Как стать автором
Обновить

Комментарии 39

Двухфакторная аутентификация не поможет от по-сути MiTM атаки. Пользователи как отдавали пароль, так отдадут и код из смс.
Двухфакторная аутенфикация вообще никогда не поможет, если человек использует парольный менеджер.
Chikey, чем вам не угодил парольный менеджер?

Например
Лично я использую Password Safe. Посмотрел прямо сейчас — у меня там 399 записей. Насколько я знаю, для шифрования контейнера используется AES. В итоге у меня один большой и сложный пароль от контейнера, а остальные пароли я в основном даже не знаю, так как они генерируются в самом приложении. Самое главное — у меня все пароли разные. И когда утечет мой пароль с условного vk.com, аккаунт от gmail не пострадает.


Конечно, когда пользователь не думает куда он вводит учетные данные, его ничто не защитит. Но, отвлекаясь от данного примера, разве второй фактор не спасает в большинстве случаев при компрометации стандартного пароля? Ну например, кто-то подсмотрел ваш пароль или получил через keylogger или достал из менеджера паролей. Этот человек не сможет им воспользоваться без второго фактора, например, СМС или аппаратного OTP-генератора.
Я помоему четко сказал если человек уже использует парольный менеджер то ТОТП или СМС в большинстве случаев никак не помогают в модели атаки. Минусуют ламеры не умеющие думать своей головой. Более подробно писал тут sakurity.com/blog/2015/07/18/2fa.html
Думаю, что вас минусуют потому, что ваше сообщение двусмысленно.
Скорее всего я как и минусующие(справедливости ради замечу, что я не минусовал) прочитал так: «Если вы используете парольный менеджер, то все уже настолько плохо, что никакой второй фактор вас не спасет.»
После прочтения вашего топика на sakurity стало понятно, что вы имели в виду: «Если вы используете парольный менеджер, то двухфакторка не добавит вэлью».
С общей мыслью неэффективности 2FA не согласен. Если есть способы завладеть вторым фактором, это не отменяет того, что наличие второго фактора затрудняет задачу злоумышленника.
Понятно что затрудняет. Вопрос насколько? На 5 процентов? Потому что всего то требуется выудить с помощью попапа еще один код и дальше делать что угодно. По сути security through obscurity
Если говорить про конкретный случай, описанный в топике, то пользователям, которые вводят пароли в непонятные приложения мало что поможет. Музыку то послушать очень хочется, а тут хорошие люди такое приложение удобное сделали. Ну как им не доверить свой пароль?
Проблема данного примера в том, что пользователи не понимают, что нельзя всем раздавать ключи от своей квартиры.
А в целом по теме 2fa: Многофакторная аутентификация бывает разная и не везде преусмотрена защита от глупостей пользователя. Но даже одноразовые пароли успешно защищают от большого количества типов атак на парольные аккаунты.
Мой коммент не имел отношения к теме поста а просто уточнение. Одноразовые пароли не защищают от атак на пользователей использующих парольные менеджеры. В лучшем случае сокращают время эксплуатации.
Пароль могут утащить с компьютера пользователя, а seed и counter таким образом скомпрометировать нельзя.
Злоумышленник может попытаться сбросить пароль жертвы через восстановление пароля.
Ну и да, время эксплуатации скомпрометированной учетной записи сокращается: для каждого платежа в интернет-банке потребуется еще один OTP.
Если сервис взломан то можно фишингом зарпосить еще один OTP. Но что главное у OTP нет бэкапа и это создает доп неудобство.
Этот совет только для одумавшихся и понявших жизнь, чтобы компенсировать ошибки прошлого.
Кто первый?

