Забыл дополнить, тут 2FA при желании тоже присутствует, как минимум с ключами, что на телефоне/менеджере паролей или даже в юбикее (можно установить пин или брать устройство с отпечатком, главное на всякий случай брать парочку и тестить DRP для себя)
О да, спалить их из-за захвата какого-нибудь гугл/эпл акка это будет та ещё компрометация! Кмк на текущий день это возможно лишь из-за дихотомии решений переходного периода, когда вроде и можешь юзать, и запасной фишбл вариант есть для старообрядцев. Мы буквально в последние годы наблюдаем, как бигтехи (и не только) "набивают руку" и ищут правильные паттерны использования
Ещё пройдет не мало лет до того момента, как все участники одинаково комфортно и уверенно смогут с ними работать, глядишь к тому моменту вовсе что-то новое будет
Тем временем юзая текущие OTP решения необходимо быть более внимательным из-за тех же "хакеров", размещающих фишинговые сайты в гугл рекламе
Вы верно говорите – компрометация приватной части это кошмар, но насколько она вероятна?
"только одно" – вы можете добавить много ключей, а не только лишь один: комп, телефонЫ (не один), браузер, акки эпл/гугл/мс, менеджер паролей, да хоть физические юбикеи (но теперь они для криптопанков🤪)
Пасскет это как раз про иметь столько резервных копий, сколько вы лично оцените и посчитаете необходимым
При этом с текущими вариантами 2FA лично видел, как люди теряли доступы к банкам/гос и не очень услугам/биткоинам лишь по одной причине – утеря единственного фактора, как то: почта, пароль, страшнее – телефон с гугл аусом / симкой (не все могут позволить себе восстановить быстро симку, будучи в путешествии)
Часто в утечках встречаются пароли, думаю многие эти продукты сиды для 2FA могут вовсе хранить открыто или не надёжно; потому лучше аус основанный на public & private keys, теперь это удобнее (спасибо бигтехам), и если сервис позволяет их юзать как альтернативу, то это может порой выглядеть так, что ответственность за безопасный аус переложен на пользователя
Для бизнеса этот подход ведь тоже выгоден, если не считать удобства пользователя: нет трат на смс и устойчивость к фишинг атакам на клиентов
Типа с перезаписью оригинала? Ну это ж гугл, они вообще могут закрыть проект, как нерентабельный. Не удивлюсь, если фото используют в темную для более таргетированной рекламы
Странно, что нет ни слова про WAF (даже бесплатный Cloudflare подойдёт) и JS Challenge
Также именно GTP не очень хорошо в этом помогает, лучше воспользоваться клод 4, имхо
А если использовать AI внутри Cloudflare, то он сможет работать именно с вашими данными
На мой взгляд эффективнее решать подобные проблемы на WAF, чем на собственных серверах, особенно в современных условиях, когда этих файлов хтаксесс и нжинкс конфигов может быть десятки (а то и сотни) и для их изменения необходимо провести всё по процессу change management (patch/review-approve/test/deploy/retest etc.. не ручками на сервере запускать баш скрипт от ИИ же?!)
Ответ получить нельзя, но можно было проверить доп. развёртыванием и переводом времени, да даже в бою вышло бы лучше, чем будить людей ночью. По-хорошему это всё прописано в лицензионному соглашению
Как минимум с лета 2023-го довольно много времени
Кстати, 8 утра МСК это уже 12 в НСК и 15 во Владивостоке 🙂
Вы говорите, что никто и не заметил, что система была заменена, но при этом повесили заглушку. Заглушка ведёт статистику обращений? Ваша компания работает только в МСК? Сколько людей увидело заглушку?
Буквально на днях по фану то же самое делал и соль в том, как остальные 4 аргумента будут заданы для PBKDF2, например число итераций – существенно замедляет перебор, думаю не большая проблема для пользователей даже если задержка на обработку одного пароля составит более секунды
Забыл дополнить, тут 2FA при желании тоже присутствует, как минимум с ключами, что на телефоне/менеджере паролей или даже в юбикее (можно установить пин или брать устройство с отпечатком, главное на всякий случай брать парочку и тестить DRP для себя)
О да, спалить их из-за захвата какого-нибудь гугл/эпл акка это будет та ещё компрометация! Кмк на текущий день это возможно лишь из-за дихотомии решений переходного периода, когда вроде и можешь юзать, и запасной фишбл вариант есть для старообрядцев. Мы буквально в последние годы наблюдаем, как бигтехи (и не только) "набивают руку" и ищут правильные паттерны использования
Ещё пройдет не мало лет до того момента, как все участники одинаково комфортно и уверенно смогут с ними работать, глядишь к тому моменту вовсе что-то новое будет
Тем временем юзая текущие OTP решения необходимо быть более внимательным из-за тех же "хакеров", размещающих фишинговые сайты в гугл рекламе
Вы верно говорите – компрометация приватной части это кошмар, но насколько она вероятна?
