Комментарии 108
2-хфакторная авторизация тоже не панацея, пример — недавний скандал с Телеграмм. Но соглашусь, «угнать» аккаунт таким образом сложнее, да и Ваши предложения тоже вполне достойны. К слову о авторизации по e-mail адресу, не представляю как можно было додуматься до той схемы что сейчас реализована в процессе входа в учётную запись Microsoft.com/Outlook.com — вводишь почту, затем пароль, и на следующем шаге для верификации твоей личности ты должен снова ввести свою почту…
Двухфакторая авторизация через usb token.
Замечу, что двухфакторная авторизация ВК возможна через пароль+TOTP, когда как в телеграмме только телефон+пароль
А есть знающие про Google Authenticator? VK его поддерживает в том числе. Выглядит как неплохое решение проблемы со взломом, правда я не знаю как оно устроено внутри.
У него есть огромный недостаток: если продинамил ключ, то все — это с концами, придется восстанавливать доступ через техподдержку. Работает он весьма просто: там есть ключ, по которому и сервер и клиент могут генерировать последовательности байт, последовательность зависит от временных промежутков и если время на клиенте и сервере примерно совпадают, то будут сгенерированы одинаковые последовательности, которые уже и сравниваются. Только у владельца ключа получится сгенерировать правильную последовательность и соответственно залогинится. Как становится из этого понятно, потеря ключа равносильна потери возможности логинится.
> потеря ключа равносильна потере возможности логиниться.
Это не так. Потеря ключа означает потерю возможности ЛОГИНИТЬСЯ С НОВЫХ УСТРОЙСТВ И БРАУЗЕРОВ. Со старых устройств/браузеров заходите и отключаете/меняете GA.
Это не так. Потеря ключа означает потерю возможности ЛОГИНИТЬСЯ С НОВЫХ УСТРОЙСТВ И БРАУЗЕРОВ. Со старых устройств/браузеров заходите и отключаете/меняете GA.
Так подождите. Обычно кроме TOTP-токена, полученного из приложения, у пользователя есть минимум два пути — возможность получить TOTP-токен по смс и перманентный ключ для отключения TOTP этапа.
Все это взять и сразу потерять надо умудриться. Тем более, что сим-карту можно достаточно легко восстановить.
Все это взять и сразу потерять надо умудриться. Тем более, что сим-карту можно достаточно легко восстановить.
Потеря возможности подтверждать вход через Google Authenticator? Ну это не проблема. И у VK и у Google можно воспользоваться резервными кодами или получить код по SMS.
Не пользуюсь Телеграм и аналогичными из-за авторизации по СМС. Хотел бы пользоваться, но при каждом входе вводить СМС… Это приемлемо для личного смартфона, но вот для рабочего компа, например, крайне неудобно… Асечка форэвер.
Очень понравилось последнее предложение постскриптума.)
Очень понравилось последнее предложение постскриптума.)
вы хотите и рыбку съесть и на люстре покататься, тут или безопасность или скорость входа, в телеграче не смс приходит а сообщение в уже авторизированный клиент и ввести несколько цифр не составляет труда
Пардон, я пытался его запустить только дважды (в виндоус) и дважды приходило СМС. Когда разлогиневаешься, клиент ведь перестаёт быть авторизованным?
Например, в Стим, когда выглядишь подозрительно, тебе приходит код доступа на привязанную почту. Для меня идеальным вариантом было бы СМС, которое запрашивают только при «подозрительном» входе. Например, при изменении ip, страны или новом МАС адресе. Я не параноик, меня и авторизация с почтой вполне устраивает. Разлогиневаюсь только потому, что в моё отсутствие коллеги компьютером могут воспользоваться.
Например, в Стим, когда выглядишь подозрительно, тебе приходит код доступа на привязанную почту. Для меня идеальным вариантом было бы СМС, которое запрашивают только при «подозрительном» входе. Например, при изменении ip, страны или новом МАС адресе. Я не параноик, меня и авторизация с почтой вполне устраивает. Разлогиневаюсь только потому, что в моё отсутствие коллеги компьютером могут воспользоваться.
… или новом МАС адресе
Если авторизационный сервер телеграмма каким-то образом сможет узнать MAC-адрес вашей сетевой карты, то это будет реальный повод для паранойи.