http://xn-----6kcaclwmxecbtto1bujcjc4f0eta.xn--p1ai/ap/admin.php
НЛО прилетело и опубликовало эту надпись здесь
Чем не устраивает стандартное вк приложение? Там же можно музыку слушать…
Не знаю точно как под андроид, но под iOS убрали прослушку музыки с офф приложения, а до этого как минимум не было кэша, каждый раз дергал с интернета. Новость конечно про приложение под андроид, но может такие же были причины выбирать стороннее приложение для прослушки музыки
Под андроидом пока еще можно.
Скорее всего людям не хватило стандартной функциональности приложения.
Откуда вообще уверенность что они подозревают о существовании официального приложения? Я регулярно вижу как гуглят не-гики, они совершенно не различают «официальные» и какие-то другие сайты/приложения и выбирают исключительно по красоте иконки и забавности названия
Плюсую предыдущему оратору, таже ситуация и с дровами, вот спрашивается почему люди не идут на официальные сайты за драйверами для их принтеров, видях, и прочего? Я еще понимаю с варезом… но когда наблюдал картину как местный офисный планктон качает с непонятного сайта непонятную сборку гуглхрома только потому что она оказалась первой в выдаче поисковика ( не гугл) встает вопрос о психическом здоровье этих людей.
Всё просто. На официальных сайтах бывает очень сложно их найти, т.к. спрятаны где-нибудь в Сервис -> Поддержка -> выберите продукт -> выберете ОС -> выберете ещё что-нибудь -> а теперь среди кучи всего попробуйте найти то, что нужно.
А про поиск на сайте догадываются не все. Плюс он не всегда там адекватно работает
Поэтому «простым» пользователям проще загуглить «скачать драйвер ...» и поставить трояна на свой ПК
Посему — всем своим родственикам, коих парк ПК мне приходится поддерживать добровольно принудительно, выдаю запрет в политиках на доступ к установке драйверов и по, лучше уж отвлекусь после работы, по удаленке поставлю, что требуется, чем потом приехать в гости и просидеть пол дня вычищая зловредов из всех щелей. А куда можно впаиваю ubuntu, бабушке какая разница из чего с внуком созваниваться и в однокласниках висеть, а так как зловредов под десктопные *nix несравнимо меньше чем под окна, так хоть безопаснее. Но вот затю после очередного полного вычищения ПК со сносом ОС ( ох не хотел этого делать, но пришлось) поставил фриз на системы диск. Кстати о фризе — спасибо кейсу на хабре 2012 года по моему, полезная штука хоть и загрузка дольше.
Интересно, iOS версия также действовала?
Тот же вопрос. Буквально неделю назад скачал его, посмотрел на предложение ввести логино-пароли от вк или просто зарегистрироваться и пользовать просто поиск музыки, и удалил… смотрел на него, смотрел. Долго боролся между «да пофиг, у меня двуфакторная, да и криворуких разрабов которые не умеют дружить между собой кучу чужих криворуких апи бывает много, сам часто такой же, и вообще официальный же шоп эпловский», но зануда победил, я его снес и поставил другой известный музыкальный сервис, который с контактом не коннектится…
НЛО прилетело и опубликовало эту надпись здесь
Под iOs можно сделать прослушивание музыки, есть для этого простой хак
И какой же?
vk.com/audio в адресной строке открывает страницу в Safari.
Это приложение позволяло не только слушать, но и скачивать музыку на девайс. Тоже пользовался им однажды – отсутствие нормального oauth входа тогда очень смутило, но положительные отзывы и желание поставить любимую мелодию на рингтон возобладали над здравым смыслом. Правда было это уже больше года назад. Возможно тогда данных ещё не собирали :)
Собирали. Вспоминаю, что для залогивания тоже удивился отсутствию oauth и невозможности использовать акк с двухэтапной аутентификацией. Пришлось отключить конкретно для залогивания там двухфакторную, а потом опять включать. Кстати, время от времени контакт потом предупреждал, что кто-то пытался зайти в аккаунт, но у него не получилось за незнанием второго временного кода. Айпишники все были Украинские.

Потом начал юзать Яндекс.Музыку и удалил.
Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить.
Как оно выглядело хоть?
Вот такое окно всплывает ВК, но само и уплывает через пару секунд.

А как же антивирус Cezurity? Неужели не помог?)))
Наверно продукты Касперского любили бы больше, если бы в их информационных сообщениях было меньше пиара, а больше полезной информации. Я прошёл по всем их ссылкам по этой теме, но найти инфы о том, что же это за приложение (кто издатель, версии, точное название) так и не смог. Подобных приложений на маркете с десяток. Так и чешутся руки поставить их антивирус и «решить все проблемы».
НЛО прилетело и опубликовало эту надпись здесь
На самом деле пиар Касперского, причем совсем не самый белый. Что приложение производило аутентификацию через свою форму еще не говорит о «злонамеренности» разработчкиов. Это может говорить просто о том что им было удобней сделать именно так (например потому как токен аутентификации ВК для приложений действителен только СУТКИ, и человеку пришлось бы иначе каждый день заново вводить пароль чтобы послушать музыку). Но откуда это знать в Лаборатории Касперского-то? Главное ведь громко крикнуть, да? Конечно кривовато и плохо пахнет, но кричать о том что разработчики преступники (а именно это вытекает из заголовка и содержания статьи) мягко говоря не корректно.

А приложением этим на iOS пользовалось действительно уйма народу, но вроде как нет сотни тысяч жалоб о какой-то подозрительной активности с их аккаунтов. Вобщем плохо пахнет господа :-/ Зачем же так людей-то пугать на ровном месте…
Почему сутки и почему вводить заново? В Вк, если не ошибаюсь, тоже есть параметр «offline» и эндпоинт для обновления токена. Так что будет вылетать юзер из аккаунта или нет — зависит только от разработчика
Не видел я в ВК этого и не нашел сейчас, посмотрев документацию, хотя возможно оно и есть и у меня французская болезнь «непашарам». Но вроде как нет, киньте ссылкой, если можно.

И дело не в том есть или нет такая возможность, у меня претензия именно к содержанию статьи и ее заголовку. Намного тактичней было бы написать — «Лабаработрия Касперского нашла кривое приложения для iOS». Но согласитесь, это было бы просто смешно ;)))

Вместо этого используется весьма сомнительный пиар… :-/ По-сути авторов очень популярного приложения обвинили в зловредных действиях, хотя у них может даже и близко помыслов таких не было.
vk.com/dev/permissions и листайте в самый низ:

offline — Доступ к API в любое время со стороннего сервера (при использовании этой опции параметр expires_in, возвращаемый вместе с access_token, содержит 0 — токен бессрочный).
Ага, сенкс! Непашарам…
Вот идем сюда и там подробно читаем и смотрим скриншоты. Мало так данных — потому что приложение менялось постоянно, а самую популярную как раз заскринили и показали — тех данных вполне достаточно, вот на скриншоте все видно — все данные на нем есть, включая имя пакета.

А то, что нет полного списка с md5 — это уже вопрос доброй воли, не все антивирусы и на на все темы прилагают такую табличку.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации