Комментарии 163
>>Действие второе: телефон защищен паролем и отображение
Наиболее частый кейс — пароль к аккаунту подобран или собран кейлоггером и злоумышленник даже не знает кто вы, откуда, а если и знает, то очень часто он за пределами вашей локации, а не когда у злоумышленника уже есть ваш физический телефон.
Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент.
Как можно узнать Apple ID телефона?? В интернете есть платные сервисы, которые якобы могут сказать Apple ID по imei, но звучит всё это очень сомнительно. Да и результат обещают только через 2-14 дней
Хотя при желании, все гуглится (особенно для не самых новых версиях ПО).
К сожалению, хорошо работающие меры защиты при комбинировании, порой, могут дать обратный результат лишь повысив шанс взлома.
Я так и не понял из статьи, как пароль может быть надежнее пароль+второй фактор, при условии что пароль тот же? А это как раз то, что вы говорите в заголовке.
Аналогично может поступить мошенник, либо получив доступ к вашему телефону, либо к инструменту доставки кода вам, и ваш пароль превращается в тыкву.
Вот забыли вы пароль от своей почты, воспользовались функцией восстановления пароля, вам пришла смс с кодом на телефон, вы поменяли пароль на новый.
Какая ещё СМС? Вы вообще понимаете что такое двухфакторная аутентификация?
Двухэтапная значит что у вас есть два этапа. Первый: ввод пароля. Второй: ввод кода смс (к примеру).
Следовательно, вы не приступите ко второму этапу, не пройдя первый. То же самое во время ввода пароля, получения смс не достаточно для смены пароля, иначе какой в этом смысл? Кто-то называет это этапами, кто-то факторами. Суть не меняется.
Если бы получения смс было не достаточно и требовался пароль, то как бы люди восстанавливали пароли?
Нужно различать смену и восстановление. Если вы забыли пароль — на почту (к примеру) отправляется ссылка на восстановление (у Google/Yandex/Hetzner есть возможность отправлять на резервный email). Но перейдя по ссылке вам всё ещё нужно будет ввести второй фактор, тот же код из смс.
Если бы написанное мной не было правдой, то зачем вообще придумывали двухфакторную аутентификацию, если она на порядок упрощает взлом людей, находящихся рядом?
Не она упрощает, а возможность восстановить пароль имея лишь доступ к телефону.
Через поддержку вроде как только при наличии чека и коробки
Сказал серийник и что-то еще от авторизованных устройств, когда они были первый раз авторизованы этим appleid, информацию о том, какой картой и когда оплачивал покупки в itunes/store, какие последние покупки и когда совершал на аккаунте, ответил на контрольные вопросы(причем сразу еще и не вспомнил к какому вопросу какой именно ответ), еще какие-то наводящие вопросы. В итоге, минут через 15 общения одобрили запрос на смену пароля. На все почты, сообщениями на устройства, по-моему даже смской на телефон пришло оповещение что был запрошен сброс пароля и если в течении 24 часов я не предприму никаких действий, на основной e-mail адрес будет выслана ссылка для смены пароля.
Не знаю откуда у автора статьи информация что так легко завладеть аккаунтом, но я сам еле сбросил пароль.
А если пароль вводится и sms/звонок поступает на одном и том же устройстве — это лишняя возня, а не двух факторная авторизация.
https://support.apple.com/ru-ru/HT204152
https://support.apple.com/ru-ru/HT204915
Т.е. фактически усложняя угон аккаунта при подборе пароля, — упрощается угон аккаунта при компрометации второго фактора аутентификации.
Пароль без привязки к телефону надежнее в случае перехвата доступа к смс/звонкам
Не кажется, вы тоже не понимаете что такое двухфакторная аутентификация. Если второй фактор смс/звонок, то для входа вам нужен И пароль, И смс/звонок.
Какам образом использование второго фактора что-либо упрощает?