В остальном — скажите, а зачем вы вообще разлогиниваетесь? В этом есть какой-то высший смысл?
Про МАС адрес загнул я, конечно.Клиент может его хэшировать и отправлять на сервер хэш, например.
Зачем? Перечитайте последнее предложение.
Зачем? Перечитайте последнее предложение.
Клиент может его хэшировать и отправлять на сервер хэш, например.
Если вы закладываетесь на что-то, что отправляет клиент, то лучше этим «что-то» будет случайный ключ.
Перечитайте последнее предложение.
Перечитал. Это решается не выходом из Телеграмма и других сервисов с авторизацией, а раздельными аккаунтами на машине. Если уж совсем нельзя раздельные аккаунты, то это может быть том VeraCrypt, на котором и будет, собственно, лежать телеграмм со всей своей историей.
Зависит от организации и требований безопасности. У меня на одном из компьютеров даже UAC отключен, так что говорить о раздельных аккаунтах не приходится. Не говоря о том, что раздельные аккаунты это жутко неудобно (Очень ИМХО, свою точку зрения не навязываю, но держать с десяток аккаунтов на одной машине...). Лично меня на 99% устраивает аська с авторизацией через почту-пароль. Не 100%, потому что при слове «аська» на меня удивлённо выпучивают глаза…
(Очень ИМХО, свою точку зрения не навязываю, но держать с десяток аккаунтов на одной машине...)
А что в этом такого? Наоборот, сейчас мейнстрим контейнерный подход, где целый chroot, не то, что какого-то юзера, выделяют всего на одно приложение!
Так что сотни юзеров на машину, особенно если их скрыть с экрана приветствия, ИМХО, самое то :)
Поставьте портабл клиент на флешку… и не надо будет выходить…
у вас небось еще и сеть без контроллера домена? а что мешает поставить телеграч на телефон и в него будет приходить код авторизации для настольной версии?
Пардон, я пытался его запустить только дважды (в виндоус) и дважды приходило СМС.
В Linux я решаю это с помощью скрипта, думаю, в Windows, с помощью powershell, можно сделать что-то подобное:
Скрытый текст
cat /usr/local/bin/new_tg
#!/bin/sh
USER=$1
xhost +LOCAL:
exec sudo -H -u $USER /usr/local/bin/new_tg.sh $USER
====Второй скрипт:====
cat /usr/local/bin/new_tg.sh
#!/bin/sh
[ -z "$DISPLAY" ] && DISPLAY=:0.0
export DISPLAY
/opt/Telegram/Telegram
Первоначально это делала с помощью docker контейнера на каждый инстанс телеграмма, но потом поняла, что можно сделать гораздо проще.
Решение требует по служебному системному юзеру на каждый инстанс телеграмма. В Убунте — у меня центос на десктопе — может не заработать искоропки из-за прав на доступ к X-сокету (это решаемо, кому интересно, подскажу в личке).
Когда разлогиневаешься, клиент ведь перестаёт быть авторизованным?
Да, а зачем разлогиниваться?
Например, при изменении ip, страны или новом МАС адресе. Я не параноик, меня и авторизация с почтой вполне устраивает.
Про MAC адрес звучит всё же как паранойя…
Разлогиневаюсь только потому, что в моё отсутствие коллеги компьютером могут воспользоваться.
Нужно завести для коллег другого системного пользователя, и не разлогиниваться из телеграмма, но разлогиниваться из системы. Windows поддерживает нескольких пользователей, и их придумали именно с этой целью.
А теперь сравните bash/docker/VM, отдельный аккаунт с авторизацией по логину паролю?
Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа. На мой страх и риск.
Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.
Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа. На мой страх и риск.
Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.
А теперь сравните bash/docker/VM, отдельный аккаунт с авторизацией по логину паролю?
Сравнила, и не поняла к чему Вы ведёте. Если к сложностям в логине в операционную систему (нужны лишние действия), то никто не мешает убрать пароль, либо сделать авторизацию, через, например, bluetooth и тот же фитнес-браслет или смартвотч.
Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа.
Вам не нужна в телеграмме двухфакторная авторизация всегда. Просто не разлогинивайтесь из клиента, и у Вас клиент не будет спрашивать ничего.
Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.