Как можно потерять сразу пять ключей? Вот симка одна, понимаю, но ключей то можно добавить множество
Ок, иначе спрошу: если текущие OTP / SIM человек теряет (которые рили синглтоны) – какие перспективы? Если те же, то о чём вообще речь?
"только одно" – вы можете добавить много ключей, а не только лишь один: комп, телефонЫ (не один), браузер, акки эпл/гугл/мс, менеджер паролей, да хоть физические юбикеи (но теперь они для криптопанков🤪)
Пасскет это как раз про иметь столько резервных копий, сколько вы лично оцените и посчитаете необходимым
При этом с текущими вариантами 2FA лично видел, как люди теряли доступы к банкам/гос и не очень услугам/биткоинам лишь по одной причине – утеря единственного фактора, как то: почта, пароль, страшнее – телефон с гугл аусом / симкой (не все могут позволить себе восстановить быстро симку, будучи в путешествии)
Часто в утечках встречаются пароли, думаю многие эти продукты сиды для 2FA могут вовсе хранить открыто или не надёжно; потому лучше аус основанный на public & private keys, теперь это удобнее (спасибо бигтехам), и если сервис позволяет их юзать как альтернативу, то это может порой выглядеть так, что ответственность за безопасный аус переложен на пользователя
Для бизнеса этот подход ведь тоже выгоден, если не считать удобства пользователя: нет трат на смс и устойчивость к фишинг атакам на клиентов
Пароль? 2FA? Давайте уже честно — это прошлый век
https://passkeys.directory/
А ещё ютуб совсем без рекламы 🤪
Типа с перезаписью оригинала? Ну это ж гугл, они вообще могут закрыть проект, как нерентабельный. Не удивлюсь, если фото используют в темную для более таргетированной рекламы
Однако – опенсорс, донатить ли деньги – решать вам
https://github.com/cryptomator/cryptomator
Всё эти облака хорошо, пока не утекли случайно или специально
Если вдруг вас беспокоят утечки или инсайдеры компаний, то можно локально зашифровать и в облако уже результат заслать
Какой-нибудь https://cryptomator.org/ в помощь или подобные решения
Это опционально, т.е. на усмотрение пользователя
Но не помню есть ли для бесплатных пользователей
Юзал для бэкапов – сохранили, но уже забил под завязку и пришлось заплатить за второй терабайт 🤪
Странно, что нет ни слова про WAF (даже бесплатный Cloudflare подойдёт) и JS Challenge
Также именно GTP не очень хорошо в этом помогает, лучше воспользоваться клод 4, имхо
А если использовать AI внутри Cloudflare, то он сможет работать именно с вашими данными
На мой взгляд эффективнее решать подобные проблемы на WAF, чем на собственных серверах, особенно в современных условиях, когда этих файлов хтаксесс и нжинкс конфигов может быть десятки (а то и сотни) и для их изменения необходимо провести всё по процессу change management (patch/review-approve/test/deploy/retest etc.. не ручками на сервере запускать баш скрипт от ИИ же?!)
Аналогично, ведроид доковидный ещё, но обновляемый и гугл довёз таки спам детекшн и там у меня дюжина смс уже только за это лето
Ответ получить нельзя, но можно было проверить доп. развёртыванием и переводом времени, да даже в бою вышло бы лучше, чем будить людей ночью. По-хорошему это всё прописано в лицензионному соглашению
Как минимум с лета 2023-го довольно много времени
Кстати, 8 утра МСК это уже 12 в НСК и 15 во Владивостоке 🙂
Вы говорите, что никто и не заметил, что система была заменена, но при этом повесили заглушку. Заглушка ведёт статистику обращений? Ваша компания работает только в МСК? Сколько людей увидело заглушку?
Я ещё плюсанул, случайно (привычка, блин) 🤪
Про защиту траффика сказали, а как на счёт защиты данных и шифрования на стороне приложения?
Кстати говоря, не обязательно иметь этот список, достаточно лишь проверить, как часто пароль фигурирует в утечках и отвергать те, что более N раз попадались, см. https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRange
Хотя да, локально список для ускорения - норм оптимизация
Буквально на днях по фану то же самое делал и соль в том, как остальные 4 аргумента будут заданы для PBKDF2, например число итераций – существенно замедляет перебор, думаю не большая проблема для пользователей даже если задержка на обработку одного пароля составит более секунды
Мало того, что не анонимный, так у сигнала новостные звоночки интересные
https://dailycaller.com/2024/05/12/signal-app-open-technology-fund-government-agency-katherine-maher-national-public-radio/
Блокчейн же не про анонимность 🤪