Во многих сервисах ты можешь сменить пароль не зная его, а просто имея доступ к телефону.
Кто вам доктор, что вы положили два яйца в одну корзину? Это не будет двухфакторной (двухэтапной) аутентификацией, ибо у вас оба фактора одинаковые, а должны быть разными (один то, что вы знаете — пароль, второе что вы имеете — телефон, аппаратный генератор токенов). В этом случае получение доступа к одному из факторов не позволяет войти в систему или изменить пароль.
В случае, если вторым фактором является подтверждение через коды в SMS, текстовое сообщение сводит надежность пароля до нуля
При чем тут надежность пароля? Надежность пароля ровно такая же, как и до этого. Просто кроме самого пароля вам нужно иметь в руках телефон. Следовательно пароль ниже никогда не станет.
Мне кажется, вы тоже не до конца понимаете что такое двухфакторная аутентификация.
Т.е. второй этап повышает безопасность почти всех и повышает риски для единиц, которым стоит дополнительно инвестировать в свою безопасность.
так как пароль уже не надо подбирать
Вы не понимаете что такое двухфакторная аутентификация. Вы никогда не смените пароль без двух факторов. Второй фактор ДОПОЛНЯЕТ, а не заменяет пароль. То есть кроме такого же подбора пароля вам нужно ещё получить доступ ко второму фактору — телефону, аппаратному токену, и так далее.
Нет, не может. Войдите с неизвестного компьютера (достаточно открыть окно в приватном режиме) и запустите процедуру восстановления пароля. А потом расскажите нам об успехах.
И всё, я сменил пароль, не вводя старый.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.
Потом ещё письмо на резервный адрес почты
На то он и резервный адрес. Аналогично есть резервные коды восстановления на случай если у вас нет устройства, которое генерирует TOTP токены. То есть формально вы можете даже не иметь доступа к устройству.
В статье вообще ни слова про ненадежность двухэтапной аутентификации, только заголовок. Написано про то, что при получении доступа к телефону возможна смена пароля привязанного к этому телефону, что совсем не относится к двухфакторной аутентификации.
Совершенно согласен.
Смысл статьи я вижу такой: Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.
Но резервный адрес это уже третий фактор
Это фактор той же категории, того же типа, что и основной адрес. То есть он не третий, он не является обязательным, он альтернативный первому, следовательно, уменьшает общую безопасность, поскольку есть альтернатива — взломать один из двух почтовых ящиков на выбор. То есть можно выбрать более слабое звено. Если это два ящика на разных серверах с разными паролями и разными телефонами — то безопасность может быть аналогичной, но точно не выше.
люди и этот резервный адрес привязывают к тому же телефону
Это явно проблема в другой плоскости, с этим технологии ничего не поделают.
Если вы хотите большей надежности, не привязывайте телефон к восстановлению пароля, так как телефон у вас увести легче, чем подобрать пароль.
It depends, но на мобильную сеть (звонки, смс) я бы и правда не надеялся. Жаль, что у тех же Namecheap только смс и поддерживаются.
на этой странице опис. все доступные средства, применительно к аккаунту на Gmail.
Согласитесь, что применение большей части из них сводит подобные описанным векторы атаки на нет, однако сколько людей реально ими пользуются? На мой взгляд, в большем % случаев человек просто предоставляет свой номер сервису который использует, как средство «дополнительной защиты аккаунта», но простая высылка пароля на него — все же позволяет войти в аккаунт. Тогда в чем же смысл такого пароля?
Для примера, повторил операцию только что: c нового устройства; в браузере выбрано «не отслеживать»; вход через левый IP.
Начинал от сюда.
https://accounts.google.com/signin/recovery
далле — см. скрин. Что я сделал не так?
То, что злоумышленник может получить доступ ко второму фактору какого-то сервиса (в вашем случае это Apple), обладая первым, не проблема двухфакторной аутентификации, а проблема вашего выбора факторов.