Я использую для получения SMS SaaS сервис (просьба не считать за рекламу, просто привожу его в спойлере как пример)
Скрытый текст
Я правильно понял, что можно на стороннем сайте получить «виртуальный» номер, к которому привязать аккаунт телеграмма и получать СМС через этот сайт? Вот лично по мне, лучше я создам персонально телеграмский почтовый ящик с длиннющим паролем, чем буду данные авторизации через «левый» сайт проводить. Не знаю, насколько они безопасны, использовал подобный сервис только для одноразовой авторизации на каком-то сайте.
Я правильно понял, что можно на стороннем сайте получить «виртуальный» номер, к которому привязать аккаунт телеграмма и получать СМС через этот сайт?
Не только телеграмм. Я для всех сервисов в интернете, включая, например, гугл, делаю разовые аккаунты таким образом.
Для разовых никаких вопросов. В Bing и ещё где-то именно так и создавал аккаунты. Но мессенджер же не на один раз ставится. А так вы добровольно лишаетесь «последнего шанса» вернуть украденный аккаунт, потому что СМС если и придёт, то не вам…
Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)
Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)
А так вы добровольно лишаетесь «последнего шанса» вернуть украденный аккаунт, потому что СМС если и придёт, то не вам…
Двухфакторная авторизация же. Аккаунт менее важен, чем информация в переписке. Вотсапп и телеграмм устроены таким образом, что используют Вашу телефонную адресную книгу на смартфоне(большинство именно так его и используют, на телефоне, но некоторые так же ставят мессенджер и на компьютер), так что если основной Ваш круг общения люди, с кем Вы общаетесь IRL, то Вы не потеряетесь при смене телефонного номера и даже телеграмм аккаунта.
А вот то, что кто-то будет читать Вашу переписку, получив тот же самый номер телефона (например, если Вы не использовали сим-карту), это очень неприятно.
Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)
Нужно, ИМХО, просто перестать делать нестадартное — перестать использовать десятком человек одного системного юзера. У Вас наверняка из-за этого куча других подводных камней всплыла, только Вы их может быть не замечаете.
Не знаю, может ещё какие-то проблемы и есть, но никто не жалуется.)
Проблемы безопасности не в счёт, разумеется. Нарочное вредительство иными методами пресекается, вирусня пониженными привилегиями и антивирусом (насколько это вообще может защитить). Так что вопрос только в том, что коллеги могут прочитать то, что им не предназначено.
Проблемы безопасности не в счёт, разумеется. Нарочное вредительство иными методами пресекается, вирусня пониженными привилегиями и антивирусом (насколько это вообще может защитить). Так что вопрос только в том, что коллеги могут прочитать то, что им не предназначено.
Вот, например, веб-серфинг — это же удобно иметь для каждого человека свой набор «избранного», да даже я не знаю, иконок на рабочем столе, и файлов :(
То, что Вы делаете — это грабли, ИМХО.
IT устроено таким образом, что если у Вас нет особенных причин, самый правильный способ это самый стандартный. Именно он позволит избежать прикопанных граблей.
То, что Вы делаете — это грабли, ИМХО.
IT устроено таким образом, что если у Вас нет особенных причин, самый правильный способ это самый стандартный. Именно он позволит избежать прикопанных граблей.
Я выше описал конкретный вариант использования одного компьютера несколькими сотрудниками. Буквально одна конкретная программа, которая работает только в этом конкретном окружении на конкретном оборудовании (Из последних радостей — апдэйт программы, из-за которого не работают некоторые из нужных модулей, при этом другие нужные модули работают только с этим апдэйтом. Спасает только то, что одновременно этими модулями пользоваться не обязательно и можно на разных машинах посидеть. ). Никаких своих обоев, расположения иконок и тем более, веб-сёрфинга.
А как насчёт run as?
А как на счёт авторизации по логину-паролю?
Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?
Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?
Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?
Смотрите, пользователь — вовсе не обязательно что-то живое. Системный аккаунт под каждый новый демон это хорошая идея ещё с 80-х годов.
Вот у Вас есть софт, он требует какую-то среду, настроенную под отдельную учётку, для работы с оборудованием, так? Тоже самое, как я не знаю, банальный Nginx, тоже запускается под своим юзером.
