Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 246
Ждем, когда это сделают обязательным.
Единожды обмазавшись (создав аккаунта в скаме) пользователь автоматически добровольно соглашается на эту услугу. В своё время так было и с ВК (мне приходили уведомления от СДЭКа, например) - вместо SMS уведомления шлют по приоритету в ВК, и если туда не отправляется, уже дальше на SMS. Теперь в этой цепочке будет первым - Скам. У кого его не было - считай пока везёт.
Аккаунт в маке можно удалить, правда месяц ждать придётся.
Вы же понимаете что вместо DELETE FROM ... в БД выполняется запрос UPDATE ... SET is_deleted=1. Они уже запишут, что вы лояльный хотя бы на половину.
Не запишут в лояльные наполовину, будут разбираться, с какой целью удаляетесь. Фарш невозможно провернуть назад и мясо из котлет не восстановишь.
Лояльным самые заманчивые предложения по контрактам! Вы решили себе соломку подстелить, но не учли некоторые нюансы.
UPDATE ... SET is_deleted=1.
UPDATE ... SET deleted_until= now() + 1 day
месяц
Нет, полгода +-10 дней. Я это проходил
Также обмазался телеграмом, некоторые коды и сообщения шлют туда, а не СМС. Не давал согласие на телеграм, а они видят, что есть мой номер в нем и СМС не отправляют. Теперь не знаю как от него отписаться. Удалять учетку не могу, некоторые контакты на телеграм завязаны.
Можно ведь просто скрыть номер для посторонних, тогда по номеру вас в ТГ невозможно будет войти, разве нет?
учитывая, что отправка OTP через Telegram стоит отправителям денег, опции “не получать” нет. Однако, можно (и нужно) держать на разных телефонных номерах госуслуги, банки, доставки, телеграм и пр
Оно уже почти обязательно. Так как одна сервисная (авторизационная) СМС, в среднем, 9 рублей стоит (за что, я сам не понимаю). Если у твоего сервиса 111 тыс. пользователей, то это уже считай миллион. Выглядит как новый налог для IT компаний. И вот тут компаниям предлагают альтернативный канал, который, скорее всего, будет дешевле. Понятно, что переход на уведомления в MAX будет вынужденным решением для многих компаний, по экономическим соображениям.
Альтернативой были уведомления в Viber, WA, TG.
Альтернативой были уведомления в Viber, WA
Посмотрите у них стоимость и условия подключения бизнес-автоматики.
До санкций доводилось видеть офферы на эти услуги. Цены на удивление неадекватные, особенно с учётом того, что в ТГ уже тогда были боты, отправляющие то же самое бесплатно.
Бот не может отправить ничего пока его пользователь к себе не добавит. Бот может отправлять пока пользователь его не заблочит.
Это плохие свойства для отправки кодов подтверждения.
Может. Недавно заходил в дискорд аккаунт, прикрепленный к рос номеру телефона. Он вместо смс прислал сообщение с кодом в телеграме от бота @VerificationCodes, которого я заранее разумеется никуда не добавлял.
видимо некоторые боты свободны от ограничений
Посмотрите у них стоимость и условия подключения бизнес-автоматики.
А вот этот вот наш родной отечечественный аналоговнет каким образом решает данную проблему? Вы таки на серьезном выражении лица полагаете, что скамное руководство не будет пользоваться положением монополиста и административным ресурсом с целью личного обогащениям? А ну да, никогда же такого не было.
А еще емейл - вообще бесплатно.
Посмотрим, что там будет принято по антифрод 2. Может аутентификация по email уйдёт в небытие на законодательном уровне. Как минимум, судя по новостям, хотят запретить аутентификация по иностранным email. Из законных способов точно останутся СМС, SIM push, oAuth от Госуслуг, российских банков, и по всей видимости, Яндекс и VK, так же авторизационные сообщения в MAX.
Даже если убрать юридический аспект, то я бы не стал в своём сервисе регистрировать новых пользователей через email. Я бы хотел чтобы у одного пользователя, в идеале, был один личный аккаунт. А завести 100 почтовых адресов на порядок проще чем 100 SIM карт.
Вы правда верите, что государство платит ОпСоСам 9 р за каждую SMS?
Открою "тайну", между ними договор вроде концессионного соглашения. Лицензия на частоты радиосвязи в обмен на социальные обязательства по покрытию малонаслененных пунктов и SMS-рассылок от госучреждений.
одна сервисная (авторизационная) СМС, в среднем, 9 рублей стоит (за что, я сам не понимаю). Если у твоего сервиса 111 тыс. пользователей, то это уже считай миллион
Именно так, шекелевыжималка там похлеще, чем у интернет-провайдеров с разделением на "домашние" и "бизнес-тарифы".
Причём ещё есть градации по скорости доставки. Если вы ввели свой номер, нажали кнопку "Войти / Подтвердить / ..." и вам сразу прилетает код, то это дорого - примерно как вы написали или дороже (я и 11 руб. видел). А если спустя 10-20-30 секунд (до минуты), то цена другая.
Отсюда и счётчик в формах "Новый код можно запросить через 0:59".
В т.ч. поэтому даже банки, буквально купающиеся в деньгах, в своё время так продавливали установку своих приложений - туда можно отправлять пуши вместо смсок.
Отсюда и счётчик в формах "Новый код можно запросить через 0:59".
Счетчик там ещё как "rate limiter" от смс-бомберов, когда какой-то нехороший человек использует твой сайт, сайт этого магазина, сайт с котокартинками, и т.д. чтобы подсунуть номер «жертвы» в эту форму и запросить смс. За твой же счёт.
А ведь такое и как услугу продавать умудряются, и просто в интернете найти готовые бомберы раньше можно было.
Часто такое делают не ради "бомбинга" владельца номера, а просто чтобы сделать плохо конкретной компании. SMS Pumping называется, и считается формой мошенничества.
За границей ОЧЕНЬ дорого обходится. Иногда за час может накапать $100k, даже если компания готова к такой атаке.
0:59 это чтобы не заказывали кучу дорогих СМС подряд (рейт лимитер)
При этом пуши для получателя ровно по той же цене. Из за чего никто и не стремится на них переходить. Меня банк самостоятельно несколько раз переключал, но я упорно возвращался обратно, т.к. минусы перевешивают сомнительные плюсы.
Чет "сервисные" смски со своей рекламой они нихрена не сиесняются рассылать XD
Вот нахрена мне раз в неделю от мтс реклама очередного шлака в их кионе ?)
СМС, в среднем, 9 рублей стоит
Получается больше 60 000 000 (шестидесяти миллионов) рублей за гигабайт. Гиг трафика как приличныя квартира в москве.
На сколько я в курсе, это чуть ли не основная статья доходов опсосов.
Не удивительно что вокруг этой темы такой шорох. Удивительно что опсосов раскулачивают в пользу скама.
Спрашивается с какой радости сервисный SMS стоит 9 руб?
В пакете ценой 400-500 руб включено 500 SMS.
А ещё звонки и интернет.
Следовательно SMS должны стоить копейки. Или ноль.
Лучше бы они добавили возможность делать ботов физ.лицам
Думаю добавят. Без этого вряд ли взлетит. Мелкий бизнес всё-таки существенную часть траффика обеспечивает.
А пока приходится получать сообщения от умного дома во вконтакте...
Мелкий бизнес никого не интересует
Я с "никого" не знаком, но по слухам его интересует траффик, а этот самый бизнес его как-раз и обеспечивает.
Какой толк от площадки, где нет охвата нихрена? Ровно с тем же самым столкнулись блоггеры, ушедшие с ютуба в ВК. И так в любой поделке от Яндекса, Вк и прочих "FAANG" от "русского мира", за исключением телеги, большая часть пользователей - боты, а те несчастные, кто пользуются, в предложке имеют мусор. Народ, особенно молодежь, будет сидеть где угодно, но только не в скаме, с такой то системой его навязывания. Убьют телегу, появятся альтернативы, благо в придачу опенсорс selfhosted решений дохрена
Что посоветуете из опенсорс selfhosted решений чтобы был маркдаун как в телеге и цитирование фрагмента в ответе? Успел посмотреть несколько матриксных клиентов и заплакал.
Верно. Даже те проплаченные, кто кинулся рекламировать как им удобно и хорошо в СКАМе, "почему то" быстро вернулись обратно, как только закончилась оплата.
благо в придачу опенсорс selfhosted решений дохрен
Я был бы невероятно рад с вами согласиться.
Но, когда доходит до реального выбора, внезапно выясняется что выбора-то и нет. Формально, для галочки, их напилено очень дофига. Реально же пользоваться ими сложно. Особенно, если вы не профессиональный разрабончик/одмен или не очень сильно мотивированы.
Давайте навскидку прикинем. Jabber, matrix это даже не смешно. Особенно не смешно Matrix. Stoat сырой как бревно после дождя и он про другое. Zulip и сотоварищи - это вообще отдельный сегмент, оно не конкурент и не замена telegram, whatsapp, imo и пр.
