возможно, это проблема сжатия видео. На 1440р картинка намного лучше, чем на 1080р, которые в этом ролике не самого высокого качества. К сожалению, мониторы с разрешением выше 1080 пока не так широко распространены…
Этого функционала не хватает, увы. Пишем все в поддержку Эппл, возможно отреагируют?
Я пару месяцев назад выключил случайно сири и пока не включал снова. Собственно, я ей пользовался только тогда, когда на мне гарнитура, а телефон в другой комнате — для набора номера. И ничего, вполне обхожусь :)
Статья действительно хорошая. Грань для SMS между 2SV & 2FA лежит в том, можно ли злоумышленнику принять смс (вытащить незащищенную пин-кодом симку, через сири, прочитать на экране и т.д.). Хотя все же лучше схема с разделением — описанная вами или мной (про сим для восстановления пароля «в шкафу»)
Yubico поддерживает U2F, более того, есть даже дешевые ключики по 5$ (точнее были, на момент написания комментария на амазоне пока нет в наличии, но можно же погуглить… :) )
На гмайл для привязки токена все равно нужно вводить телефон. Возможно ли привязяв токен, удалить телефон — не в курсе.
вообще неплохо б написать универсальную либу/фреймворк аутентификации/восстановления пароля на всех популярных языках и продвигать как «стандарт». И в ней уже реализовать все возможные методы.
два раза в год (для надежности) пополнять на 5грн и звонить куда-нибудь — не такая уж и большая цена за безопасность. Это все-таки удобнее, чем проделывать то же самое каждые 90 или 45 дней, как иногда бывает.
Интересно, есть в мире операторы с большим сроком неактивности, чем год?
В статье речь про Украину, у большинства операторов срок неактивности — год.
А если sim на контракте, наверное, так просто «отобрать» нельзя будет (кто лучше владеет материалом, поправьте).
Статья вообще не о двухфакторке, а, скорее, о «side-channel attack» — взломе основного аккаунта через сброс пароля к нему на почту, от которой тоже сбрасывается пароль, причем с получение кода проверки на телефон. И о том, что узким местом в конечном итоге является уязвимость сервисов к контролю над SMS — но это вполне известно. Другое дело, что не будет лишним напомнить об этом еще раз.
Вообще имело бы смысл указать это в статье или даже поменять заголовок, чтобы не путать людей.
«Безопасность системы равна безопасности самого слабого звена» — об этом нельзя забывать. Можно иметь хоть десять факторов входа, но если их все можно сбросить через контроль над почтой — система слаба.
Мда. Let's Encrypt не всегда удобен (точнее там, где не запустишь автоматическое продление — поверьте, подобных кейсов намного больше, чем кажется, одними VPS все не ограничивается — есть еще legacy-хостинги, которым лень поставить плагин LE к ISPManager, а уйти с хостингов возможности нет, различные NAS и т.д. Понятно, что при желании можно нагородить велосипедов, но это все равно не настолько удобно...).
По идее новые корневые сертификаты StartCom должны включить в релиз новых браузеров, чтобы процесс перехода не был болезненным.
к сожалению, многие путают понятия. Второй фактор должен действительно отличаться ФИЗИЧЕСКИ, а не приходить на украденное устройство PUSH'ем или в виде SMS и отображаться на экране.
Рекомендаций немного, и все они просты. Использовать для AppleID отдельную и надежную почту, не вымагающую номер телефона. Не светить AppleID. Для iMessage — общаться только с номера, не с почты. Регистрировать все важное (то, что таки требует номер тлф) на отдельную симку, которая лежит в шкафу. В качестве действительно двухфакторной аутентификации везде использовать TOTP, где возможно. Не ставить на один телефон симку для приема кодов от банка и приложение самого банка. Соцсети — отдельно.
Для Украины также актуально подписать контракт на основные симки всей семьи + симку в шкафу, + узнать у оператора про различные дополнительные опции по защите номера.
В iOS тоже на доступ к микрофону нужно разрешение. Так что не совсем понятно, какая целевая платформа у этой технологии… Разве что андроид до 6 версии + приложения типа Shazam, у которых микрофон — основной функционал?
Возможность быстро перебирать регулируется количеством итераций PBKDF2 (или аналога, который у РМ) для преобразования пароля в ключ. При миллионе итераций (условно) понадобится пара секунд на один пароль, поэтому уже 4 символа из диапазона [A-Za-z0-9!@#$%^&*\-_] будут перебираться (72^4)*2 сек, что примерно равно 20 месяцам.
1) здесь шифрование встроено по умолчанию. В случае с обычными сервисами вам придется ставить эти клиенты. Не забывайте, в мере живут не только IT-специалисты. Также есть возможность отправить зашифрованное письмо на любой ящик (точнее ссылку на сервер PM, где его можно будет просмотреть)
2) PM не сканирует вашу почту. Гугл сканирует, о чем заявлено в EULA. Сканирование — не только в целях рекламы, различный запрещенный контент может удаляться с информированием правоохранительных органов. Аналогичные новости недавно были про Yahoo и т.д.
3) PM находится в Швейцарии, где более строгое законодательство в отношении приватности.
Цифровая подпись, как у Apple. Да, зло, но иначе прошивку обновят и без вас. При этом через условный локальный JTAG/UART все же надо оставить возможность прошивать устройство без подписей, чтобы не получался vendor-lock.
Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
Я пару месяцев назад выключил случайно сири и пока не включал снова. Собственно, я ей пользовался только тогда, когда на мне гарнитура, а телефон в другой комнате — для набора номера. И ничего, вполне обхожусь :)
Yubico поддерживает U2F, более того, есть даже дешевые ключики по 5$ (точнее были, на момент написания комментария на амазоне пока нет в наличии, но можно же погуглить… :) )
На гмайл для привязки токена все равно нужно вводить телефон. Возможно ли привязяв токен, удалить телефон — не в курсе.
Интересно, есть в мире операторы с большим сроком неактивности, чем год?
А если sim на контракте, наверное, так просто «отобрать» нельзя будет (кто лучше владеет материалом, поправьте).
Вообще имело бы смысл указать это в статье или даже поменять заголовок, чтобы не путать людей.
«Безопасность системы равна безопасности самого слабого звена» — об этом нельзя забывать. Можно иметь хоть десять факторов входа, но если их все можно сбросить через контроль над почтой — система слаба.
По идее новые корневые сертификаты StartCom должны включить в релиз новых браузеров, чтобы процесс перехода не был болезненным.
Для Украины также актуально подписать контракт на основные симки всей семьи + симку в шкафу, + узнать у оператора про различные дополнительные опции по защите номера.
Спасибо!
Единственное, что хотелось бы увидеть еще — сравнение производительности по сравнению с «локальной» установкой.
Возможность быстро перебирать регулируется количеством итераций PBKDF2 (или аналога, который у РМ) для преобразования пароля в ключ. При миллионе итераций (условно) понадобится пара секунд на один пароль, поэтому уже 4 символа из диапазона [A-Za-z0-9!@#$%^&*\-_] будут перебираться (72^4)*2 сек, что примерно равно 20 месяцам.
весь вопрос, сколько итераций «там» используется.
2) PM не сканирует вашу почту. Гугл сканирует, о чем заявлено в EULA. Сканирование — не только в целях рекламы, различный запрещенный контент может удаляться с информированием правоохранительных органов. Аналогичные новости недавно были про Yahoo и т.д.
3) PM находится в Швейцарии, где более строгое законодательство в отношении приватности.