Отдельный юзер под приложение — это хорошо. Это усечённый вариант той идеалогии, что предлагается Docker.
. Буквально одна конкретная программа, которая работает только в этом конкретном окружении на конкретном оборудовании
Вот пусть Ваш софт и работает под настроенной учёткой, и пользователи делают run as для его запуска. Выглядит более элегантно, безопасно (хотя бы меньше возможностей юзерам сломать какие-то настройки среды, особенно если запускать софт скриптом!)
Что значит «не разлогинивайтесь»???
Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда. Тут даже не в мошенниках дело.
Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.
Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда. Тут даже не в мошенниках дело.
Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.
Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.
Мне кажется, всё дело в нестандартном подходе. Steam на работе и один системный пользователь на всех в офисе — это нестандартный подход, так никто не делает, кроме Вашей компании. Если Вы делаете что-то странным образом, то как правило, получаете какие-то грабли…
Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
Это я к тому, что если вы чего то не видите у себя в компании — это не значит что этого нет, или это не норма.
Норма — разлогиниваться, и иметь возможность удобно это делать.
В офисе разлогиниваться, или где-то еще — не принципиальный вопрос.
Это я к тому, что если вы чего то не видите у себя в компании — это не значит что этого нет, или это не норма.
Норма — разлогиниваться, и иметь возможность удобно это делать.
В офисе разлогиниваться, или где-то еще — не принципиальный вопрос.
Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
Окей, тут Вы правы. А зачем один системный пользователь на всех всё же не ясно. Это выглядит очень странно. Почему бы не использовать механизм, имплементированный создателем ОС специально для таких случаев?
Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
Есть геймдев под веб, есть геймдев для мобильных устройств. Стим там не нужен.
Норма — разлогиниваться, и иметь возможность удобно это делать.
Пользоваться личным, а не рабочим IM в офисе — не норма.
Делить свой рабочий компьютер с другими коллегами — не норма.
В настройках «Turn on local passcode»
скрин
В телеграме есть локальный пароль (и в мобильном клиенте, и в десктопном, с разницей — в мобильном 4 цифры, на ПК любой пароль), плюс таймаут блокировки (жалко, не настраивается гибко — фиксированные 1м / 5м / 1ч / 5ч). Локальный пароль индивидуален для каждой сессии. На работе стоит таймаут блокировки одна минута — чаще всего можно не блокировать вручную.
Что значит «не разлогинивайтесь»???
Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда.
В десктопном клиенте есть возможность поставить локальный пароль. Все просто же. Ушел — залочил. Да или оно само залочится через установленный интервал неактивности клиента.
На компьютере нет блютус. Покупать смартвотч ради авторизации в мессенджере — немного глупо, на мой взгляд.
И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?
И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?
Покупать смартвотч ради авторизации в мессенджере — немного глупо, на мой взгляд.
Ради авторизации в операционной системе.
На компьютере нет блютус.
$1 доллар или что-то вроде того на Амазоне за USB-брелок
И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?
Если номер оформлен на Ваше имя, то оператор делает вам новую сим-карту с тем же номером. Если же, например, переезжаете в новую страну, и хотите сменить номер телефона, то в телеграмме можно сменить телефон.
Тут гораздо более опасный вопрос другой — если забить на использование симкарты, то оператор может отдать телефонный номер другому человеку, и… он увидит всю вашу переписку в не-секретных чатах, когда залогинится в телеграмм. Это причина, почему двухфакторная авторизация телеграмма всё же хорошая идея.
В Стиме уже поправили неудобство с подтверждением по электронной почте — теперь приходит push-уведомление в Стим на смартфоне (в эту программу встроен генератор ключей).
По почте код подтверждения приходит только в том случае, если Стим на смартфоне не установлен.
По почте код подтверждения приходит только в том случае, если Стим на смартфоне не установлен.
Local passcode спасет отца русской демократии.
Стыдно признаться, но не знаю, что это. На первой странице гугла ничего внятного не выдаёт.
В Telegram открываете Settings -> раздел Privacy and Security -> Turn on local passcode
По сути — установка пароля на запуск приложения, есть удобная блокировка (например, если надо отойти от рабочего места, хотя и тут Win+L является хорошим тоном), а также автоблокировка по таймеру.