Мне вот интересно, что
защищённым папкам
это в которых данные нешифрованные на диске лежат? Ну и пересылаются с неизвестным шифрованием, и непонятной обработкой на серверах?
Вопрос, что делать тем, у кого Макса нет, а также у кого он есть, но вдруг отвалился (а ТП только в Максе и отвечает), мы опустим.
По что даже для юрлиц ограничения драконовские, явно не до физиков.
Не, лучше бы не добавляли. Чтобы от этого плевались все пользователи.
Чем хуже - тем лучше
Лизнули так лизнули
Не ту страну назвали гондурасом...
Вместо перехода с смс на тотр мы имеем вот это вот всё.... вредительство.
Напишу-ка я президенту. Лично знаю людей писавших сталину и это прям очень помогало.
TOTP - ну прям хз. украли/утопил/потерял телефон - потерял приватный ключ от TOTP.
Чем SMS не устраивает? Способ уже используется, уже внедрен и работает везде - даже на кнопочных телефонах. Можно засесурить ЕГО, а не вводить "правильный способ доставки SMS". Например не отправлять их в роуминг в Африку по SS7, где их добыре люди перехватят. Не доверенная сеть -> не слать туда SMS
Ну и второй вопрос: если на госуслуги безопасно войти можно через насаждаемый мессенджер, то как безопасно войти в мессенджер?
А если безопасно == привязка к дивайсу, чего бы не привязать к телефону сами госуслуги?
TOTP - ну прям хз. украли/утопил/потерял телефон - потерял приватный ключ от TOTP.
ТОТП это просто кодовая фраза по которой алгоритмически генерируется пароль от текущего времени. Что бы не потерять доступ к ТОТП при утоплении телефона делайте бекап кодовой фразы и всё.
Совсем хорошо, когда это невозможно аппаратно, т.е. приватный ключ не покидает устройство никогда.
Такое ощущение, что люди теряют каждый день мобильники итп...
Невомзожно аппаратно вытащить TOTP парольную фразу не отменяет бекапа. В той же крипте с этим прекрасно справились парольными фразами. В ТОТП кстати точно так же просто парольные фразы предлагают сохранить в том же NextCloud.
Нет, ни в чем со словом клод хранить ничего из области безопасности не надо. Но в целом можно и бэкапить как-то, я только не понимаю зачем.
Если ты потерял даже защищенный токен лучше бы перенастроить всё на новый.
Вы там каждый день что-ли всё теряете ?
Ни с чем со словом Claude (Клод), действительно, ничего из области безопасности (да и вообще) хранить не следует.
А вот Клауд может быть вполне себе безопасным: Mega, например. Здесь речь вообще идёт о self-hosted решении NextCloud, поэтому безопасность такого хранение определяется общей безопасностью IT-систем конечного пользователя.
15 лет назад как раз были аппаратные TOTP без бекапирования. Особенно в банках. То ещё "удовольствие" на проверку оказалось. Безопасность не должна противостоять здравому смыслу.
А хранить затем что бы войти в систему что бы сменить собстсвенно ТОТП. Другого способа кроме парольной фразы или самого ТОТП как бы не предусмотрено. Ну кроме разве что поделок вроде Госуслуг.
Т.е. при личном визите в банк ничего нельзя поменять ?
Я за 30+ лет не терял телефонов, может что не так делаю... В целом вопрос возможности копирования не основной. Именно для ТОТР оно всегда в общем-то возможно, ключ же один с двух сторон должен быть, как-то его предстоит передавать.
Т.е. при личном визите в банк ничего нельзя поменять ?
Можно, но банки бывают разные. Например в другом городе или даже другой стране. Я от аппаратного ТОТП отказался в тот момент когда стали выдавать ТОТП плохого качества а банк был международным. Лететь 8 часов ради замены одного брелка... спасибо, но нет.
Гугл бэкапит по умолчанию. Но я им не пользуюсь именно по этому. И еще потому, что нельзя нормально экспортировать закрытый ключ.
Плюс у всех нормальных сервисов есть пароль для восстановления тотп.
Беда не там, где скам второй фактор, а там, где он единственный или где с помощью него можно восстановить доступ. Глвное даже не то, что это дырявая помойка, а то, что хрен потом чего докажешь.
Похоже, государство не осилив победить банковское мошенничество решило его возглавить.
А чем пользуетесь вместо него если не секрет?
Из известных: Ente Auth, Proton Authenticator, Aegis Authenticator (только андроид).
В некоторых менеджерах паролей есть встроенные 2FA, например, в 1Password и KeePassXC.
думаю эта ссылка будет полезнее чем прямой ответ.
Это очень просто делается. Пользователь должен иметь возможность добавить несколько факторов:
пароль
TOTP код
аппаратные Fido2 U2F ключи
пасскеи
одноразовые коды восстановления доступа
и т.д. в зависимости от вашей фантазии
Дистанционно сменить/добавить/удалить один из факторов можно только имея 2(!) дополнительных. Если человек умудрился пролюбить их все или не добавил заранее, то тогда личный визит с ID. Ну нельзя, имея только 1 фактор, менять второй, нельзя. Это отменяет всю идею двухфакторной аутентификации. Сброс пароля по коду из смс - это вредительство некомпетентных чудаков на букву “м”.
А кто это все саппортить будет? Даже большие ребята вроде Гугла или Яндекса заметно скромнее список поддерживают.
большие ребята вроде Гугла
У Гугла список факторов, кажется, длиннее. Кроме всего перечисленного он ещё умеет слать код в пуши там где есть google services или приложение gmail с этим аккаунтом, умеет генерировать код для аккаунта через специальную страницу в браузере (при условии что в этом браузере ты уже вошел в этот аккаунт ранее), умеет в смс, умеет с задержкой в 48 часов высылать на почту ссылку для входа (сначала приходит письмо-предупреждение с кнопкой «отменить»). Не помню, правда, умеет ли он слать коды/ссылки для входа на резервную почту…
И я не уверен что на эти два сообщения перечислены все возможные варианты…
Быстрогугл говорит что как минимум Fido2 не поддерживается.
Он еще умеет звонить голосом, слать коды в ватсапп итд итп.
Сложного во всём этом немного. Ну т.е. с звонением итп есть сложности, но привернуть любую авторизацию для которой не нужно ничего стороннего в чём проблема ?
ТОТР - это меньше ста строк кода. Яб хотел сказать десять, но скорее двадцать...
И он не меняется примерно никогда. Нечего там поддерживать. Одноразовые коды кстати тоже.
а еще он рандомно умет на старых, важных аккаунтах, у которых включен TOPT, есть секретная фраза, указана резервная почта, , настроен почтовый клиент и даже указан телефон (но не всегда): внезапно при логине, с верным логином паролем, Вы это не Вы, зайдите на компе на котором заходили, дайте делефон для подтверждения что вы (хотя может у вас телефона никогда и не было) введите код с резервной почты, а теперь дайте телефон, введите код из смс, ой неудалось отправить код, введите код, вы это не вы, неудалось подтвердить что это вы, введите номер телефона....
Восстановление аккаунта? Вот вам код на резервую почту, а теперь код из смс, ой неудалоь отправить код, введите код, цикл замкнулся
Тех поддержки никакой у гугла нет, акк утерян (хотя почту на настроенным почтовом клиенте продолжает успешно получать)
усе, аккаунт потерян :D
Возьмите телефон/планшет (можно без SIM-ки) и попытайтесь залогинится. Во всяких диалогах искать 'использовать другой способ'.
Если у вас действительно есть и секретная фраза и резервная почта (верные) - то после их использования он почти наверняка успешно пустит. Но телефон будет клянчить, да. Это можно успешно игнорировать, выбирая 'пропустить'. То что на телефоне, а не в десктопном браузере - подозреваю, существенно.
Но и вообще история странная. Больше похоже на то как оно когда-то давно было. Вот тут некая процедура создания (специально экспериментировал). Созданная учетка до сих пор работает, и без телефона и без резервных email. Телефон клянчит на кождом заходе но опять же оно отлично пропускается.
Ага, одну одну учетку и реанимировал, только телефон и просто добавил вторую учетку в приложение Gmail (там просто приняло верный логин и пароль). После без проблем залогинился на компе, попытался сменить пароль и сразу после смены пароля словил, вы не вы, ваша учетная запись заблокированно и повторно войти на том же телефоне/компе неудалось и впринципе больше вообще в учетку войти не смог, но внезапно восстановление пароля, после подтверждения кодом на резервную почту, решила что всетаки можно сбросить пароль и прислала ссылку на восстановление пароля через 30 дней (только прикол в течении 30 дней впринципе никто ничего с аккаундом сделать не мог, залогинится или обратится в гугл не мог, так как у них нет поддержки...)