Фамилию и имя несложно получить через соц сети, зная адрес почты или телефон. через тот же фейсбук. Даже если эти данные не отображаются на странице согл. выбранным вами настройкам приватности.
Вчера только переписывался в gmail'овском коммьюнити по поводу не то чтобы восстановления пароля, я тупо в почту зайти не могу через браузер.
Суть проблемы: есть гугловский ящик, который использовался для всяких там регистраций. С него почтовик собирает почту по pop3, а через веб-морду я заходил туда раза 2-3 всего.
Захотел сменить пароль, пытаюсь зайти, а мне выдается: «Мы не уверены, что это вы. Пройдите процедуру сброса пароля». Ну ок, запускаю процедуру. Спрашивает последний пароль, который помню (спасибо, keepass), спрашивает дату создания аккаунта — ок, ввожу, спрашивает другой ящик для отправки кода — пишу, получаю код, ввожу код: «Извините, но мы все равно не уверены, что это вы. Доступ невозможен!»
Все! В собственный ящик не могу зайти!
Человеческой поддержки у них нет — сервис типа бесплатный, не положено. В коммьюнити сотни таких тем. В день по 10 новых открывают. Кому-то везет и сотрудники идут на уступку. Мне же отказали даже при том факте, что я могу читать письма с того ящика.
Причина — не заходил год в веб-морду. За этот год я переехал, переустановил винду, пересел на фаерфокс. Гугл считает, что этого достаточно, чтобы лишить меня аккаунта, которым я пользуюсь 5 лет. Благо, у меня к этому акку только всякие одноразовые регистрации привязаны. Но я теперь за другой ящик переживать начинаю. Вдруг и туда перестанет пускать.
Не использовал ранее приложения для авторизаций.
Двухэтапная — SMS с кодом
Двухфакторная — TOTP
А какая разница, смс или TOTP? Первый фактор/этап ведь пароль. Это два названия одного подхода.
Вот у Namecheap приходит смс, у множества других сервисов типа GitHub, Google, Facecbook, vk.com — TOTP. Это сути не меняет.
Вообще имело бы смысл указать это в статье или даже поменять заголовок, чтобы не путать людей.
«Безопасность системы равна безопасности самого слабого звена» — об этом нельзя забывать. Можно иметь хоть десять факторов входа, но если их все можно сбросить через контроль над почтой — система слаба.
> Двухфакторная — TOTP
Это откуда такая классификация?
Зайдём с другого конца, с чего вы взяли, что TOTP через приложение фактором является?
2. Я такое ни с чего не брал, это так везде пишут. Согласен, что приложение тоже не очень похоже на фактор «я имею». И я бы его тоже определил как этап, а не фактор, как и Google prompt.
Напрашивается аналогия о квадрокоптере за окном, подглядывающим мои пароли. КМК такие частности это не убирает «факторность», они оправдывают саму многофакторность.
Чем второй этап (после пароля) отличается от ввода второго фактора (после пароля)?
Нет, смс это фактор "имею" (имею телефон). Этот код каждый раз разный, вы его наперед не знаете и подобрать не можете не имея в руках телефон, на который приходит код (уязвимости мобильных сетей здесь не учитываем, смс только один из способов).
Хак мобильной сети или ОС телефона это надежность второго фактора, она никак не влияет на первый (если восстановление пароля проходит через email, а доступ к email у вас через тот же телефон и смс то кто тут вам доктор). Статья же в заголовке этого не декларирует, поэтому я переживаю что люди начнут отказываться от второго фактора "потому что я это где-то читал/слышал".
Для её получения (при условии надежности сети) нужен телефон. Иначе можно сказать что телефон можно хакнуть удаленно и получить доступ к приложению, генерирующему токены, то есть телефон опять перестал быть вторым фактором. Но это всё не проблемы сервиса, использующего двухфакторную аутентификацию. Это всё ещё совершенно другой способ подтвердить что вы это вы с точки зрения сервиса. Сервис генерирует одноразовый токен и отправляет по смс. То, что канал доставки скомпрометирован на вашей стороне не проблема сервиса.
