Я думаю у ФСБ/разведки давно есть подобные базы. С FindFace все понятнее, не каждая госструктура напишет AI для невероятно высококлассного анализа лиц, поэтому ее можно и купить. А так в ИЦ МВД есть вся необходимая информация, клички людей, связи и т.п. и т.д. Это куда более интереснее чем какие-то ссылки на профили в соцсетях.
«Вы все знаете», значит что вам просто лень вводить ответ на контрольный вопрос и поэтому вы тратите часы на попытку его смены и написания статьи? Если вопрос вам был показан, значит привязка есть, но привязка не как один из факторов, а просто причина доп проверки - как еще один этап. Ну не прикалывается же яндекс именно над вами, если вам нужна ссылка на OWASP по той же ссылке, то вот она: нельзя давать юзеру ответить на N вопросов из M, нужно до последнего требовать ответ на заданный и понятно почему, чисто тервер. Про смену вопроса либо ответа на вопрос без правильного ответа на сам вопрос я согласен, тут перебор.
Честно не знаю что там в QR коде, но вы как-то упрощаете, вам показать мой QR код? Ну давайте покажу и что вы с ним сделаете? В этом и прикол, что на устройстве жертвы вам еще надо палец прислонить, пин-код ввести еще либо иметь на моем устройстве вредонос с правами читать память яндекс ключа, ломиться в защищенную память телефона. Нет тут никакого просто QR-код, пожалуйста, не путайте простых людей кто ничего не понимает и читает эту статью
Какая разница чего хотите вы, к статье автора это не имеет отношения, он знает и пароль и SMS готов получить.
Пишите почти, вот именно, сервис понимает что осуществлен вход из новой к примеру локации при том что буквально минуту назад реальный юзер был в другой локации и это в вашей реальной безопасности называется (нереальным перемещением), поэтому сервис предложит ввести ко второму фактору и контрольный вопрос, ну в теории так должно быть, знать алгоритмы яндекса мы не можем.
Не знаю что там хранится у яндекса в мобилке, но нормальные сервисы по тому же OWASP не имеют права что либо хранить конфиденциального на мобиле используемого для аутентификации, они обязаны хранить это на сервере сервиса, каждый раз получать это и каждый раз отдавать на проверку, храниться может только токен который как я и писал формируется от каких-то параметров устройства
Сравнил с тиньковым и вот что вижу: если я входу с нового устройства в яндексе я все так же ввожу все эти факторы, палец прикладываю, ввожу еще дополнительный пин-код на яндекс ключ, в яндекс войти более сложно. Давайте не будем тинькова притягивать у них otp адаптивный и еще из 4х символов состоит при требуемых 6ти по RFC.
А разве там можно полностью избавиться от ввода пароля оставив только Токен безопасности? Вроде Токен безопасности это все лишь как еще один удобный способ входа
When the user updates the answers to their security questions, this should be treated as a sensitive operation within the application. As such, the user should be required to re-authenticate themselves by entering their password (or ideally using MFA), in order to prevent an attacker updating the questions if they gain temporary access to the user's account.
Вы же понимаете что при вашем утверждении злоумышленник первым делом на вопросы: «есть ли у вас доступ к почте?», «ваш ли телефон»?, «остался ли у вас аутентификатор?» ответит НЕТ, и сразу перейдет к подбору ответа на контрольный вопрос! Контрольные вопросы - это доп защита для успешно пройденной аутентификации, о чем явно пишет OWASP:
Security questions should never be relied upon as the sole mechanism to authenticate a user. However, they can provide a useful additional layer of security when other stronger factors are not available. Common cases where they would be use include:
Самое плохое если проверка ответа не адаптивная, а как рекомендует OWASP первый раз придуманный ответ должен превратиться в хэш чтобы не хранить персданные. Тогда ответ вам нужно сообщить ровно такой какой вы его придумали.
Логичная защита от неподготовленного хакера. Udemy к примеру просит видео запись еще «мол я не буду делать злых действий и все материалы мне принадлежат на законных правах». Не совсем в тему про сброс пароля, но как сам факт - злоумышленник не станет раскрывать себя на видео, так и тут: ФИО, место проживания бьются с паспортом, паспорт не в базе недействительных - скорее всего это ты, а не злоумышленник.
Я думаю у ФСБ/разведки давно есть подобные базы. С FindFace все понятнее, не каждая госструктура напишет AI для невероятно высококлассного анализа лиц, поэтому ее можно и купить. А так в ИЦ МВД есть вся необходимая информация, клички людей, связи и т.п. и т.д. Это куда более интереснее чем какие-то ссылки на профили в соцсетях.