А на остальных учетках сменил пароли, настроил ОТП, взял пару старых телефонах и залогинелся там и положил на полочку... Но вот месяц назад обнаружил что включаешь телефон, а аккаунт не может соеденится с гуглом, долго, долго крутится и плей маркет не открывает, а потом выдает попробуйте войти повторно, но диалоговое окно ввода логина пароля не выдает.. и вот хз как аккуратно проверить пустит ли заного или нет
на старых, важных аккаунтах
Лучше, когда "старый, важный" почтовый аккаунт - на своем частном домене. Начал хостер почты выкобениваться, делать доступ для приложений платным - поднимаемся и перекидываем почту к другому хостеру.
Или вообще купим VDS/VPS и поднимем свою почту там, с преферансом и поэтессами... ;) (и без рекламы в веб-морде).
ага, совершенно верно, только регались аккаунты на гугл почте в году так 2005, а другая почта и того раньше (и никто на заре интернета не думал что такое будет, ну есть секретная фраза и ок, есть резервная почта и ок..) и как бы отказать от них в теори нелья, так как слишком много регистраций на них.
А как показали домены, со своим почтовиком, нынче вам не принадлежат и сегодня вы можете его продлить, а завтра нет.. вот и все...
Приложение, которым я пользуюсь хранит все в зашифрованном виде и бекапы тоже выдает только зашифрованные
Такое ощущение, что люди теряют каждый день мобильники
Справедливости ради, люди действительно теряют их каждый день: в мире теряется прим. 70 млн смартов в год (средняя по больнице), делим на 365 дней, получаем грубо 200 000 в день. Так что это не преувеличение, теряют, и в огромных количествах.
ТОТР в отдельном устройстве должен быть с доступом по отпечатку + пину.
Потерял - сходи получи новый.
Это было бы довольно безопасно, в отличии от...
Вот вообще не хочу, чтобы моей маме в телефон приходило что-то для входа в госуслуги. И себе не хочу тоже.
Для этого отдельно Passkey существует и активно используется.
Можно ссылочку где купить ?
Хотяб штук на сто разных точек входа чтобы можно было настроить...
Купить что? Passkey это стандарт.
Если хочется хардварь то есть всякие yubikey и аналоги.
Upd. А, сейчас дочитал изменение в комментарии. С госуслугами да, может сложно быть. Вроде была возможность входа через ЭЦП, но не уверен как сейчас дела обстоят.
Именно passkey меня если честно совершенно не заводит, я хотел бы явно подтверждать ввод каждого пароля нажатием на кнопку.
Всё что видел из популярных решений к сожалению ущербное обычно изрядно. Самостоятельно удалось собрать вполне подходящую железку(хранит всё внутри, набирает когда попросишь итп), но без сканера отпечатков, лучше было бы дополнить.
https://www.yubico.com/products/yubikey-bio-series/
https://www.token2.com/shop/product/token2-pin-bio3-fido2-security-key-with-biometric-authentication
Вот с отпечатками вроде (как пример).
Но если вопрос с хранением и выводом по отпечатку (без общения с внешними сервисами), то мне кажется с этим и условный Google Authenticator на телефоне справится. Раньше в нём даже возможности синхронизации между телефонами не было: потерял телефон - потерял ключи.
Если проблема с доступом для более старого родственника с риском мошенничества, то тут подсказать автоматизированный способ не могу, только личный контроль.
Телефон очень плохая платформа. Он большой, куча софта итд итп. Но отдельный старый телефон я использовал когда-то. Даже со старым аутентификатором вы всегда могли сохранить сид в момент его ввода с qr или вручную
Хотелось бы одно устройство для множества способов авторизации, начиная от логин-пароль, и заканчивая ТОТР итп. При этом отдельное аппаратное. Мне удалось собрать на базе мк с небольшим tft, но без сенсора отпечатков, и в целом нет особого времени и желания копаться допиливать, было бы удобнее готовое купить.
любая биометрия ненадежна тем, что в ряде случаев у вас может не оказаться "правильных отпечатков"
Да и фиг бы с ним.
Хранилка паролей не должна обеспечивать 100% надежность. Это не нужно. Нужно, чтобы пароли из нее не мог извлечь посторонний. А если вы вдруг отпечатки поменяете, то либо использеэуете бэкапы, либо посетите все организации по списку.
Это гораздо дешевле, чем испарившиеся куда-нибудь какие-нибудь хреналионы денег.
Собственно отпечаток вообще не фактор, его просто подделать, легко добыть итп. Но как дополнительный фактор лишним не будет.
Все равно же приходим к смартфонному железу. Экран, экранная клавиатура, чип для защищиенного хранилища ключей. Только вместо Андроида нужно воткнуть что-то проще. Такое, может, и существует в природе. Но сомнительно. Потому что все производители тушек явно на Андроид рассчитывают.
А специализированное железо, что не рассчитывает - будет дорого :-(
Особенно, подозреваю, если чтение пальчиков хотеть.
Не расскажите, кстати, про 'Самостоятельно удалось собрать вполне подходящую железку' - на чем, от кого базовая прошивка?
Да, вы правы, нужен какой-то набор полусмартфонного компактного железа.
Есть в частности mooltipass, правда без отпечатка с пином только. Но у них проблемы с железом в первых версиях, и в непервых похоже тоже. Проект хороший, но что-то они медленно и редко их выпускают.
ЗЫ. На esp-s3, прошивка самодельная, настройка через веб интерфейс, дальше для паролей просто ему посылаешь через тот же интерфейс "набери пароль Х", он показывает на экране "набрать ли пароль х", при подтверждении нажатием на нем физ. кнопки набирает как usb клава. ТОТР штук десять помещается просто на его экран(пара дюймов). Сыровато, но вполне функционирует. Лучше чем бумажки уж точно и без хранения паролей непонятно у кого.
Базу обратно не скачать, просто нет такого функционала. Физически от взлома не защищен т.к. хранится в том же сейфе что и пароли на бумажке. Пароли чем-то там покриптованы, но ключ статический и его можно добыть из прошивки. Можно было бы безопаснее сделать но в моем кейсе(пароли лежат тут же) нет смысла никакого. Из дома я его не выношу.
Только ТОТР сделать довольно просто, но у меня стояла еще и задача обычные пары логин-пароль как-то набивать. Потому как 16+ значные пароли с бумажки набирать не очень комфортно, а хотелось безопасность не хуже бумажки, так, чтобы при взломе ненабранные пароли не компрометировались.
Чем это лучше второго смартфона ? Не требует зарядки, скорее всего не содержит закладок, компактнее. В принципе можно было бы и смартфон использовать, но это показалось сложнее. (Надо как-то чистую прошивку, рутовать и вот это вот всё).
Смартфоны вообще хорошие платформы, но не в данном случае.
. На esp-s3
Ну вот. Теперь добавляем touch, модуль чтения пальчиков (заявлялось, что хочется) - и получаем стоимость смарфона.
А то что смартфон рутовать надо и чистить - ну так надо голую платформу, еще, собственно, в полноценный смартфон не превращенную. Мне вон ИИ от Гугла предлагает Anbernic RG355V взять и захачить (и предупреждает, что VS варинат не подойдет)
Через ЭЦП работает. Только так и захожу. Сто лет пароль не вводил, врядли вспомню уже даже.
YubiKey, OTP c200, Рутокен тот же.
Я может куда то не туда смотрю, но где сканер отпечатка+пин ? Какие-то затычки ищутся в usb зачастую даже без мониторов и с одной кнопкой....
Fido2-токены обычно умеют в дополнительный уровень защиты в виде проверки пин-кодом. Или выше кидали на серию yubikey со сканером отпечатка. Пинкод вводится на железке через которую осуществляется доступ.
Но, вообще, я бы все же рекомендовал посмотреть в сторону passkey там где оно поддерживается. Современные телефоны неплохо защищены. Проверку пин-кодом или биометрией они тоже проведут
посмотреть в сторону passkey
Passkeys на госуслугах, судя по всему, не светит - потому что у них заявленная функциональность - синхронизация через сервера Гугла/Эппла. Хз как оно там на самом деле шифруется и могут ли гуглоэплы их сами расшифровать, но разбираться скорее всего никто не будет. "Креды доступа хранятся на чужих серверах -> нельзя".
Passkeys на госуслугах, судя по всему, не светит
Нет уверенности что там и fido2 появится, над которым и надстроен сверху passkey.
А ведь fido2 никуда не отсылается, записывается в твой аппаратный токен (вообще ios/android ещё раньше научили быть таким токеном, без синхронизации. Но оно как-то мимо всех прошло. А passkey докрутили туда относительно недавно).
Но оно как-то мимо всех прошло.
Потому и прошло, что выяснилось, что без синхронизации оно почти никому не надо. После чего эти товарищи, видимо, сказали про целевых пользователей пору (не)ласковых, и пошли пилить Passkey-и.
Ну и чистое FIDO, без них - а, зачем, собственно? Токены с ключиками (ГОСТ-овскими) и так можно использовать. Они, правда, дороговаты, про что я считаю необходимым в очередной раз позанудствовать, что я этой цены не понимаю.
