Комментарии 670
тот же вопрос, но ко всем в этой цепочке, начиная с оператора связи
Напишите здесь результаты, пожалуйста
Судя по публикациям ещё год назад для переноса домена к другому регистратору REG.RU просил прислать копию паспорта и скан заявления, написанного от руки.
Сейчас видимо упростили.
Сейчас видимо упростили.
До сих пор не упростили. Могу подтвердить — требуются паспорт, прочие документы. Чуть ли не личная явка в офис.
Вероятно, люди путают техническую передачу домена (когда управление записями и делегирование меняются на другой аккаунт) и передачу владения (когда полностью домен перерегистрируются на другое лицо — физ или юр). Мы так влетели случайно, когда оказалось, что домен остался на предыдущем владельце и ничего не сделать — только подождать, пока истечет срок регистрации и зарегать его заново.
В рег.ру нельзя передать домен без явки в офис и написания заявления в бумаге. Можно только передать управление другому администратору.
Нет, нельзя. В REG.RU можно легко передать домен на другой аккаунт в пределах одного регистратора. Но вот для получение EPP кода необходимо заполнить заявку и приложить паспорт. Он будет сверен с WHOIS. ТС'у крайне рекомендую как можно быстрее написать в свободной форме заявление на передачу домена и приложить скан паспорта (лучше свежий, сделанный рядом с бумажкой и надписью) на свой аккаунт, отсканить и отправить в поддержку reg.ru. Скорее всего, его вернут на аккаунт. Сейчас на домене, как я вижу, стоит статус для блокировки передачу другому регистратору. Можно застраховаться от этого в будущем: через поддержку регистратора нужно установить clientUpdateProhibited, clientDeleteProhibited, clientTransferProhibited статусы. Тогда никакие данные изменить будет нельзя без снятия статусов. Но эти галки плохо совместимы с услугой WHOIS privacy
Типа «украли телефон с симкой». Вот ксерокопия паспорта и глаза погрустнее. Или распечатываем «права» на цветном принтере и ламинируем. Некоторые дураки-манагеры не знают, что права паспорт не заменяют
Пока ещё регистратора не сменили. Как я понял после общения с ТП, он в рег ру, но в другом аккаунте. По телефону они ничего сделать не смогли. Создал тикет, который был адресован в юридическую службу и которая начинает работу с 9 утра =(
Да, это уже всё делаю, почту верну, телефон тоже, а вот домен, под вопросом -(
Про банки не забудьте.
А после восстановления симки проверьте не установлены ли редиректы или смс-про и прочие услуги, тут тоже могут быть сюрпризы.
А после восстановления симки проверьте не установлены ли редиректы или смс-про и прочие услуги, тут тоже могут быть сюрпризы.
Однажды по после покупки нового телефона мне потребовалась замена SIM-карты. У меня была старая размера microSIM, а телефону требовалась nanoSIM. В ближайшем офисе своего оператора я поменял карту за 5 минут, но в тот же день столкнулся с тем, что не могу войти в Сбербанк Бизнес.Онлайн. Приходило какое-то невнятное SMS с их номера 900. Я позвонил на горячую линию, и там мне объяснили, что банк привязывается не к номеру телефона, а к уникальному номеру симки. Я симку сменил, номера телефона прежний, а уник. номер изменился. У меня там два счёта. Для ИПшного пришлось ножками топать в банк и писать там письменное заявление, а со счётом ООО чуть попроще было. У нас там две учётных записи и через вторую мы подали в личном кабинете электронное заявление. В течение дня всё заработало. Но защита меня порадовала!
А что за уникальный номер симки? Я если честно, не разбираюсь в этом. Это не тот ли PUK-код? Или там отдельный номер зашит наподобие IMEI в телефоне?
Последний вариант. IMSI называется в их терминах. Есть ещё зашитый секретный код KI, который из современных симок не достать. Но из старых можно было, что позволяло склонировать симку. Или записать коды в память телефона с особой программной модификацией, что позволяло переключаться между симками просто из меню.
KI и в старых симках не доставался, он подбирался при «включении» симки. Ограничений на количество включений практически не было — сейчас (ну как сейчас, уж лет 10 как точно) все нормальные симки имеют сильно ограниченный цикл включений, потому подбор KI на них неэффективен. А после окончания циклов симка окирпичивается.