По сути — установка пароля на запуск приложения, есть удобная блокировка (например, если надо отойти от рабочего места, хотя и тут Win+L является хорошим тоном), а также автоблокировка по таймеру.
Это та самая двухфакторная авторизация, о которой я Вам писала, но названная «просто, молодежно».
Меня всегда удивляет, что есть такое множество людей, которые не хотят ни во что вникать не на форуме домохозяек, а на сайте гиктаймс. Ведь это сайт, где собираются люди, ставящие Linux на чайники :( Что Вы тут делаете?
Меня всегда удивляет, что есть такое множество людей, которые не хотят ни во что вникать не на форуме домохозяек, а на сайте гиктаймс. Ведь это сайт, где собираются люди, ставящие Linux на чайники :( Что Вы тут делаете?
Я не обязан разбираться во всех мессенджерах, только потому, что это круто. Я не обязан разбираться в мессенджерах, которые мне неудобны и я не обязан выискивать все их специальные возможности, просто чтобы делать банальные вещи.
localpasscode это не то, что мне нужно, т.к. хотя бы раз надо ввести номер телефона.
В следующий раз я обязательно Вас спрошу, можно ли мне читать сайт… любой сайт.)
localpasscode это не то, что мне нужно, т.к. хотя бы раз надо ввести номер телефона.
В следующий раз я обязательно Вас спрошу, можно ли мне читать сайт… любой сайт.)
Я не обязан разбираться во всех мессенджерах, только потому, что это круто.
Зато Вы, по всей видимости, работаете в IT, принимая странные решения вроде шаринга одного системного аккаунта на десяток реальных человек. Не всегда то, что «просто, молодёжно», и позволяет «не парится», и не читать/не юзучать технологии, с которыми Вы работаете, оказывается действительно простым решением при эксплуатации.
Правильные и простые решения часто требуют определенных знаний и какой-то архитектуры, которая не кажется простой тому, кто не вникал в вопрос из-за недостатка знаний(а на самом деле для тех, кто в теме, она элегантна и проста). Правильное решение для новичка — это сделать так, как делают все.
Сделали бы вы разных пользователей на каждого реального человека, пользующегося рабочей станцией, как это делают всегда, у Вас бы ни с этим, ни с чем другим проблем не было
Если вдруг вы решите ввести свои данные на фишинговом сайте...Улыбнуло.)
> Если вдруг вы решите ввести свои данные на фишинговом сайте
А зачем мне это делать? Лучше залогиниться под собой в настоящем vk.com, а сайт попросит разрешения на использование данных учётки. Ни на каких других сайтах вообще нельзя вводить свои данные для входа.
А зачем мне это делать? Лучше залогиниться под собой в настоящем vk.com, а сайт попросит разрешения на использование данных учётки. Ни на каких других сайтах вообще нельзя вводить свои данные для входа.
Лет пять назад вконтакте принудил привязать аккаунт к симкарте. С тех пор симкарта давно протухла. Неделю назад вероятно новый покупатель симкарты угнал аккаунт. Имея доступ к почте восстановить аккаунт невозможно.
Зарегал новый аккаунт на разовую симку.
Зарегал новый аккаунт на разовую симку.
Ну вы сам себе злобный буратино. Вероятно надо было регать аккаунт на постоянную SIM.
Через ТП это делается на раз, при подаче заявки самостоятельно могут отшить, но если предварительно напишет человек который состоял в друзьях, то тогда проблемную запись восстанавливают, единственное нужно будет фото с паспортом и при успехе заменят имя с фейкового на настоящее (либо удалят учетную запись окончательно если не хочется что бы настоящие ФИО засветились).
По скриншоту наоборот, более дешевый и популярный как ран майл/пароль.
Почему «наоборот»? Более дешёвый — да, потому что им сложнее воспользоваться, как пишет автор статьи. Более популярный среди покупателей скорее номер телефона / пароль, их меньше осталось
Их меньше предлагают и цена выше = их тяжелей получить.
По факту нужна статистика, а у нас с вами сейчас словоблудие.
По факту нужна статистика, а у нас с вами сейчас словоблудие.
Господи, покупателю всё равно, тяжело их получить или не тяжело! Ему важны только потребительские свойства — легко воспользоваться или сложно.
Отлично. Вы привели картинку от текущего предложения на одной из нелегальных бирж.