Токены с ключиками (ГОСТ-овскими) и так можно использовать. Они, правда, дороговаты
А телефоны сейчас есть у подавляющего большинства активного в интернете человечества.
Потому и прошло, что выяснилось, что без синхронизации оно почти никому не надо
Оно нужно было гуглу, для пользователей. А пользователям без синхронизации действительно - нет. Ну и владельцы ресурсов положили на это всё бооольшой болт. Посмотрим насколько удалось сдвинуть с мертвой точки пасскеям.
Ибо пароли в чистом виде имеют ряд проблем…
C токенами там скорее проблема не в том что они дорогие а в том что их использование - адский ад - даже на Windows десктопе - криптопро поставь(часто - еще купить не забудь), драйвера ключа поставь, браузер используй правильный, расширения правильные не забудь поставить. Если же речь не только про госуслуги то становится еще интереснее а ссылочку https://help.kontur.ru/uc - уже помнишь наизусть.
Если речь про десктоп но не с Windows 10/11 - все становится еще интереснее.
На смартфонах правда все просто - оно там толком не работает вообще никак(нет - в теории и ключики с USB-C/Lightning /Bluetooth существуют а практически - удачи это использовать в мобильном браузере или приложениях). На смартфонах даже некоторые приложения которые умеют в логин через госуслуги делают его методом "а давайте поднимем webview и пусть пользователь залогинится"(ладно - это потихоньку но исправляется на вариант "дернуть само приложение госуслуг которое и так стоит на телефоне и пусть оно спросит пускать ли")
а в том что их использование
Мне казалось, что полноценные (т.е. в который все-все все внутрь упаковано, Которые, соответственно, дороже) - уже почти адекватно работают, включая Linux? Вот те, которые, по сути, только флешка, без своих криптопроцессоров - те да, без криптопро и прочих похожих не живут.
На смартфонах даже некоторые приложения которые умеют в логин через госуслуги делают его методом "а давайте поднимем webview и пусть пользователь залогинится"
Это штатный способ(EDIT: был неправ. WebView не рекомендуется. Перепутал с тем, когда прямо полный браузер открывается) для всяких OAuth(Который Госуслуги/ЕСИА предлагает использовать для 'авторизоваться через меня').
Взаимодействие клиентской системы с сервисами шлюза, обеспечивающими идентификацию пользователей через ЕСИА, происходит через стандартный протокол OAuth 2.0/OpenID Connect. Авторизация в ЕСИА происходит, в данном случае, как обычная OAuth авторизация.
Оно как бы так и задумано. "Авторизоваться через учетку гугла" приблизительно так же работает.
Оно как бы так и задумано. "Авторизоваться через учетку гугла" приблизительно так же работает.
Не знаю как оно задумно но я очень хорошо помню как авторизация через Facebook делалась через SDK - активируется именно приложение Facebook'а если стоит. С госуслугами кстати некоторые приложение все же перешли на такой же вариант значит он все же есть.
но где сканер отпечатка+пин
Пин или пароль с клавиатуры введите, “затычки в usb”, это второй фактор, а не единственный. “Затычки” со сканером отпечатка у юбико есть https://www.yubico.com/ca/product/yubikey-bio-series/yubikey-c-bio/
Вот вообще не хочу, чтобы моей маме в телефон приходило что-то для входа в госуслуги
Там можно сбросить первый фактор через второй всегда. Вся эта беготня со вторым фактором просто бессмысленное упражнение.
Про то как сейчас устроен сброс всего подряд лучше вообще не вспоминать. Сон потеряешь.
Но народ хавает... В целом всем пофиг.
Но с паролями реально часто проблема в том, что их сообщают не по делу. Сейчас начали звонить и спрашивать с какого номера толькотчто звонили, к примеру :). Этож вроде не секрет, кто вам только что звонил, да :)??
М? Когда я в своё время потерял доступ к Яндекс.Ключ, где у меня был TOTP для входа в госуслуги, то я не мог ни отключить его, ни войти в госы. Хотя прекрасно знал и пароль, и личную информацию, и владел нужным телефоном. Чтобы сбросить эту авторизацию было необходимо взять паспорт и идти ножками в МФЦ для подтверждения личности.
P. S. Правда, потом я вспомнил пароль от бэкапа Яндекс.Ключа и восстановил его.
Пароль спокойно сбрасвыается прямо с главной страницы. Попросило только серию паспорта (что мошенник может узнать легко так же как код). Главное не пытаться залогиниться а сразу жать "не помню пароль". Соответвенно пароля просто несуществует. Нет никакой двухфакторки. Есть только ТОТП, который все мошенники так активно и выциганивают по телефонам. Потому что двухфакторная аутентификация подразумевает 2 независимых фактора входа.
UPD: сейчас хотя бы функционал блокируется на 72 часа. Раньше просто было "выпроси код сброса пароля и следом СМС ТОТП и сиди в чужих госуслугах сколько влезет". И то и другое по умолчанию приходило на зарегистрированный телефон как понимаете прямо соседними СМС. только историю поправдоподобнее придумай. Сейчас скорее всего и то и другое будет по умолчанию приходить в MAX и соответсвенно даже симкой владеть физически не понадобится. будет достаточно ломануть аккаунт MAXа. А дальше только проверять насколько сложно свапнуть "доверенный" девайс.
UPD2: а теперь представьте ситуацию. Мошенник просто регистрирует свежий аккаунт MAX на номер атакуемого, потому что у атакуемого просто вообще нет MAX. И всё, госуслуги его полностью. И управление доверенными девайсами тоже. И ТОТП от банков тоже. Отличная же идея... что могло пойти не так... И снова будут разводить пенсионеров. Просто на другой код...
Мошенник просто регистрирует свежий аккаунт MAX на номер атакуемого, потому что у атакуемого просто вообще нет MAX. И всё, госуслуги его полностью.
Для этого нужен доступ к SMS-кам на номер телефона жертвы. Причем, как пишут ниже - именно того, что в Госуслугах. И чтобы саму MAX-овскую учетку создать и чтобы в Госуслуги залогинится для создания привязки.
Если такой доступ есть - то с MAX-ом уже нет смысла возиться.
А по поводу двух уж точно независимых факторов - "доверенный контакт" не пойдет? По рекламе, пока кто-то еще не подтвердить процедуру восстановления - она не сработает.
Для этого нужен доступ к SMS-кам на номер телефона жертвы. Причем, как пишут ниже - именно того, что в Госуслугах. И чтобы саму MAX-овскую учетку создать и чтобы в Госуслуги залогинится для создания привязки.
Последний раз мне звонили: "Вам пришла посылка на почту. Что бы не стоять в очереди за справкой мы вам сейчас вышлем код, продиктуйте пожалуйста и тут приходит код от госуслуг". Ну будет приходить код от макса. Будет техподдержка МАХ или техподдержка госуслуг или что там мошенники в очередной раз придумают... Можно даже задвинуть полуправду что "для безопасности подключаем МАХ к вашим госуслугам"... Кто нибудь да поведётся.
А по поводу двух уж точно независимых факторов - "доверенный контакт" не пойдет? По рекламе, пока кто-то еще не подтвердить процедуру восстановления - она не сработает.
Да просто вынести нужно всю эту госфигню в отдельную сеть. наподобие иггдрасилля или тора, только если там даркнет то это будет "вайтнет" или "клиннет" если хотите. и что бы даже подключиться к сети было нельзя не вставив загранник/внутренний паспорт с модулем для генерации ключа. И всё. Никакие мошенники не срашны, и если ты потеряешь паспорт то это немного другого уровня проблема, и даже войти без авторизации в клиннет не сможешь. Современные проблемы требуют современных решений. И пусть там сидят все этигосуслуги и прочие гос сервисы даже без логинов или с минимальной аваторизацией или пусть даже как есть, только вторым фактором уже после паспорта. В результате всех будут в лицо узнавать по ИП вычислив ещё до загрузки формы входа.
На VoIP схема великолепно работает сто лет. Осталось не в SIPе чарджинг векторы генерить а PSK ключи для шлюза авторизации прямо на чипе и проблема как бы решена. Или просто позаимствовать у VoIP ipsec на симках хотя бы.
А есть хоть один случай, когда мошенникам реально нужно было входить в госуслуги жертвы, чтобы заставить ее передать все накопления курьеру для зачисления на безопасный счет цб? Есть ощущение, что они просто говорят уверенным голосом: "я взломал твои госуслуги и сейчас украду все твои деньги." А дальше юзер уже сам идет кредиты брать, чтобы курьеру их потом отдать.
Да, у меня были в семье случаи когда мошенники получали доступы к гос. услуам и брали кредиты на ничего не подозревающего пенсионера, параллельно сливая все его данные и пробегаясь по ФСН, пенс фонду и даже попытавшись переоформить собственность по тихой. И ничего ты не докажешь потом если уже до конца схема дошла. Благо почти всё получилось оспорить но это лютый ад.