Это скорее проблема реализации, чем подхода. К примеру, у вас вместо смс может быть отправка сообщения в Tox на заранее согласованный профиль. Суть остается той же, но перехват сообщения без доступа к устройству с профилем Tox становится невозможным.
Для Украины также актуально подписать контракт на основные симки всей семьи + симку в шкафу, + узнать у оператора про различные дополнительные опции по защите номера.
А если sim на контракте, наверное, так просто «отобрать» нельзя будет (кто лучше владеет материалом, поправьте).
Блокировка подразумевает под собой два периода — первые на 60 суток, в течении которых можно принимать входящие звонки и смс, и вторые 30, в течении которых карта полностью оффлайн но может быть восстановлена через обращение в КЦ оператора. После полной блокировки номер уходит в перевыпуск после отстойника на ещё… месяцев.
У двух других больших операторов схема ± та же. Все таки номерная емкость дорогая штука.
Да, забыл- это касается только абонентов предоплаты. Контрактные номера (дополнительные) могут лежать без дела голами, при условии пользования любым другим номером на контракте.
Интересно, есть в мире операторы с большим сроком неактивности, чем год?
В любом случае высказанное мной пожелание — задача больше административная.
https://en.wikipedia.org/wiki/Universal_2nd_Factor
Двухэтапная аутентификация в браузере с помощью USB-токена U2F
не реклама просто пример решения
Двухэтапная аутентификация. Хорошая идея, но на практике только упрощающая получение доступа к вашим данным, т.к. включает в себя слишком много дополнительных участников, которые тоже могут иметь свои уязвимости.
То есть ее придумали (и мало того, активно используют как люди так и различные структуры самого разного уровня) для того, чтобы упростить взлом? Может не надо так резко?
Я правильно понимаю, что единственный способ (помимо keylogger) сменить пароль к моему аккаунту — это получить у провайдера дубликат моей симки с новым ПИН-кодом?
Ловить карту жертве могут в любое время суток, но получать дубликат — только в рабочие часы точек обслуживания. И это требует обращения в точку, а значит и времени. У жертвы больше шансов увидев отсутствие сигнала на трубке обратиться в тому же оператору и пройдя идентификацию отменить заявку.
С ЛК в этом смысле значительно проще. Хотя тут и цели разные, наверное
«Звонок другу» в конце концов :)
но в таких случаях правильно писали выше: ССЗБ
По поводу стати, она для домохозяек который используют один пароль и одну почту для всего, для людей которые хоть чуть чуть задумывают о безопасности, она не актуальна в принципе:
кейс первый — завладев моим смартфоном могут узнать мой гугловский аккаунт и даже угнать его допустим, но единственное что я потеряю, это телефонную книжку, и плеймаркет гугловский. ВСЕ остальные данные на других не связанных аккаунтах, о которых из телефона в принципе не узнать. Код восстановления привязан на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
кейс второй — откуда злоумышленнику знать хотя бы номер второй сим карты которая нигде не светится и не используется для коммуникаций?
кейс третий — третий кейс, не работает по той же причине что и второй.
Решение как всегда стандартное и старое — используйте разные пароли для разных целей, используйте различные не связанные между собой почтовые ящики для разных сервисов, и несколько лет назад к этому добавилось еще — используйте разные номера телефонов. Вот и все.
А так, могу написать такую же статью «Использовать нескольких почтовых ящиков/паролей — давай до свидания»
В целом же, давайте не мешать в кашу все вместе.
Втоая часть вашего комментария полностью верна: с использованием разных номеров телефона, разных и никак не связанных между собой учёток — такие (да и другие, думаю), атаки на ваши данные опис. методами, логично, исключены.
