С вашим подходом перехватить токен можно просто находясь «за стенкой».
А для того чтобы перехватить аппаратный токен нужно физически отобрать у пользователя аппаратный токен, либо отобрать телефон с софтварным токеном и выпытать у него пин код от телефона — согласитесь, это на порядки сложнее.
По поводу восстановления хэша — даже без прочтения статьи, просто применив логику мне кажется очевидным что если у вас больше данных для взлома то вы взлом можете сделать быстрее.
Взломать можно все. Вопрос во времени, заинтересованности и количестве данных способствующих взлому. Ваш PoC кардинально увеличивает количество данных доступных взломщику. Наверняка люди хорошо знакомые с математикой в этих одноразовых паролях смогу рассчитать и показать вам как как резко увеличивается вероятность взлома из-за этого.
Здесь гораздо хуже. Не знаю деталей того как алгоритмически сделана генерация токенов, но наверняка можно пособирав подряд кучу токенов определить последовательность и начать генерить ее самому.
И даже все еще проще — если вы постоянно вещаете свой второй ключ то украв у вас первый и находясь рядом с вами сразу же получаем второй.
По сути вы второй ключ вешаете на крючок перед входом в квартиру.
А в чем новость-то?
Достаточно помнить что все что вы отправили или выложили в интернет незапароленным могут прочитать админы интернет-кафе и на вашей работе, провайдеры интернета, и ваши браузеры. У всех этих сторон есть свои интересы. Если ваша информация очень ценная и соответствует их интересам, то она гарантированно рано или поздно утечет и будет использована без вашего ведома.
Просто соблюдайте интернет-гигиену:
1. Ничего очень ценного в интернет попадать не должно.
2. Если все-таки нужно что-то ценное передать, то оно должно быть зашифровано и пароль передан, желательно частями, по другим каналам.
3. Без шифрования не пишите и не отправляйте ничего такого от огласки чего вам потом станет очень нехорошо — даже в анонимном режиме, через VPN и под псевдонимом.
TestRail и правда оказался замечательным. Мне также порекомендовали TestLodge — я сравнил их — TestRail почти по всем показателям выигрывает — а главное — по удобству работы с большим количеством тест кейсов.
Интересно что пост никто не минусует а вот автора в комментах заминусовали)). Мысли в посте все-таки правильные, просто немного категорично высказаны, а в комментах и с переходами на личности. Peace!
А вот информация о другом крайне интересном проекта Элона Маска — сверхскоростной транспорт из LA в SF (1200км/ч!!!) — в сравнеии с Якунинским «шубохранилищем»:
а какие там особенности — налоги как-то возвращаются? или какой-то налог не включен? или может быть есть ли особенности при вывозе товаров — пошлины какие-нибудь? без этой информации не знаю как посчитать справедливую цену. да и вообще — если даже посчитать — доставка оттуда есть что-то типа shipito — или имеется ввиду покупать через кого-то кто оттуда летит?
Европа она разная.
Но — ок. Добавил Германию, т.к. во-первых они ближе, во-вторых, при некоторых обстоятельствах там можно вернуть НДС вообще без комиссии, и в третьих возврат НДС там менее заморочен и начинается минимальной суммы
А для того чтобы перехватить аппаратный токен нужно физически отобрать у пользователя аппаратный токен, либо отобрать телефон с софтварным токеном и выпытать у него пин код от телефона — согласитесь, это на порядки сложнее.
По поводу восстановления хэша — даже без прочтения статьи, просто применив логику мне кажется очевидным что если у вас больше данных для взлома то вы взлом можете сделать быстрее.
И даже все еще проще — если вы постоянно вещаете свой второй ключ то украв у вас первый и находясь рядом с вами сразу же получаем второй.
По сути вы второй ключ вешаете на крючок перед входом в квартиру.
Достаточно помнить что все что вы отправили или выложили в интернет незапароленным могут прочитать админы интернет-кафе и на вашей работе, провайдеры интернета, и ваши браузеры. У всех этих сторон есть свои интересы. Если ваша информация очень ценная и соответствует их интересам, то она гарантированно рано или поздно утечет и будет использована без вашего ведома.
Просто соблюдайте интернет-гигиену:
1. Ничего очень ценного в интернет попадать не должно.
2. Если все-таки нужно что-то ценное передать, то оно должно быть зашифровано и пароль передан, желательно частями, по другим каналам.
3. Без шифрования не пишите и не отправляйте ничего такого от огласки чего вам потом станет очень нехорошо — даже в анонимном режиме, через VPN и под псевдонимом.
Но — ок. Добавил Германию, т.к. во-первых они ближе, во-вторых, при некоторых обстоятельствах там можно вернуть НДС вообще без комиссии, и в третьих возврат НДС там менее заморочен и начинается минимальной суммы