>>Попросило только серию паспорта (что мошенник может узнать легко так же как код).
при установленном контрольном вопросе - при восстановлении пароля надо будет ввести ответ на него, это можно считать вторым фактором?..
хотя, с другой стороны - доступ в госуслуги восстанавливается через ЛК доверенных банков. Куда, в свою очередь, пароль восстанавливается по одной смс (плюс информация, которая есть в общем доступе)...
Есть только ТОТП, который все мошенники так активно и выциганивают по телефонам
Следует различать OTP от TOTP (time-based one-time password). Последний как раз таки вряд ли смогут выциганивать, ибо телефон там не используется. Даже если они узнают телефон и позвонят, интересно, что нужно сказать, что бы жертва назвала этот код?
Когда-то давно (уж простите, сейчас не найду) в похожей беседе про авторизацию на Госуслугах, товарищ из страны с электронным ID, кто одноразовый код генерится буквально при помощи чипа этого ID, мне рассказал, что у них мошенники ухитряются этот код выманивать.
Собственно, именно тогда я понял, что ничего, что можно сообщить мошенникам, в авторизации использовать нельзя.
Проблема с этими кодами в том, что по сути, фактор владения в некоторой степени превращается в фактор знания. Что сильно снижает эффективность защиты. Первым очень сложно "поделиться", а вторым - крайне просто (особенно когда это короткие цифровые коды).
Но тут, как обычно, сложный вопрос удобства. Хорошая защита обычно очень неудобна для большинства пользователей.
. Первым очень сложно "поделиться", а вторым - крайне просто (особенно когда это короткие цифровые коды).
Так и я про то же.
Хорошая защита обычно очень неудобна для большинства пользователей.
Защита физическим токеном - выглядит достаточно хорошей и достаточно удобной. И интуитивно понятна из физического мира "Вот ключ от от сейфа в Гринготтсе от сервиса. Нет ключа - нет доступа." Смотри разные карты доступа, ключи и банковские карты.
Там все просто и понятно. Да, можно сделать запасные. А если вы ухитрились все их потерять - то добро пожаловать лично, тушкой к уполномоченным лицам, которые подтвердят что вы это вы. Хотя с ним тоже проблемы, поэтому лучше бы и эту систему как-нибудь усовершенствовать.
Вспоминается одна старая фантастика :).
Там с определенного момента - приняли закон что если человеку нужны ключи доступа к системам безопасности малого космического корабля - производитель обязан предоставить их любому кто физически предьявит идентификационную табличку с этого корабля. Владение проверять - нельзя. Обоснование - так безопаснее для общества в целом.
Ну и - вспоминаются фанфики по ГП где как раз ситуация с ключом от сейфа решается через всякие кровные ритуалы проверки наследия и прочее (а в некоторых фанфиках Гринготс вообще очень даже интересуется ситуациями когда ритуалы начинают выдавать в пограничных случаях вида близнецов - чуть другие результаты).
вспоминаются фанфики по ГП где как раз ситуация с ключом от сейфа решается через всякие кровные ритуалы проверки наследия и прочее
Это биометрия. :-) Я когда-то тоже такой пример приводил. Потерял все документы - добро пожаловать на кровопускание, мы тебя по кровушке определим, что ты гражданин такой-то.
Вот, кстати, если бы наше государство именно такое собирало для случаев восстановления документов, а не для физиономию для авторизации где попало - оно, возможно, имело бы гораздо больше смысла.
Подозреваю, правда, что тогда другие бы страшилки придумали.
>>потом я вспомнил пароль от бэкапа Яндекс.Ключа и восстановил его.
Вам повезло, что с момента бэкапа не прошло года...
Мало кто, знает, но TOTP — не уникальная для смартфонов технология! Скачивайте KeePassXC, и TOTP будет у вас там, где только захотите.
Чем SMS не устраивает?
Тем, что его можно продиктовать мошеннику. Если уж переходить в MAX, то там должен быть не код подтверждения, а сообщение "Подтвердите, что вы заходите в <имя сервиса>/Подтвердите, что вы хотите <сделать это там-то>" и далее кнопочки "Да/Нет/Что за хрень, это не я"
И вот без всяких этих циферок, которые кто попало пытается вытащить.
И да, это должно означать(можно так настроить), что если телефон с MAX выключен - то никаких авторизаций и входов никуда не произойдет.
Не решат такие вопросы проблему "гипноза" во время облапошивания жертвы:
Пользователь: - Ой, а тут приложение спрашивает, я ли это вхожу, нажимать?
Машейник: - Дада, нажимайте скорее, а то время заканчивается!
Что код, что кнопки - те же шило с мылом, только в профиль.
Это не гипноз, это проблемы когда 100500 сервисов присылают СМС, и невозможно просто понять что за СМС сейчас перед тобой.
Только очень отмороженные люди на просьбу дать код подтверждения для поликлиники будут читать его со своей кредитки. Надо как-то изолировать отдельно критичные сервисы, а не в общую кучу валить.
Не решат такие вопросы проблему "гипноза" во время облапошивания жертвы:
Если добавить proximity test, когда. чтобы запросить/закончить соответствующую процедуру авторизации - нужно телефон иметь в непосредственной близости от того экрана, где что-то авторизуешь - то практически решает.
Мошенник просто не сможет запрос на авторизацию послать.
Но и так будет улучшение по сравнению с кодами. Не сильно большое, но тем не менее.
На одних текстовых сообщениях это вряд ли возможно.
На одних текстовых сообщениях это вряд ли возможно.
И не надо. У нас же целое приложение есть. И тушка телефона.
Вариант 1 - делаем так, как Passkeys делают (при использовании внешнего устройства при входе при помощи QR оно проверяет при помощи Bluetooth, что устройства рядом)
Вариант 2 - прямо в запрос на авторизацию вшиваем данные, с какого IP оно было. А MAX, соответственно, страшно вопит "Этот запрос пришел не с того IP (не с того места), где вы(вот этот телефон с месседжером) сейчас находится. Или не вопит, а по умолчанию игнорирует.
Для большей части сценариев (логинимся в сервис прямо с этого телефона, логинимся в сервис с десктопа) -- IP телефона и IP бразера с запросом авторизации будут совпадать.
Машейник: - Дада, нажимайте скорее, а то время заканчивается!
Решается фризом кнопки подтверждения на первые N секунд. Куча сервисов ровно так и показывает критичные подтверждения.
далее кнопочки "Да/Нет/Что за хрень, это не я"И вот без всяких этих циферок, которые кто попало пытается вытащить.
Есть sim-push, где всё это реализовано. Никакие сторонние приложения при этом не требуются. Нужно только, чтобы мобильный интернет был включён.
ТОТП данные записал, куар сфоткал, убрал по всем веракриптовым нычкам и всегда можно восстановить. А телефонный номер если просрал, то всё...
А наифга ключи от отп держать на телефоне
Для этого гитхаб, например, даёт блок emergency-кодов. Не нужно их хранить вместе с самим totp генератором. Прелесть totp в том, что никакие коды, кроме временных по сети не ходят. Отпадает схема с "вам сейчас код подтверждения придёт, продиктуйте его нам" И она отпадает даже не потому, что не будут просить продиктовать, а просто в силу роста сознательности пользователя. Когда ты сам эти коды настраиваешь, отпадает желание их кому попало передавать.
Прелесть totp в том, что никакие коды, кроме временных по сети не ходят.
И это единственное их преимущество - что устройство c ними можно сделать полностью оффлайновым и не требующим для использования никаких интерфейсов кроме клавиатуры.
В онлайн ситуации (у нас же месседжер, он по умолчанию online), можно сделать так, что диктовать просто нечего. Авторизирующая железка(ну т.е. у большей части населения - прямо конкретный смарт, хотя это можно исправить) с сервисом пообщалась, спросила у пользователя "точно пускать?" - и готово. Мошенник чешет репу и начинает другие способы придумывать, как в учетку пользователя попасть. Потому что волшебных чисел, которые можно у пользователя спросить - нет.
Ну вот немного надоели с эти TOTP. Оно, конечно, лучше чем SMS, но если чинить ситуацию - то не стоит их как хорошее решение рекламировать. Не как основной способ, во всяком случае. Технически уже давно лучше есть.
у нас же месседжер, он по умолчанию online
И поэтому его самого так же надо защищать.
И поэтому его самого так же надо защищать.
Угу. А в ситуации с оффлайн генератором - защищать от фишинга. Т.е. как-то предотвращать попытки вводить сгенерированный код куда попало, что себя за сервис выдает.
В онлайне это более возможно - приложение-авторизатор можно научить понимать, что это не сайт госуслуг код просит, а сайт мошенников. А оффлайновый - ну можно постараться (я тут где-то ссылку на картинки chipTAN давал - там для этого специальный сенсор есть для чтения спец-баркода, которым как-то все это проверяется), но сложно.
