Неплохая статья, с примерами все ясно, а вот с защитой есть вопросы. Не уверен, что двухфакторная аутентификация действительно защищает от фишинга. Насколько я знаю, фишинг частенько используют чтобы похищать в том числе и одноразовые пароли. Пишешь юзеру сообщение типа “В вашу учетную запись пытались войти с устройства… Если это были не Вы, отправьте одноразовый код, который сейчас получите, на номер ...” В это время на стороне взломщика инициируется вход в аккаунт, он получает одноразовый пароль от доверчивого юзера и вуаля! Например, как тут:
ad1Dima пишет правильно, при утере токена нужно обращаться в службу поддержки. Откуда Вы узнаете свой секретный ключ, если потеряли токен? На всякий случай запишите на стикер и приклеите к монитору?
Да, все правильно, я наткнулся на все эти нюансы, когда собирался подключить к аккаунту токен, правда перепрошиваемый аппаратный. Общеизвестно, что аппаратные токены надежней SMS или программных. Но в случае с Вконтактом законы логики бессильны, потому получается, что перевес действительно на стороне SMS. С другой стороны, теперь, когда вторая ошибка исправлена и при переподключении токена секретный ключ меняется, можно использовать эту “фичу” для обновления секрета. Подключаете токен, отключаете 2FA, потом опять переподключаете токен, получая при этом свеженький секрет, и спите спокойно.
Чтобы точно ничего не бояться, не снимайте подтверждение входа ни с одного браузера. А еще лучше подключите 2FA, после чего отключите и выпустите новый токен с новым секретом. Так Вы сможете быть уверенным, что никто не успел скопировать Ваш секрет до того, как Вы решили усилить безопасность аккаунта.
Но по моему мнению, такие технологии больше подойдут для усиления уже имеющихся средств защиты данных. Например, двухфакторную аутентификацию удобно дополняют интеллектуальной идентификацией ( анализируются типичные для пользователя данные: название и версия браузера, перечень установленных в нем плагинов, IP адрес, местоположение компьютера, язык ввода, обычное время сеанса и т.п.), что позволяет запрашивать пароль только когда пользователь запрашивает доступ с нового устройства или большинство параметров меняются. Было бы удобно, чтобы учитывалась и манера нажатия клавиш и движения мыши.
Их все чаще называют самым удобным способом подтверждения личности, поскольку пользователям не нужно запоминать цифры, коды или пароли.
Это правда, биометрическая аутентификация удобна. Но есть в ней одно существенное но! Если кому-то удалось подделать твое селфи, отпечаток пальца, пульс, голос и т.д., то новый ты нигде не достанешь. Учитывая то, что практически к любой системе защиты рано или поздно находят ключик, я остаюсь скептически настроен по поводу биометрической аутентификации. Но статья интересная, спасибо.
Вы подняли действительно актуальную тему. Два тренда нашего времени (вирусы вымогатели и интернет вещей) рано или поздно сольются воедино и доставят всем нам массу неприятностей. Радует, что первые шаги в направлении защиты IoT все таки начали делать, например, в Intel учредили совет по автомобильной безопасности, который работает над разработкой систем защиты автомобилей от кибератак. Но большинство производителей умной техники остаются равнодушными, в чем винить их нельзя. Разработка и внедрение элементов защиты — это дополнительные траты, которые, соответственно, приведут к подорожанию товара. Производители не готовы на это идти, ведь потребители не готовы платить за безопасные товары больше. Единственный выход, который мне видится, это целенаправленная работа по просвещению масс. Когда потребитель создаст спрос на безопасность, производителям ничего не останется, как начать заниматься этой проблемой. Надеюсь, что это произойдет раньше, чем подобный спрос будет автоматически создан уже после серии громких атак.
Рано судить о том, что только находится на стадии разработки. Ваши аргументы вполне логичны, но может Гугл еще не раскрыл все карты и в итоге у них получиться достойное и безопасное решение. Лично мне их идея нравится.
Из ссылок в статье могу предположить, что у вас двухфакторная аутентификация от https://www.protectimus.com. Так ли это? И если да, то почему выбрали именно этот сервис? Кто еще предоставляет CWYS-решения по защите от автозалива?
https://cont.ws/post/127694
Но по моему мнению, такие технологии больше подойдут для усиления уже имеющихся средств защиты данных. Например, двухфакторную аутентификацию удобно дополняют интеллектуальной идентификацией ( анализируются типичные для пользователя данные: название и версия браузера, перечень установленных в нем плагинов, IP адрес, местоположение компьютера, язык ввода, обычное время сеанса и т.п.), что позволяет запрашивать пароль только когда пользователь запрашивает доступ с нового устройства или большинство параметров меняются. Было бы удобно, чтобы учитывалась и манера нажатия клавиш и движения мыши.
Это правда, биометрическая аутентификация удобна. Но есть в ней одно существенное но! Если кому-то удалось подделать твое селфи, отпечаток пальца, пульс, голос и т.д., то новый ты нигде не достанешь. Учитывая то, что практически к любой системе защиты рано или поздно находят ключик, я остаюсь скептически настроен по поводу биометрической аутентификации. Но статья интересная, спасибо.