоб преступникам было легче вас хакать). Причем СМС будет посылаться на все телефоны семейного плана, а не только на основной телефон"
Банки (США) - в большинстве случаев - только СМС (очень мало где есть ТОТР)
Гугл - СМС по дефолту, но после добавления 2FA через СМС мобно добавить ТОТР и уже потом убрать 2ФА через СМС
Майкрософт и Social Security Administration - самыe вменяемыe. Можно добавить 2ФА через емайл без всяких СМС.
Поддерживаю Маска на 100%.
П.С. Во многих случаях 2ФА (и верификационные) смски не доходят. Никто не знает почему - технический сбой, звезды на небе легли не таk, жара в Гренландии, солнечная буря. Но добавить ТОTР - нет, это не наш метод.
P.S 2. ТОТР требует дисциплины - резервного копирования токенов, добавления токенов одновременно на как минимум два устройства, отдельного хранения резервных кодов восстановления (возможно, в блокноте), но дайте людям выбор! В любом случае, ТОТР лучше, чем СМС с точки зрения безопасности и надежности (хоть и несколько менее удобен большинству людей).
Маск: Twitter потеряла $60 млн в год из-за нерадивых телеком-компаний и учётных записей ботов с отправкой СМС для 2FA