В онлайне это более возможно - приложение-авторизатор можно научить понимать, что это не сайт госуслуг код просит, а сайт мошенников
Не могу представить каким это образом возможно. Сайт ведь запрашивает в браузере, это отдельное приложение, между ними нет никакой связи. Если только не ходить на сайты только через это же приложение-авторизатор-браузер. Но это сомнительное решение.
От фишинга в любом случае надо защищать. И это не так просто.
Сайт ведь запрашивает в браузере, это отдельное приложение, между ними нет никакой связи.
Есть. Deeplink в терминах андроида.
С ходу, не очень разбираясь (возможно, более системный путь есть, где самому проверять даже не придется):
1) На сайте висит кнопка 'авторизироваться через приложение'
2) Пользователь ее жмет
3) Открывается приложение-авторизатор, которое при установке зарегистрировалось как обработчик соответствующих deeplink.
4) Оно смотрит, с какого сайта его вызвали (там Refferer сайта передается)
5) Если имя не совпадает - ругается.
На десктопах - тоже так, в общем работает, хотя для авторизатора использовать странно. можно обработчик линков повесить. (Вот если зайти браузером на marketplace.visualstudio.com и нажать в какое-нибудь 'Install' (там линк вида "vscode:extension/..." - оно вякнет, что "Это должно через VSCode работать, разрешить?")
Когда сайт на десктопе, а авторизатор на телефоне -- тут бакенд сайт может самостоятельно с автризатором связаться (а неправильный бакенд авторизатор пошлет, потому что ключиков нет) и спросить "Тут залогинится хотят с такого-то IP, и то-то сделать, разрешить?"
По описанию похоже на OAuth (или OpenID), то, что уже и так работает у VK - вход по VK ID через приложение VK.
И 4-5 пункты тут не работают.
Очевидно, приложение не видит с какого сайта его вызвали. Что ожидаемо, ибо заголовок Referer крайне не надёжные источник. Да и напрямую из браузера такие вызовы, вроде как, не делаются.
К тому же, в таком случае отправлять коды через этот же мессенджер-авторизатор уже не имеет смысла.
Это вход на одном сайте через подобную кнопку.
Под кнопкой-то что? И где находится? По скриншоту - как раз приложение увидело, сработала защита и авторизатор послал, потому что его не с id.vk.com дернули.
К тому же, в таком случае отправлять коды через этот же мессенджер-авторизатор уже не имеет смысла.
Разумеется. Коды вообще не имеет смысла отправлять. О чем я тут уже не раз сказал.
Только через подписывание приказов на отдельном оффлайн устройстве.
Приказов вида: авторизовать клиента с ip с устройства name итд итп.
Перевести денег с счета х на счёт y в количестве z.
Но для этого вам надо иметь экран для проверки и чтения того что подписываете. Т.е. устройство потребуется размером с мобильник.
Ну и сервисы должны быть адаптированы и спрашивать подтверждения каждого критичного действия.
Только через подписывание приказов на отдельном оффлайн устройстве. Приказов вида: авторизовать клиента с ip с устройства name итд итп. Перевести денег с счета х на счёт y в количестве z.
Но для этого вам надо иметь экран для проверки и чтения того что подписываете. Т.е. устройство потребуется размером с мобильник.
Хотите идею подкину: 4.3" Электронная книга XTEINK X4
https://mtbyte.io/blog/crosspoint-reader-community-firmware-xteink-x4
Для устройства Xteink X4 вышла кастомная прошивка, которая не просто обновляет интерфейс, а открывает устройство для экспериментов.
Полноценный доступ к системе через SSH и возможность установки любых Linux-пакетов.
Поддержка современных форматов и улучшенная работа с PDF.
API для создания собственных приложений под e-ink экран.
Для разработчика это отличный полигон: e-ink дисплей с низким энергопотреблением и открытая система — идеальная песочница для IoT-прототипов или минималистичных интерфейсов. А для стартапа — возможность создать нишевый продукт на базе доступного железа.
Пишете для нее приложение, которое будет принимать по BT документ, показывать его на экране, подписывать и передавать обратно. Вуаля.
Туда же можно все секреты TOTP закинуть, если хочется.
Хотите идею подкину: 4.3" Электронная книга XTEINK X4
Это очередной ESP32 'с экранчиком'. У собеседника такой уже есть.
Возможно, как злопыхатели говорят - перешитый электронный ценник, которые и так народ успешно хачит.
Это очередной ESP32 'с экранчиком'.
Не просто ESP32, еще и удобный корпус, батарейка, и пристойный экранчик. Собрать всё самому обойдется не сильно дешевле ;)
Насчет Сбера - так надо продвигать идею автономных удостоверяющих устройств, каждый раз вспоминаю b-unit от Bloomberg, штука прикольная, но так и осталась узкоспециализированной экзотикой.
удобный корпус, батарейка, и пристойный экранчик.
На кой авторизатору такой экранчик? Там (ну, если урезать желание документы перед подписыванием смотреть) хватит монохрома, что в таких штуках использовали.
Так как раз для подробного просмотра того, что именно мы им подписываем. Просто так - чтобы принять не глядя, можно и в формате флешки сделать, что и имеется в огромных количествах.
Это мазохизм. Если так хочется читать - то наверняка у китайцев более полноформатные панели с батарейками есть. Те, которые на 'фоторамки' и прочие рекламные экраны идут. А что часами работать не будут - так не все ли равно?
Я заказал себе такую после этого комментария. Хочу оценить лично. Интересно тем, что такая книжка - с моментальным доступом, просто в кармане. Зашел в метро, достал - читаешь, приехал к нужно станции - просто бросил в карман и всё.
Да, есть большего размера - 6, 7... дюймов, там и подсветка, и батарея толще, и андроид полноценный. У меня есть и такая. Но это уже не тот формат, надо в сумку лезть.
Основная проблема: как заставить внедрить всё что надо в сбербанк :). Мы то со своей стороны справимся.
Только через подписывание приказов на отдельном оффлайн устройстве.
Ну, кстати, fido2 по сути и проводит проводит проверку через подпись.
WebAuthn при регистрации токена передает origin. Устройство через CTAP1/CTAP2 связывается с токеном и токен формирует пару ключей.
При аутентификации/авторизации токен проверяет origin вызвавшего ресурса, и только при совпадении подписывает отправленный ему challenge. Такие, своего рода, пользовательские сертификаты.
Но для этого вам надо иметь экран для проверки и чтения того что подписываете. Т.е. устройство потребуется размером с мобильник.
Экран токену не нужен, им выступает устройство через которое осуществляется вход. Токен может быть в различных форматах. Флешка там, или, карточка размером с банковскую с общением по чипу/nfc (да, собственно, почему бы и не сама банковская карта, если речь о банковских операциях? А так, это может быть даже условная ID-карта являющаяся удостоверением личности выданным государством. И нет, для fido2 есть варианты не позволяющие установить связь между конкретной ID-картой и публичным ключом на сервере).
Экран токену не нужен, им выступает устройство через которое осуществляется вход.
Тут степень паранойи больше. Предполагается, что это самое устройство может быть скомпрометировано и может что попало слать как в сторону сервиса, так и в сторону токена. И вот чтобы в банк не ушло чего-то не то, когда ты транзакцию на 10 рублей хочешь сделать - тут хочется, чтобы токен мог показал "тут мне платежку на 1000000руб в сторону таких-то лиц предлагают подписать, одобряешь?"
Не может быть скомпрометировано, а непременно будет, вопрос времени и везения.
Если ты подписываешь всё подряд не читая :) это не слишком здорво.
Меня всегда пугали люди, которые подписывали таким образом платежки на хреналион денег, к примеру. И я даже знаю случаи огромных проблем. Совершенно без взломов, просто немножко ошиблись, интерфейс не идеален, человек устал, и вот уже вагон денег ушел куда-то не туда.
Как будто отображение инфы на мелком экране токена поможет. Точно так же эти циферки замыленным глазом бы проглядели.
Но, все-таки, это очень большая степень паранойи. Индустрия не одобряет. Точнее, как я помню, иногда одобряет, но хардварная железка - она за за дофига денег. Или на Андроиде будет и поэтому эквивалентна Госключу.
Гораздо легче все-таки взять комп и со всех сторон обложить его всякими проверками целостности системы и прочего. Или просто выдать загрузочный readonly носитель, с которого ты оффлайново запускаешь эталонную систему и все что надо подписываешь.
Вот прямо документ через air gap перенес на флешке, прочитал и потом обратно.
А сценарий работы с сайтами такого просто не предполагает ввиду нездорового баланса головной боли и наносимой пользы.
Очевидно, что совершенно спокойно будут диктовать тотп коды. Какая им разница, что диктовать?
Вот только TOTP сам собой не всплывёт в телефоне. Это нужно открывать специальную программу и в ней смотреть код к конкретной учётке.
