Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 22
Что-то я не понял, как скамеры заходят в гуглаккаунт без пароля. Ведь конфирмейшен на телефон это доп. мера защиты? Сначала все равно нужно ввести пароль?
там еще не просто "разрешить", а код надо ввести на доверенном устройстве.
котоламповая история?
но проблема увода GA вместе с учеткой гугла присутствует.
Видимо, коды приходят или не приходят исходя из того, насколько потенциально опасным система посчитает инициированное подключение. Иначе это объяснить не могу, ибо рандом и в этом плане и сам неоднократно наблюдал
Недавно добавлял новое доверенное устройство, код не нужен. Только кнопки Разрешить\Отклонить
По подтверждению с доверенного устройства. Там есть кнопочка с другими вариантами, пароль на старте необязателен
Странная схема. Во-первых, злоумышленники должны уже знать пароль. Во-вторых, Леха должен в пуш уведомлении не заметить какое устройство и откуда пытается войти.
Странная статья из серии фантастики, где пароль к Google ? как правильно написали, и да и в Google Authenticator нет опции синхронизация
Есть опция такая. Значок облака вверху, рядом с аватаркой профиля
Про пароль уже отвечал выше
Может ли кто-то зайти с другого устройства?
Нет. Поскольку коды не синхронизируются через облако Google, они существуют только на одном конкретном телефоне.
Злоумышленник не сможет получить к ним доступ, даже если узнает пароль от вашей почты.
Коды не «плавают» в интернете, они заперты внутри памяти вашего смартфона.
GA в какой-то момент (достаточно давно) молча без предупреждения стал синхронизировать записи. при чем в облако попали только записи после даты Х. сей час можно выбирать в какую учетку добавлять или только локально.
2FA должно быть на отдельном устройстве, например YubiKey. Никаких Google Authenticator, Bitwarden (в разрезе хранения секретов для 2FA), Authy, etc.
Да много чего должно быть. И холодный кошелек, и юбики. Хотя я не вижу сильно большую разницу между 2FA в Authneticator и Yubikey. В любом случае это отдельное устройство и если злоумышленник получил доступ в одном месте, то вероятность что он получит еще и доступ на другом устройстве стремится к нулю и сводит все эти мамко-хакерские потуги на нет.
Разница огромная. В YK секрет неизвлекаемый и генерация осуществляется на устройстве, опционально с требованием физического касания (задаётся при сохранении секрета). А GA и Authy это просто приложения, которые где-то по умолчанию хранят копии секретов, в том числе в резервных копиях.
Что делать в случае окирпичивания устройства? Неприятный квест проходить сброс 2FA, если это вообще возможно
Ну это задача на риск-менеджмент. Для меня некомфортность потенциального восстановления полностью нивелируется пониженным риском угона учётных записей, так как я техдиректор и моя учётная запись во многих местах имеет много прав, для меня это проще. Для оперативного восстановления я храню всё на двух ключах (да, сохраняю секреты и там и там).
Для восстановления существуют коды и процедуры восстановления через телефоны и почты (обычно я это всё отключаю, потому что уязвимо).
Но я — человек у которого парольные фразы лежат напечатанные на лазерном принтере в сейфе между Benelli M3 и Сайгой :)
Впрочем я всё равно рекомендую всем пользоваться YK, потому что вот прямо в этой статье описано что бывает если пользоваться облачным MFA.
Немного непонятно, он что без монитора ?
Не туда ответил
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Скам в криптовалютах: самая опасная схема мошенничества на основе социальной инженерии и «дыры» в безопасности Google