Многие так заморачиваются такими с схемами? К сожалению нет.
По поводу же остального комментария — какая разница, какой пароль (одинаковый или нет) на разных сервисах, если в итоге есть возможность получить доступ не используя пароля вообще? Выше в комментариях выложил картинку- имея только телефон без всяких проблем сменил себе пароль в G.
По поводу телефонной книжки и аккаунта в play market- тут каждому своё. Допустим я ценю свою телефонную книгу больше стоимости устройства, а на учётной записи AppStore у меня подвязаны ещё 5 устройств, которые легко могут уйти в lost режим в случае доступа того, кому это понадобится и куплено приложений на большую сумму, так что у меня потеря как то не воспринималась бы как «ай, и ладно».
Пост был о том, что не следует везде использовать такую удобную и крутую штуку как номер телефона, и не следует доверять защиту своих данных операторам и прочим.
Для вас это и так очевидно? Это хорошо, я за вас рад.
Дело в том, что вы предлагает не использовать то, что не использовать невозможно в обычной жизни. Во всяком случае это будет выглядеть как извращение. Как написали в комментариях — не позаботились о простейшей безопасности и по надеялись на других людей которым в большинстве случаев это не важно? — ССЗБ.
Есть такая замечательная книжка от Кевина Митника, то что там описано, сейчас элементарно можно применять в России, потому что культуры безопасности у нас нет. Звонишь, представляешь сотрудником ит отдела и тебе все предоставят, включая удаленный доступ, потому что никто айтишников никогда в глаза не видел, а про «безопасность» слышали только в фильмах. И это не фантазии, я лично путал телефонный номер и звонил не на ту фирму, и народ пытался найти указанный мной компьютер, было весело.
«Разве все эти действия не требуют личного присутствия с паспортом у оператора? До сих пор не всякие тарифы можно через личный кабинет поменять, а вы хотите дубликат симки.»
Был недавно случай в Германии по банковским махинациям с mTAN. Преступники использовали трояна или присылали Phishing-письма с переадрессацией на поддельный сайт банка, где пользователи заносили свои данные как номер банковского счёта и номер мобилки. Потом преступники звонили провайдеру (при чём самому крупному провайдеру в Германии) и представлялись как продавцы мобилок/сим-карт. Провайдеру они говорили, что к ним в «магазин» пришли люди, которые потеряли симку и поросили выслать новую на адресс этого «магазина». Потом с дубликатом симки переводили деньги со счёта с помощью mTAN.
Вот так просто можно было получить дубликат симки. После этого случая сказали, что усложнят систему, но кто их знает.
(Пруф этой истории: https://www.heise.de/security/meldung/Online-Banking-Neue-Angriffe-auf-die-mTAN-2851624.html)
на другую сим карту в другом аппарате, который используется только для восстановления и входа в банк клиенты.
Сейчас набирают обороты такие системы как Apple Pay, где всё идёт через смартфон. Удобно. Тут уже способ с двумя мобилками не проканает. Да можно отказаться от них и везде платить наличными, но так же можно и отказаться от смартфона и использовать только мобилку с функцией звонилки.
Я пока такими системами не пользуюсь и банковский счёт у меня к смартфону не привязан, но уже на Западе поговаривают об отмене наличных. У скандинавов вообще чуть ли не 80% расчётов идёт безналичными.
кейс №2: переадресация СМС? У кого? В Киевстар мне два раза пытались подобрать вход в личный кабинет — закончилось перезвоном оператора и одновременной блокировкой номера до моего визита в СЦ
кейс №3: фантазии на тему ограбления какого-то предпринимателя в Симферополе зимой 2013/14 через сотрудников местного офиса Киевстар (выпустили СИМ-карту двойника номера предпринимателя). От таких маневров не спасут никакие системы персональной защиты, если СБ сервиса протупила.