Может и всплыть. Если "специальную программу" писали не идиоты, если программу где надо чтобы всплыло - писали на нормальных языках (известные мне исключения - игры и практически все что на Flutter'е). У андроида есть такая штука как autofill API (а также есть возможность костылить похожее через accessibility service), да - надо чтобы пользователь выдал на такое доступы "специальной программе", да - надо чтобы авторизация в "специальной программе" была не сброшена .
Он в некоторых случаях "всплывал" прям на твоей пластиковой карте ..
В телефоне его быть не должно вробще...
Но тут речь про конкретный случай - когда мошенник инициирует отправку кода (форма ввода у него на компе), и просит жертву продиктовать его.
Тут собеседник рассматривает более широкий случай, когда устройство доступа с клиентом сервиса разным родом атаковано. Трояна посадили, прислали ссылку, которая открывает уже заполненную форму "перевести все деньги на...", просто телефон утерян и злодеи смогли в него зайти.
И 'правильный' дополнительный авторизатор с эталонной доверенной средой, по идее - от таких атак защищает.
Но тут явно паранойя слишком большая для массовой услуги. И удовлетворяется имением полноценного выделенного устройства для работы с такими сервисами где-то в сейфе/тумбочке и под всеми возможными замками - физическими и электронными.
Тут, правда, есть вопрос, что государство излишние обходы все норовит внедрить 'для удобства', позволяющие 'восстановить' доступ к таким сервисам в обход такого устройства в сейфе. Например, как в обсуждаемой новости - через мессенджер общего назначения (почему то MAX так позиционируют), который всегда с собой. Или через SMS в телефон, который тоже всегда с собой.
в Спортлото эффективней будет
Проблема totp, что обычно он реализуется на том же устройстве, что делает двухфакторность слегка условной
Это какой-то ТОТР больного человека. Те, кто хоть немного парятся всё-таки имеют отдельное устройство. Раньше их многие банки давали такие "пейджеры", некоторые даже в кредитки прям внедряли генератор и мониторчик (авангард?). Простые вещи разучились делать....
Где здоровых-то взять? Вон все ставят его себе в смартфон и с него же потом всюду заходят.
Народ вполне очевидно не хочет носить еще один телефон для генерации ТОТП и прочей авторизации. Если отдельный аутентификатор в нормальном форм-факторе, плюс хорошо прорекламировать -- могут и начать. Носят же ключи от домофонов, просто ключи, банковские карты (хотя эти некоторые тоже любят в телефон засунуть).
Хотя, повторюсь, все что требует набора каких-то циферок пользователем - костыль и проблемно по причине того, что эти циферки можно продиктовать.
Двадцать лет назад, люди из другой цивилизации умели прям внутрь кредитки его вставлять...
Сейчас секрет утерян, вероятно.
Кстати интересно как они время устанавливали. Rtc вероятно использовали довольно точный. Возможно на всё время хватало его точности.
Двадцать лет назад, люди из другой цивилизации умели прям внутрь кредитки его вставлять...
C тех пор выяснилось, что простые сканеры - фикция и легко обманываются. А нормальный должен иметь собственный криптопроцессор и прочие навороты. Иначе просто иголочками к контактам прицепятся и сделают вид, что пользователь был.
Если все из окна прыгнут, вы тоже с ними ? Какая разница как люди с ума сходят ?
Если на том же устройстве, но защищено дополнительным паролем (e.g. через gpg), тогда имеет смысл, т.к. удобнее (не нужно допольнительное устройство), безопаснее чем хранение текстом.
Не считаю это проблемой, скорее возможность выбора.
А у кого кнопочник?
Банкам дешевле чем СМС вернутся к карточкам скретчкодов.
тотр требует существенно большей квалификации от пользователя.
Шесть цифр правильно перенести из одного места в другое?
Возьмите сферическую бабушку в вакууме. Вы уверены, что вам потребуется обучить ее только переносить шесть цифр? Концепция СМС с нами уже больше четверти века. С ней ей легче взаимодействовать.
Это как-раз довольно просто.
С бабушками другая прикладная проблема. В какой-то момент, увы, их дееспособность угасает и ей противопоказано что-то где-то набирать. В целом лучше бы с некоего возраста иметь доверенное лицо. Но ныне это нереализуемо. Т.е. сбер предлагает какую-то услугу при которой он часть транзакций будет просить подтвердить доверенное лицо, но неизвестно какие итп, а надо все...
И потом, яж не против. Пусть оставят и смс и будет возможность выбора(лично в офисе под камеру и подпись). Я даже готов денег за эту возможность заплатить...
Давно они это разрабатывали. Ещё с нового года примерно. Хотя я очень удивляюсь что кто-то добровольно TOTP захочет принимать в приложение которое может сообщения сортировать случайным людям а не адресату... Правда скорее всего у зарегистрировавшихся не будет выхода так как удалить связь с аккаунтом МАХа будет невозможно так же как удалить аккаунт на Госуслугах и прочих ФСН.
В защищённых папках сообщения тоже будут храниться открытым текстом на серверах?
Всё равно я им даже если бы захотел не смогу пользоваться. По нему не приходят уведомления когда включают белые списки и писать моей например моей маме на дачу бесполезно. Используем смс.
Мне тоже сдэк шлёт в вк. Ну скам стал таким клоном отщепенцем вк. Раньше и домовые чаты были в вк но никто их не использовал.
Вместо тысячи слов...
мммм.... очередная инициатива, которая нафиг никому не нужна
Напольное облагодетельствование...
Надеюсь можно будет туда завернуть весь спам, все равно у меня нет учётки)
Особенно важные уведомления будут приходить только на доверенное устройство, которое укажет сам пользователь.
Похоже на бред. Как они вообще собираются идентифицировать, да и вообще находить, устройство? Не аккаунт, не номер телефона, а именно устройство - которое, кстати, вовсе даже не обязано быть смартфоном. Как они намерены надёжно и безопасно изменять это доверенное устройство, если ранее указанное стало нефункциональным? А экстренно блокировать, если его тупо спёрли?
По-моему, это просто очередной шаг в сторону снижения безопасности. В угоду очередному распилу. Группой лиц по предварительному сговору..
А в чем вы видите проблему ? Еще 20 лет назад можно было собирать метрики и понимать то же это устройство или нет. Скомпрометировать это затруднительно, ну т.е. надо взломать это устройство, а если ты его уже взломал, то сообщения и так прочитаешь.
Сейчас браузер умеет снимать такой слепок, что по нему можно довольно точно вас идентифицировать.
Ну т.е. среди трех ваших устройств это будет работать совершенно нормально.
IMEI и другие идентификаторы десятки лет существуют. Точно так-же в телеграме отображается список устройств, на которых залогинен твой аккаунт.
У SCAM'а если создавать цифровой ID есть особенность - нельзя иметь этот ID на нескольких телефонах, на старом - сносится. Может такую штуку хотят сделать? Но тогда дыра - именно потому что сносится.
(недавно кстати добавили еще багофичу что этот ID вообще невозможно создать если номер в SCAM не совпадает с тем что в госуслугах, ну то есть теперь надо номер в госуслугах светить всем желающим)
У SCAM'а если создавать цифровой ID есть особенность - нельзя иметь этот ID на нескольких телефонах, на старом - сносится. Может такую штуку хотят сделать? Но тогда дыра - именно потому что сносится.
Это, как бы, вполне соответствует поведению того ID, что бумажный - он тоже в единственном экземпляре и в одном месте существует. Логика отсюда, как я понимаю. И какой сценарий дыры. кстати?
Ну безопасный режим - через период охлаждения. Заводишь новую точку входа - она начинает работать через некоторое время, в это время по всем старым контактам идет уведомление “если это не вы переезжаете, то нажмите кнопку отмена”. А если сразу включать новую авторизацию и отключать старую - то законный пользователь со старым телефоном сидит в афиге и смотрит на сообщения по переводу денег.
Перенести оригинальный цифровой ID - не очень простой квест. Просто нового телефона и логина в MAX в него - вроде как, недостаточно.
Так что да даже если доверенное устройство для банковских SMS аннулируется - совершенно не очевидно, что новый телефон легко доверенным сделать.
Это если, конечно немного подумают, прежде чем реализовывать.
Предсказываю, кстати, что это одна и та же сущность - т.е. чтобы сделать MAX пригодным для банковских SMS - будут вынуждать всю эту биометрию отдавать.
И какой сценарий дыры. кстати?
(речь именно про цифровой ID если что) Сам факт что если есть нужные доступы (госуслуги те же) + SCAM на новом - то сносится без вопросов и без любых подтверждений со старого(или с самих же госуслуг или там периодов охлаждения).
вспомнилась бабушка которая себе отсудила получение госуслуги в МФЦ , без установки приложения на смартфон. Потому что у неё не было смартфона и "компухтера", обходилась кнопочным телефоном......
Пока юзаем TOTP-коды там, где это возможно, в т.ч. и на госуслугах.
Ну понятно, что никаких кодов по смс не будет, месяц-два, они все будут в максе. Очень удобно. А как безопасно, это вообще! Особенно радуют слова операторов, как же они заботятся об удобстве этим нововведением! Все, наверное, потекут от удобства. Кстати, не прочитал полностью, а они упомянули, что это не только будет удобно, но ещё и очень безопасно?