Забыл точную аббревиатуру, но это длинный такой номер. Уникальный для каждой SIM. Сбер как-то определяет его и если вдруг авторизуешься с новой SIM, но со старым номером, то тупо не шлёт тебе SMS-пароль. А вместо этого какие-то длинное сообщение, что мол, возможно, Ваш номер взломали и надо обратиться в колл-центр. Но это только для бизнес-аккаунтов вроде. Личный у меня по моему работал, хотя два года назад было, могу и путать.
MSIN — (Mobile Subscriber Identification Number) индивидуальный номер мобильного абонента. Является составной частью IMSI
Это внутренний 10-значный (9-значный для Северной Америки) номер карточки абонента (в GSM — SIM-карточки). Является составной частью 15-значного номера IMSI. Первые 5 (6 для Северной Америки) знаков IMSI одинаковы для одной сети и одной страны.
Номер SIM-карточки известен только ей и коммутатору сотовой сети. В коммутаторе каждой карточке присваивается от одного до 10 номеров абонента (зависит только от ПО коммутатора), который и выдаётся абоненту. При утере или замене SIM-карточки, теряется только MSIN, но не федеральный номер абонента, который хранится в коммутаторе (HLR), а не в SIM-карте.
Таким образом в мобильном телефоне хранятся IMEI и MSIN. В закодированном виде они передаются коммутатору, когда абонент (A) совершает вызов. Другому абоненту (B) коммутатор отображает один из федеральных номеров установленный как основной. При получении вызова от абонента (B), коммутатор принимает звонок для любого из 10 федеральных номеров, записанных для абонента A в коммутаторе. При этом поиск абонента А в сети осуществляется по MSIN, приписанному этим номерам.
Это внутренний 10-значный (9-значный для Северной Америки) номер карточки абонента (в GSM — SIM-карточки). Является составной частью 15-значного номера IMSI. Первые 5 (6 для Северной Америки) знаков IMSI одинаковы для одной сети и одной страны.
Номер SIM-карточки известен только ей и коммутатору сотовой сети. В коммутаторе каждой карточке присваивается от одного до 10 номеров абонента (зависит только от ПО коммутатора), который и выдаётся абоненту. При утере или замене SIM-карточки, теряется только MSIN, но не федеральный номер абонента, который хранится в коммутаторе (HLR), а не в SIM-карте.
Таким образом в мобильном телефоне хранятся IMEI и MSIN. В закодированном виде они передаются коммутатору, когда абонент (A) совершает вызов. Другому абоненту (B) коммутатор отображает один из федеральных номеров установленный как основной. При получении вызова от абонента (B), коммутатор принимает звонок для любого из 10 федеральных номеров, записанных для абонента A в коммутаторе. При этом поиск абонента А в сети осуществляется по MSIN, приписанному этим номерам.
А откуда Сбер этот номер узнаёт? Через приложение своё что ли? А если телефон-звонилка?
У сотовиков есть специальное типа API для банков, оттуда и узнаёт.
По телефонному номеру, который клиент банку сам сообщает. Звонилка, не звонилка, это не важно.
На смартфоне с доступом к телефонному функционалу наверное можно и прямо из приложения IMSI достать.
По телефонному номеру, который клиент банку сам сообщает. Звонилка, не звонилка, это не важно.
На смартфоне с доступом к телефонному функционалу наверное можно и прямо из приложения IMSI достать.
API не только для банков.
Похоже что как минимум формально — для любых сервисов рассылок. Проверка — идем на smsc.ru/testhlr и вводим свой номер (и капчу). Получите IMSI (если конечно оператор не маскирует его — некоторые точно маскируют — delo.ua/business/kievstar-rasskazal-kak-zaschischal-svoi-seti-ot-atak-240181 ).
Похоже что как минимум формально — для любых сервисов рассылок. Проверка — идем на smsc.ru/testhlr и вводим свой номер (и капчу). Получите IMSI (если конечно оператор не маскирует его — некоторые точно маскируют — delo.ua/business/kievstar-rasskazal-kak-zaschischal-svoi-seti-ot-atak-240181 ).
Сейчас банки заключают с операторами договора на предоставление этих данных по тем тарифам, на которые договорятся. В будущем планируется создание некой единой информационной системы учета всех симок, в которую операторы обязаны будут сливать все данные и доступ к которой будет предоставлен «банкам, кредитным организациям и прочим организациям» по тарифам, утвержденным правительством.