В общем все эти кейсы просто фантазии автора на тему имеющихся махинаций с применением спецслужб или откровенный криминалитет. Хотя история с «Телеграмом» кое-кого так и не получила однозначного объяснения — возможно и фантазии.
Сим карту блокировать — верный шаг, но конкретно в моем случае, не хотелось этого делать сразу т.к. была надежда, что человек засветит свое местоположение через iCloud и мобильный интернет.
о кейсе №3 вашего комментария: я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
Повторю еще раз: ССЗБ (сам себе злобный буратино). Больше мне добавить нечего.
> я не знаю об этой ситуации, но случаи мошенничества с ПБ24 через подмену сим карты (предоплаты) — распространенное явление. я вас уверяю, как бывший сотрудник телекома.
Телекомам таким надо яйца отрывать за набор на работу непонятно кого за непонятно какие деньги и совершенно безконтрольно. Из-за вас при малейшем нестандарте от типовых входов мне «Приват24» теперь голосом оператора звонит и требует подтверждения операции. И что мне делать, когда телефон принял вызов и отрубился из-за батареи? :)
PS
Вы явно не бывший сотрудник «КС»/«МТС». Life:)?
Контрактным абонентам обычно проще. А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
на счет PS, да просто бывший и всё :)
Контрактным абонентам обычно проще.
И чего это я с 1999 года на контракте сижу? Неужели только из-за статуса «золотого абонента»? :) Вести что-то важное через анонимные средства доступа может только полный даун. ССЗБ.
> А получение доступа к ЛК предоплаты, которые в Украине продаются без идентификации лица — не представляет особой проблемы.
Так на то оно и анонимное, что ты обезличен для оператора. Еще раз: ССЗБ.
PS
«От жлобства одни неудобства» © народная мудрость
«Скупой платит дважды» © народная мудрость
Всего есть 4 фактора: ты что-то знаешь, у тебя что-то есть, ты находишься в определённом месте и ты являешься кем-то. В применении к компьютерной авторизации это, соответственно: пароль, одноразовый пароль сгенерированый на устройстве, гео-локация и сканер отпечатка/сетчатки/etc.
Для того что бы авторизация была именно двухфакторной, эти самые факторы должны быть разными. И вот тут основное отличие. Если одноразовый пароль присылают по СМС, в почту или как-то ещё, то работает фактор знания. Для того, что бы работал фактор владения, то этот пароль должен генерироваться непосредственно у тебя в руках. Это может быть Google-authenticator, E-NUM, аппаратный токен.
А по статье — соглашусь с мнением somniator. И, наверное, nazarpc. Но он не смог внятно аргументировать позицию. То, что пароль можно восстановить, имея на руках телефон жертвы (или доступ к СМС), никак не связано с двухэтапной аутентификацией. Последняя может быть вообще отключена, а пароль через СМС сбросить можно будет.
Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент.
И как же можно узнать Apple ID? Недавно на работе не могли разлочить айпад бывшего сотрудника.
Sending text messages from a website like Skype or Facebook to your Google number currently won't be received. This is because these websites treat text messages as though they are sending a text message to an email address, which Google Voice doesn’t support. Please contact the other provider for further information.© Google
Кстати, что заметил, если открыть верхнюю шторку с уведомлениями, то там есть поле поиска и буфер обмена таким образом открыт — я вставил какой-то телефон, который копировал ранее из контактов в мессенджер. Никак с топиком не связано, просто интересный факт.
Вообще же, если отключать все, что теоретически может повлечь за собой проблемы и риски, можно вообще просто не включать телефон :)
Шучу конечно.