Из необычного там только номера телефонов от приватных аккаунтов в ВКВозможно дыра в API была, возможно из каких «мини приложений» VK тянут
А где результаты аналитика того что нашли?
У меня по другому: сначала отпечаток пальца, потом пин-код. Все 2 обычных фактора. Честная реальная безопасность.
Интересно, от скольки пользователей компания в вашем случае считается топовой?
Вернее некуда
Вот вам почти еженедельная подборка таких вот которые не делают того что вы пишете
«Вы все знаете», значит что вам просто лень вводить ответ на контрольный вопрос и поэтому вы тратите часы на попытку его смены и написания статьи? Если вопрос вам был показан, значит привязка есть, но привязка не как один из факторов, а просто причина доп проверки - как еще один этап. Ну не прикалывается же яндекс именно над вами, если вам нужна ссылка на OWASP по той же ссылке, то вот она: нельзя давать юзеру ответить на N вопросов из M, нужно до последнего требовать ответ на заданный и понятно почему, чисто тервер. Про смену вопроса либо ответа на вопрос без правильного ответа на сам вопрос я согласен, тут перебор.
Честно не знаю что там в QR коде, но вы как-то упрощаете, вам показать мой QR код? Ну давайте покажу и что вы с ним сделаете? В этом и прикол, что на устройстве жертвы вам еще надо палец прислонить, пин-код ввести еще либо иметь на моем устройстве вредонос с правами читать память яндекс ключа, ломиться в защищенную память телефона. Нет тут никакого просто QR-код, пожалуйста, не путайте простых людей кто ничего не понимает и читает эту статью
Какая разница чего хотите вы, к статье автора это не имеет отношения, он знает и пароль и SMS готов получить.
Пишите почти, вот именно, сервис понимает что осуществлен вход из новой к примеру локации при том что буквально минуту назад реальный юзер был в другой локации и это в вашей реальной безопасности называется (нереальным перемещением), поэтому сервис предложит ввести ко второму фактору и контрольный вопрос, ну в теории так должно быть, знать алгоритмы яндекса мы не можем.
Не знаю что там хранится у яндекса в мобилке, но нормальные сервисы по тому же OWASP не имеют права что либо хранить конфиденциального на мобиле используемого для аутентификации, они обязаны хранить это на сервере сервиса, каждый раз получать это и каждый раз отдавать на проверку, храниться может только токен который как я и писал формируется от каких-то параметров устройства
Сравнил с тиньковым и вот что вижу: если я входу с нового устройства в яндексе я все так же ввожу все эти факторы, палец прикладываю, ввожу еще дополнительный пин-код на яндекс ключ, в яндекс войти более сложно. Давайте не будем тинькова притягивать у них otp адаптивный и еще из 4х символов состоит при требуемых 6ти по RFC.
Тоже верно, но если почитать канал Утечки информации, то становится понятно, что даже топовые сервисы хранят пароли в открытом виде.
А разве там можно полностью избавиться от ввода пароля оставив только Токен безопасности? Вроде Токен безопасности это все лишь как еще один удобный способ входа
OWASP говорят все же должна быть двухфакторная аутентификация, а не попытка ввода ответа до усеру:
Вы же понимаете что при вашем утверждении злоумышленник первым делом на вопросы: «есть ли у вас доступ к почте?», «ваш ли телефон»?, «остался ли у вас аутентификатор?» ответит НЕТ, и сразу перейдет к подбору ответа на контрольный вопрос! Контрольные вопросы - это доп защита для успешно пройденной аутентификации, о чем явно пишет OWASP:
Logging in.
Resetting a forgotten password.
Resetting a lost MFA token.
Утекает база паролей у гугла - утекает ваша учетка. Нет 2FA - такое себе.
У меня там ответ который тинькову не понравится, придумал сгоряча когда достали требовать ввод этого слова что аж приложение перестало запускаться…
Ага, используйте FIDO 2 токены
Ну правильно, сейчас софт меняется так быстро, что техписы не успевают справки править
Самое плохое если проверка ответа не адаптивная, а как рекомендует OWASP первый раз придуманный ответ должен превратиться в хэш чтобы не хранить персданные. Тогда ответ вам нужно сообщить ровно такой какой вы его придумали.
Логичная защита от неподготовленного хакера. Udemy к примеру просит видео запись еще «мол я не буду делать злых действий и все материалы мне принадлежат на законных правах». Не совсем в тему про сброс пароля, но как сам факт - злоумышленник не станет раскрывать себя на видео, так и тут: ФИО, место проживания бьются с паспортом, паспорт не в базе недействительных - скорее всего это ты, а не злоумышленник.