Судя по новостям аккаунты пользователей МАКС часто уводят. Как минимум раз в неделю такие сообщения от пользователей этого “чудо мессенджера” попадаются. И что мешает злодеям начать пользоваться этой фишкой с сообщениями для своих корыстных целях ? Например снимут деньги и диктовать никакого кода не надо - код сам придет по умолчанию в МАКС. Кто тут будет виноват разработчики МАКСа или пользователь у которого увели аккаунт, а он не может достучаться до тех. поддержки (а она очень не приветлива и молчалива) чтобы вовремя заблокировать свой аккаунт ?
Мессенджер Мах подписал... Ну дожили, мессенджеры уже наделили правоспособностью...
[ДАННЫЕ УДАЛЕНЫ]
>Контора где числится 2 челика
>Получает госконтракты...
Выглядит как создание единой точки отказа, т.к. в случае возникновения проблем с аккаунтом (нарушение правил мессенджера и бан) или с доверенным устройством (кража или поломка) очевидно могут возникнуть сложности с получением сервисных сообщений.
Плюсом идёт уменьшение приватности т.к., исходя из текста новости, в цепочку иноформирования добавляется ещё одна коммерческая компания. Которая будет располагать информацией не только о социальных связях пользователя, но и об его интересах и действиях. Например, уведомления клиник и банков могут многое сказать о пользователе.
Речь не о таргетированной рекламе и аналитике, а о том, что мессенджер становится монопольным агрегатором и хранилищем "авторизационных, сервисных и транзакционных сообщений".
Я считаю, что главное даже не это. Главное это вопрос ответственности. Кто и чем будет отвечать если утечка приведёт к ущербу? У опсоса хотябы в теории что-то можно отсудить и там хоть какой-то регламент и стандарты. Да, тоже дно днищенское, но хоть что-то. А тут даже юрлицо - "однодневка".
Да, все верно. Более того, это не недоработка, которая была выявлена.
Это именно такая разработанная архитектура. Просто слов нет.
Был опыт в телекоме, поэтому фраза "стратегическое соглашение" читается как "перекладывание денег из одного кармана в другой, но с комиссией". Технически все, возможно, когда-нибудь для кого-нибудь и будет красиво: верифицированные папки, fallback в СМС, доверенные устройства. Но экономически — это классический случай, когда "инновации" сопровождаются пересмотром денежных потоков
Смешно, когда олигархат сам с собой договаривается.
Спойлеры на будущее из прошлого:
сорри за оффтоп, но…
«Билайн», МТС, «Мегафон» и Т2
Почему из четырёх названий два в кавычках, а два — нет? сначала подумал, что потому, что Билайн — бренд, не совпадающий с названием юридического лица. Но у Мегафона бренд и название основного юрлица совпадают, но Мегафон тоже в кавычках.
О какой защищенности пользователей они поют? В ПС маха русскими буквами написано, что правильная работа не гарантируется, данные юзера не защищены, и в случае проблем из за использования маха с устройством юзера или с ПО устройства никто ответственности не несет. Что это за безопасность такая?
А если аккаунта в этом чудо-мессенджере нет, то куда будут деваться сообщения? В /dev/null?
Я уверен, что SMS будут отправляться по остаточному принципу.
Вот у меня нет банковского приложения. И мне пуши явно не доходят от банка. Но и SMS приходят как повезет. В последнее время вообще очень редко приходят. В банке сказали, что настройки все верные и должно быть все хорошо.
Вот представьте, что будет, когда люди не получат SMS для какой-то важной операции. Более того, с учетом кривости самого Макса, туда тупо что-то может приходить через раз. На обращение в службу поддержки получите ответ "Все ок у нас, проверьте свое устройство".
А аккаунт в Максе уже фиг удалишь. По сути это разрушение системы уведомлений целиком. Будет полный хаос. И единственное, что останется - это опять по-старинке топать в разные учреждения.
Остальное тоже яростно убивается. Так что откат назад лет на 30 в технологиях неминуем.
Банк может сказать это ваши проблемы
Не может сказать, а скажет. Посмотрели настройки - все ок у нас и все. А дальше уже сам смотри, что у тебя там с устройством. Это будет проблема пользователя.
Так что наиболее надежно будет пойти лично в учреждение. Что в итоге и даст уровень развития начала 2000-х годов. Т. е. откат на поколение назад.
Что в итоге и даст уровень развития начала 2000-х годов. Т. е. откат на поколение назад.
Ну так полностью в соответствии с пожеланиями пользователя - это именно он решил в прошлом застрять, не ставя приложение. </sarcasm>
Но, вообще, может быть и наоборот. (правда, с большой долей сомнения - несмотря на всю IT-ность нашей банковской отрасли местами она модернизироваться не хочет или не умеет.) Когда банки перестанут просить еще какую-то связь помимо той, что для начала транзакции использовалась.
Например, начнут предлагать что-то типа такого 'калькулятора'.
- это именно он решил в прошлом застрять, не ставя приложение.
Вполне возможно что пользователь то как раз приложение поставил. А вот приложение либо прямо отказывается работать либо крешится на старте (пример - SCAM на GrapheneOS (если человек примерно понимает почему это может крешится - он может догадаться там надо кое что отключить в настройках для SCAM'а. ЕСЛИ)
Вот когда то (еще задолго до СВО, и даже СБП тогда еще не было) приходилось править для одного мелкого регионального банка эту логику. Там было сделано примерно следующим образом - кидаем пуш. если приложение банка не отстукивается на сервер в течении 30 секунд что получило пуш(именно получило а не пользователь ввел куда то) то идет запрос на отправку СМС
Да понятно, что должен быть ack в очереди отправки или обратная связь с интервалом.
Здесь дело даже не в тех. части, а в организации процесса. То, что клиент не получил уведомление - это становится проблемой клиента.
И вообще лучше не использовать привязку к устройству. Например, код по эл. почте я могу проверить на любом устройстве. Также есть разные кодовые фразы и т. п. Это гораздо надежнее.
Плюс пользователь должен иметь возможность не использовать многофакторку вообще.
А если у меня номер телефона на которые зареганы Госуслуги и Банки, стоит в кнопочном телефоне и связывать его с Максом я в принципе не собираюсь.
а для этого тебя обязали в госуслугах все номера к аккаунту привязать
Да зареганы, и номера родителей на меня зареганы, и как ни странно у них на эти номера их госуслуги зареганы. И они так же пользуются только кнопочниками на этих номерах.
Я к тому речь веду... куда они мне отправят сообщение в Макс, если он вообще не установлен.
куда они мне отправят сообщение в Макс, если он вообще не установлен.
Вообще, с некоторой точки зрения - зря. Надо установить хотя бы один раз (нет, не на кнопочник - на другое устройство, без SIM-ки), зарегистрироваться, поставить там всякие безопасные режимы, пароли и так далее. Старательно все эти пароли записать, а потом можно и снести, если не нравится.
Потому что если этого не сделать - есть некая возможность, что его установит какой-нибудь злодей совсем не для пользы пользователя телефонного номера. Вот как-нибудь уболтает код из регистрационной SMS сообщить - и поставит.
А с учетом новости, что тут обсуждаем - желание злодеев так сделать только увеличится.
Они бы сначала доделали элементарные вещи, например - сортировать загруженные фото, чтобы выстраивать хоть какой-то порядок. Банальная фича, которая есть даже в самых отсталых мессенджерах, наглухо отсутствует в максе
какие sms, какие максы. это 2AF в 21 веке?
Пользователи смогут получать в Max сообщения от компаний и организаций, а также коды подтверждения для входа в различные сервисы.
Для МАХа нужен инет. Это бывает проблемой. Не зря же Почта России в своем приложении сделала оффлайн генерацию кода, для подтверждения при получении посылки (хотя теоретически могли бы сделать бесплатный wi-fi в отделениях.)
Поэтому, логичным было бы сделать бесплатное предоставление инета для МАХа. (в смысле заставить операторов предоставлять инет бесплатно. заставили же их подписать стратегическое нагибание).
Интересно будет поглядеть, когда против Макса введут санкции и повыпиливают из всех магазинов, кроме Рустора
А между тем Макс перестал работать за границей. Просто не подключается ни к чему. Ничего не отправляется и не получается, а в углу висит надпись “Подключение…”. Притворяешься, что ты в России - сразу работает.
Т.е. теперь все коды будут отправляться туда, только доходить не будут.
особенно в этой схеме с уведомлениями радует что восстановить угнанный аккаунт просто невозможно, если этот аккаунт пингует бот угонщика, и вся фигня на подтверждение уходит злоумышленнику.
а поддержка что? ну да, сидят, держут что-то
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мессенджер Max подписал стратегическое соглашение с операторами «большой четвёрки» («Билайн», МТС, «Мегафон» и Т2)