Почитать можно тут: www.rbc.ru/technology_and_media/17/09/2019/5d78e4c79a7947b0d7c514ba
Почитать можно тут: www.rbc.ru/technology_and_media/17/09/2019/5d78e4c79a7947b0d7c514ba
Это сервис для рассыльщиков смсок, перед (или после?.. хз, не помню) отправкой смс-ки рассыльщик может узнать текущую (+возможно хистори последних) симку в сети. Точнее хз, где-то на хабре вроде статья про это была… пару-тройку лет назад..
IMSI отдается через SS7, то есть потенциально доступен любому оператору с которым есть связность.
Даже данные VLR отдаются. Сервисы "узнай местоположение любого абонента" работали притворяясь каким-нибудь сотовым оператором из Центральной Америки. За это их конечно бьют и отключают.
Это все нужно для того чтобы роуминг, в частности, правильно работал.
Кто лучше знает, поправьте плиз, я в телекомах не работал.
Почти всегда это не сработает ибо TMSI, который будет отдан на запрос информации о местоположении абонента, ничего общего с реальным IMSI иметь не будет. Ну кроме кодов страны и оператора. Да и номер VLR скорее всего тоже будет фейковым и указывать будет на какой-нибудь SS7 файрволл.
IMSI, цифровой код сим карты, начинается с кода оператора и подобной служебной информации. Я думаю сбер такое научился делать, когда стали сами MVNO и получили доступ до сетей сигнализации.
спасибо большое!
Российское отделение Ситибанка делало отслеживание смены IMSI довольно давно, более 10 лет назад, в те времена даже слова такого MVNO не знали.
Райф тоже так делает, причём давно.
У меня сбер заблокировался так еще в 2013 году, задолго до того, как они стали MVNO. Но для физика все решается звонком на горячую линию. Спросили секретное слово, данные паспорта, последние 4 цифры каждой карты и когда совершалась последняя операция по любой из карт.
На самом деле доступ к сетям сигнализации сбер имеет с тех времен, как создал свой СМС-банкинг. Просто начал использовать эту информацию с 2012-2013 года.
Вот чего вы человека минусите за то, что он вопрос задал? Прям бесить это стало, новая дебильная мода хабра. 100 комментариев о какой-то херне все с удовольствием плюсуют, а как коммент с вопросом – так всё, ливай дурака, неча ему среди местных интеллектуалов делать.
новая дебильная мода хабра
2 минуса и 9 плюсов
Безусловно, именно эти два человека — лицо хабра.
Еще чаще многие комментарии, особенно новичковские, даже не пропускают через модерацию, хотя оный не является ни оскорбительным, ни агрессивным или подобным, а обычным сообщением, которым хотел поделиться юзер.
То же самое было, но только с Альфа Банком. Хорошая защита.
Оно работает в онлайне, просто сравнение записей IMSI в БД банка с текущим реальным IMSI выполняется при совершении критичных операций с т.з. банка.
Это сделано потому, что один запрос актуального IMSI стоит банкам 50+ копеек. Конечно звучит смешно, но если эту цифру помножить на количество транзакций, то получится вполне внушительная сумма.
Это сделано потому, что один запрос актуального IMSI стоит банкам 50+ копеек. Конечно звучит смешно, но если эту цифру помножить на количество транзакций, то получится вполне внушительная сумма.
Альфа-банк мне прислал уведомление о замене SIM-карты и заблокировал личный кабинет спустя несколько месяцев (точно уже не помню) после фактического перевыпуска SIM. Вот такая вот хорошая защита…
Год или два назад по той же причине(новый смартфон, нано-сим) менял билайновскую симку. В офисе оператора сразу предупредили что после замены на сутки блокируется приём СМС от банков(насчёт MFA на почтах не помню). Через сутки спокойно мог войти в ЛК своих банков(Сбер, ВТБ24), без походов в отделение.
Скажите, давно вы меняли симку? Возможно это какое-то нововвдение?
P.S. Правда симка у меня не личная, оформлена на работодателя.
Скажите, давно вы меняли симку? Возможно это какое-то нововвдение?
P.S. Правда симка у меня не личная, оформлена на работодателя.
Симки я менял в прошлом году. Одна была личная (Билайн), вторая корпоративная (Теле2). К обоим привязан был личный кабинет в Сбере. Как я писал выше, доступ в кабинет был заблокирован до подачи соответствующего заявления.