Тут уже давали ссылку, я лишь ещё раз её повторю, т.к. именно она полностью сделала для меня видимой разницу между двухэтапной/двухфакторной аутентификацией: http://www.outsidethebox.ms/18372/
Ну и на Wiki так же доступно написано: https://ru.wikipedia.org/wiki/Многофакторная_аутентификация
Кстати говоря, есть вполне доступные, «попсовые» токены, которые могут быть более надёжной альтернативой OTP на смартфоне и уж тем более SMS. Например такой: http://www.aladdin-rd.ru/catalog/jacarta_u2f/ (от Российского производителя и продаётся у нас) либо такой https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/ (в РФ, как я понял, его не найти, только ebay/ali/etc)
На первом аппаратном токене, от Джакарты, при аутентификации надо нажать на токене на аппаратную кнопочку, тогда аутентификация успешно проходит. Есть ли на аппаратном токене от Yubikey такое — не знаю.
Вот тут есть список сервисов, которые поддерживают аппаратные U2F-токены: http://www.dongleauth.info/#email
На хабре про U2F как минимум пара статей точно есть:
https://habrahabr.ru/post/256579/
https://habrahabr.ru/post/305508/
Теоретически, можно отвязать от сервиса телефон, добавить туда аппаратный токен, добавить OTP. Хранить токен дома, а OTP иметь на телефоне. ИМХО, в данном случае сочетается удобство и приемлемая безопасность — когда нужно на новом устройстве аутентифицироваться, то используется OTP, однако в случае, когда OTP более недоступен (утеря смартфона, его поломка), то всегда можно с помощью токена зайти. Так же есть Резервные коды, которые так же можно хранить рядом с аппаратным токеном (вдруг поломается). Другое дело, что всё вышеперечисленное есть у Gmail и, вроде, у Mail.Ru, но у подавляющего большинства остальных — такого нет.
Yubico поддерживает U2F, более того, есть даже дешевые ключики по 5$ (точнее были, на момент написания комментария на амазоне пока нет в наличии, но можно же погуглить… :) )
На гмайл для привязки токена все равно нужно вводить телефон. Возможно ли привязяв токен, удалить телефон — не в курсе.
Ответы требуемые странице могут отличаться, но если устройство не новое, то часто доступен метод «девайс», с получением пуша на устройстве.
К тебе подходят типы со стволом и просят перерегистрировать айфон на одного из них…
К тебе подходят типы со стволом и просят перерегистрировать айфон на одного из них…
Лучше терморектальный криптоанализатор :)
О других операторах не могу утверждать.
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Возможно, такие действия сотрудников оцениваются процедурно, при еже*(дневной? месячной? квартальной?) аттестации сотрудника с выбором рандомных разговоров (например) и с снятием рубля за действия не по процедуре, но что они ВООБЩЕ никак не могут увидеть информацию… очень маловероятно.
В КС стоит подобная «аппаратная» система? Т.е. не административный запрет, а конкретно, технический?
Честно говоря, если так — то рад за них (без иронии), но верится слабо — если я банально утерял карту или мой телефон сел, и мне нужно обращаясь с одного номера, получить информацию или что то предпринять по другому (пройдя идентификацию в зависимости от процедуры), не должны отказывать.
Таки Вы не работали в КС, как я и предположил :)))
Банальное разделение прав доступа — такой переход делается через передачу вызова на «старшего по смене» или через СБ. Никаких проблем.
И если раньше в КС было «не лазать туда, не делать того, иначе бо-бо», то сейчас пришли к автоматизации сего действа. Которая так или иначе глубже контролирует сотрудников.
Т.е. я хотел сказать, что указанный автором третий кейс маловероятен. По крайней мере у некоторых сотовых операторов.
Может среди остальных читателей geektimes найдется кто-то из реального КС и прольет свет на этот кейс?
Двухэтапная аутентификация может использовать токен.
Или приложение.
В одном из банков с которым я имел дело для доступа в интернет банкинг тебе нужен пароль и цифровой код генерируемый аппаратным токеном.
Такая двухэтапная аутентификация безопасней чем использование одного пароля.
Двухэтапная аутентификация может использовать токен
Тогда это уже будет двухфакторная. И да, она намного безопаснее.
Двухэтапная аутентификация — давай до свидания