Что я вижу — одного товара сейчас больше и цена на него ниже.
Другого меньше, цена на него выше. И ВСЁ.
Никакой динамики эта картина не дает. Ни о каких предпочтениях не говорит. Это всего лишь предложение в один момент времени, не более.
Если VK сделает пресс-релиз по взломам — это будет статистика. Если биржа будет выставлять оборот по каждой услуге, то аналогично. Но на данный момент, все что есть — предложение на один момент времени.
Тут даже трэйдер форекса гадать не начнет.
Что я вижу — одного товара сейчас больше и цена на него ниже.
Другого меньше, цена на него выше. И ВСЁ.
Никакой динамики эта картина не дает. Ни о каких предпочтениях не говорит. Это всего лишь предложение в один момент времени, не более.
Если VK сделает пресс-релиз по взломам — это будет статистика. Если биржа будет выставлять оборот по каждой услуге, то аналогично. Но на данный момент, все что есть — предложение на один момент времени.
Тут даже трэйдер форекса гадать не начнет.
Каждый покупатель преследует свои цели. И узнать их можно только спросив его.
В связи с этим стоит изменить проверку пользователя, который входит с ip другой страны.
Например так:
Если с ip другой страны вводят почту и пароль, то спрашивать цифры телефона.
Если вводят номер телефона и пароль, то спрашивать часть почты.
Спрашивать имя или фамилию, а не цифры телефона
А если там есть только номер телефона и пароль? То есть не было указано ни какой почты?
Последний раз я вводил там пароль почти год назад — после переустановки системы. И всё это время авторизация сохраняется, и даже при смене страны в настройках vpn он всего лишь просит ввести номер без двух последних цифр!
Картинка с ценами на взлом противоречит написанному в статье.
номер: пароль 90 предложений по 7.95 р
почта: пароль 1430 предложений по 5.95 р
Так-что, судя по всему, переход на номер — увеличил степень защиты.
А так — стандартный парадокс.
Сделали удобно — авторизация через социальный сети.
А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…
Удобство и безопасность, часто вступают в противоречие…
номер: пароль 90 предложений по 7.95 р
почта: пароль 1430 предложений по 5.95 р
Так-что, судя по всему, переход на номер — увеличил степень защиты.
А так — стандартный парадокс.
Сделали удобно — авторизация через социальный сети.
А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…
Удобство и безопасность, часто вступают в противоречие…
Количество предложений тем меньше, чем больше уже купили. А что спрашивать на фишинговом сайте — телефон или почту, это каждый преступник сам решает, степень защиты одинаково определяется только сознательностью пользователя
«Количество предложений тем меньше, чем больше уже купили.» — откуда взято это умозаключение?
Сделали удобно — авторизация через социальный сети.
А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…
Надо не думать, а смотреть на адресную строку в браузере. А еще лучше — зайти во вконтакт, после чего не выходя из него попытаться зайти на другой сайт через vk.
Не стал привязывать аккаунт vk к симке.
За это сайт требует ввода капч на любой «чих».
К этому уже привык, но их клиент глючит:
когда перемещаешься по городу и во время разбора капчи — переключаешься на другую БСку (видимо это как-то влияет на сессию) — после ввода капчи выводится сообщение «Время сессии истекло» или что-то вроде такого и клиента вообще переклинивает: до полного вычищения программы из памяти не отправить сообщения, не прокомментировать ничего — переходишь в режим readonly.
За это сайт требует ввода капч на любой «чих».
К этому уже привык, но их клиент глючит:
когда перемещаешься по городу и во время разбора капчи — переключаешься на другую БСку (видимо это как-то влияет на сессию) — после ввода капчи выводится сообщение «Время сессии истекло» или что-то вроде такого и клиента вообще переклинивает: до полного вычищения программы из памяти не отправить сообщения, не прокомментировать ничего — переходишь в режим readonly.
Итак, что имеем (в случае с ВК особенно):
1. для регистрации требуется указать реальный номер телефона
2. требуется указывать реальные ФИО (если модераторы сочтут фейковыми, у вас не получится зарегистрироваться\сменить их), реальное фото на аватаре.
3. для доступа требуется залогиниться, либо уже залогинены, статус мессенжера выставляется онлайн, без возможности выставить его на невидимку.
таким образом,
1. вместо более надежной двуфакторной авторизации (причем опциональной) имеем кучу проблем при отсутствии\утере телефона
2. полная деанонимизация нормального аккаунта при 0 защите от фейков (левая симка, фоточка из инета и похожие на настоящие ФИО). таким образом, невозможность составить «виртуальную личность» и приходится прибегать к указанным «грязным» методам
3. невозможность без тех же выкрутасов зарегить два акка
4. любая активность информирует всех контактов, как минимум, что мы в сети.
и вишенка на торте:
что хуже для пользователя, попавшемуся на фишинг: утечка email+пароль+парочка картинок или утечка телефон+пароль+ФИО+фото(+другие реальные данные+тот же email)?
1. для регистрации требуется указать реальный номер телефона
2. требуется указывать реальные ФИО (если модераторы сочтут фейковыми, у вас не получится зарегистрироваться\сменить их), реальное фото на аватаре.
3. для доступа требуется залогиниться, либо уже залогинены, статус мессенжера выставляется онлайн, без возможности выставить его на невидимку.
таким образом,
1. вместо более надежной двуфакторной авторизации (причем опциональной) имеем кучу проблем при отсутствии\утере телефона
2. полная деанонимизация нормального аккаунта при 0 защите от фейков (левая симка, фоточка из инета и похожие на настоящие ФИО). таким образом, невозможность составить «виртуальную личность» и приходится прибегать к указанным «грязным» методам
3. невозможность без тех же выкрутасов зарегить два акка
4. любая активность информирует всех контактов, как минимум, что мы в сети.
и вишенка на торте:
что хуже для пользователя, попавшемуся на фишинг: утечка email+пароль+парочка картинок или утечка телефон+пароль+ФИО+фото(+другие реальные данные+тот же email)?
Имею три аккаунта вК:
— основной, с минимум френдов — которых реально знаю и все сообщения которых читаю.
— для игр, с тысячами френдов, которым шлю запросы на ресурсы и прочую мутотень
— для чтения развлекательных групп в свободное время, для всяких розыгрышей и прочего спама.
В принципе не понимаю, зачем мне три такие совершенно разные стратегии поведения смешивать на одном акаунте. Если бы была возможность нормальной настройки ленты и френдов, ещё как-то можно было бы объединить, но — зачем?
Теперь приходится поддерживать в рабочем состоянии две симки, а третья уже протухла (с группами), но не жалко, чёрт с ней.
В итоге исключительно неудобно.
— основной, с минимум френдов — которых реально знаю и все сообщения которых читаю.
— для игр, с тысячами френдов, которым шлю запросы на ресурсы и прочую мутотень
— для чтения развлекательных групп в свободное время, для всяких розыгрышей и прочего спама.
В принципе не понимаю, зачем мне три такие совершенно разные стратегии поведения смешивать на одном акаунте. Если бы была возможность нормальной настройки ленты и френдов, ещё как-то можно было бы объединить, но — зачем?
Теперь приходится поддерживать в рабочем состоянии две симки, а третья уже протухла (с группами), но не жалко, чёрт с ней.
В итоге исключительно неудобно.
Как же задолбали все эти любители двухфакторных нотификаций, мобильных телефонов и смс на короткий номер. Когда они будут гореть в аду, пусть им дадут доступ к интерфейсу, позволяющему немножко убавить накал адского пламени под собственной сковородкой, но только чтобы обязательно каждый раз надо было авторизовывовываться с применением всего арсенала их любимых технологий.
Лучше дать возможность вовсе отключить горелку — но только после авторизации через телефон. Телефон не давать.
Лично для меня вот самым удобным способом двухфакторной авторизации был бы 1) традиционный логин/пароль, 2) кодовые таблицы. Кодовые таблицы, если кто не знает, работают так: сайт при регистрации выдаёт таблицу, где по вертикали, скажем, цифры (от 0 до 9 или больше), по горизонтали буквы (A, B, C, D,...). А в ячейках — какие-то числа. При входе он просит ввести, например, числа из ячеек B7, F2 и C2. Ввёл правильно — добро пожаловать на сайт.
Это какой-то мягкотелый гуманизм получается. Которого они совершенно не заслуживают.
Надоели они со своими проверками:
1 постоянно могу сидеть из разных стран, т.к. часто пользуюсь торами, прокси, впнами — ну вот специфично мне — заходить из под нужной страны на сервера/сервисы т.к. мой данный диапазон ип не удовлетворяет.
2 двухфакторки и проверки по желанию — с возможностью включить, а не принудительно, жутко бесит тратить драгоценное время на подтверждения когда я достаточно нормально разбираюсь в том куда вбить свой пароль, а куда нет.
3 Регистрации везде становятся проще, а мы давайте ка усложним! Поэтому большинство ИТ спецов в жабберах сидят угрюмо или радостно с поддержкой не зависимого шифрования и не зависимых серверов.
1 постоянно могу сидеть из разных стран, т.к. часто пользуюсь торами, прокси, впнами — ну вот специфично мне — заходить из под нужной страны на сервера/сервисы т.к. мой данный диапазон ип не удовлетворяет.
2 двухфакторки и проверки по желанию — с возможностью включить, а не принудительно, жутко бесит тратить драгоценное время на подтверждения когда я достаточно нормально разбираюсь в том куда вбить свой пароль, а куда нет.
3 Регистрации везде становятся проще, а мы давайте ка усложним! Поэтому большинство ИТ спецов в жабберах сидят угрюмо или радостно с поддержкой не зависимого шифрования и не зависимых серверов.
Кстати вконтакте отслеживает звонки с телефона? Просто у меня в вконтакте очень мало друзей и нет ни одного кого бы я знал в реале, а недавно он мне предложил в колонке «возможно вы знакомы» моего стоматолога с которым в интернете я никак не пересекался а только лишь пару раз созванивался с ним по телефону.
P.S
Используйте двухфакторную аутентификацию, она позволяет полностью исключить взлом аккаунта с помощью фишинга.
Если ваш пользователь купился на фишинг, и ввел свой логин и пароль, что остановит его от ввода одноразового кода? Вы бы лучше проверяли свою информацию, прежде чем делать такие заявления.
Вообще сегодня все решения двух-факторной аутентификации, кроме PKI-based уязвимы к фишингу. Всё. Все что не производит крипто-подпись, уязвимо. Не ради P.R. но советую почитать мою статью по U2F https://habrahabr.ru/post/305508/
Если вдруг вы решите ввести свои данные на фишинговом сайте, то вводите почту, а не номер телефона.
— Пожалуй введу-ка я свои данные на этом фишинговом сайте сегодня, а то как-то скучно живется…
Вообще я хотел бы сказать что это не аутентификация, а какие-то костыли.
Крипто-подпись тоже уязвима к фишингу.
Крипто-подпись вызова с доменом не уязвима к фишингу. Читай U2F/UAF/WebAuthn/EToken/Rutoken/RSASecureID800…
Чтобы зайти на сайт — надо пойти и установить криптодрайвер и криптоплагин к браузеру?
Ну так к фишинговому сайту будет идти в комплекте свой драйвер :)
Важно то, что все что не производит крипто-подпись, будет уязвимо к фишингу.
Вообще сегодня все решения двух-факторной аутентификации, кроме PKI-based уязвимы к фишингу. Всё.
А как насчёт большой кодовой таблицы? Если её не светить нигде, как можно тут организовать фишинг?
каждый раз, когда под аккаунтом пользователя пытаются неожиданно зайти из новой страны, попытка входа блокируется сообщением, в котором предлагается ввести цифры номера телефона, на который зарегистрирована страница
А до этого было не только ввести номер, но и пришедший на него одноразовый пароль. Будучи часто перезжающим из страны в страну, перестал пользоваться ВК именно из-за этой «фичи».
Прискорбная тенденция. Недавно захотелось вдруг завести новую почту, так все крупные почтовики требуют телефон для регистрации. Более того, весьма успешно банят номера сервисов для получения СМС. И знаете, какой нежлобский сервис я в итоге нашел? mail.ru :)
поэтому с 21 ноября 2012 всех пользователей Вконтакте принудительно заставили привязать номер мобильного телефона.
Да ладно? У меня не привязан, то что никого принудительно не заставляли.
Только новым пользователям зарегистрироваться без номера не получится.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Не баг, а фича Вконтакте