Но повторюсь, это касается наверное только Бизнес.Онлайна. Не припомню, чтобы для личной кабинета что-то поменялось. Но защита реально хорошая. Вот реально проще до офиса Сбера доехать, чем потом в полиции по кабинетам бегать :-)
Но повторюсь, это касается наверное только Бизнес.Онлайна. Не припомню, чтобы для личной кабинета что-то поменялось. Но защита реально хорошая. Вот реально проще до офиса Сбера доехать, чем потом в полиции по кабинетам бегать :-)
Я недавно менял симку на Билайне и на сутки мне на перевыпущенной симке тормознули все смс, от банков и даже Почты России. Аналогично работает и у Мегафона, странно если у МТС это не так.
Аналогично. Но, что интересно, когда перенес номер к другом оператору, всем ИБ было пофиг.
У меня прямо с вами как-будто разные cбербанки. В том, который в моём варианте вселенной «SMS с их номера 900» чудесно приходили через 10 минут после «переезда» номера от зелёнофиолетового опсоса к чёрному. Вероятно, как вы догадываетесь, SIM карта при этом тоже некоторым образом менялась.
Уралсиб тоже послал после замены симки. В офис. СМП зато даже не дёрнулся
Если домен переведен на другой аккаунт внутри регистратора, а не на другого регистратора и регистратор не мудак, то он вернет вам его.
Я один раз сталкивался с подобной ситуацией, но у Network Solutions. Там правда уже шел исходящий трансфер другому регистратору, но они приостановили его. Правда захотели документы, а любые российские документы их не устроили. В итоге домен оказался в подвешенном состоянии: они его продлевают, висит он у них, но пользоваться им нельзя.
Я один раз сталкивался с подобной ситуацией, но у Network Solutions. Там правда уже шел исходящий трансфер другому регистратору, но они приостановили его. Правда захотели документы, а любые российские документы их не устроили. В итоге домен оказался в подвешенном состоянии: они его продлевают, висит он у них, но пользоваться им нельзя.
>>запретом на перевыпуск
Что это за услуга и как её потребовать в салоне?
Что это за услуга и как её потребовать в салоне?
>>запретом на перевыпуск
Что это за услуга и как её потребовать в салоне?
А самое главное что делать, если симка реально сломается и ее потребуется перевыпускать?
Запретом на перевыпуск без личного присутствия.
Если ломается — идете с паспортом в салон и меняете.
Если ломается — идете с паспортом в салон и меняете.
Буквально неделю назад менял регистратора в Ru-center. Домен давно-давно был зарегистрирован на меня как физ. лицо. Я сейчас переносил его на ООО. Так как в нашем городе представительства Ru-center нет, то пришлось распечатывать заявление, заверять его у НОТАРИУСА и отправлять заказным письмо в Москву! После этого в лично кабинете появилась возможность смены регистратора. Переносил домены из зон .ru, net.ru, ru.net и .cloud.
Строго говоря в статье про смену регистратора нет.
Речь о переносе домена на другой аккаунт у того же регистратора.
Речь о переносе домена на другой аккаунт у того же регистратора.
В Godaddy (один из крупнейших регистраторов) при наличии доступа к почте можно сделать исходящий трансфер за 20-25 минут. То есть через полчаса домен уже будет у другого регистратора и тогда все.
Подключил у них двухфакторку через Google Authenticator и даже при доступе к почте увести домен будет не так просто.
Они может и крупнейшие, но в моей епсилон-окрестности от них все кто мог — все сбежали…
вот тоже вопрос. EPP-коды то как получали и вообще как прошел трансфер ТАК быстро. У меня он несколько дней занимал всегда (правда — между регистраторами).
Можно обратиться в вышестоящую инстанцию и они сменят в обход рег.ру
В рег.ру еще и не такое можно :(
Имели печальный (но не настолько!) опыт взаимодействия.
Имели печальный (но не настолько!) опыт взаимодействия.
Было похожее с РегРу, в поддержке сказали, что не вернем домен, так как он перенесен. Пришлось уговаривать похитителя вернуть его.
И как успехи?
Сайт был намного меньше по масштабам вашего, потому в результате «переговоров», удалось добиться переноса обратно.
Меня больше интересует сами переговоры. Вот злоумышленник угнал домен с определенной целью (наверное рекламы навешать и бабло грести), и вы ему пишите мол так и так, у REG.RU вернуть домен не удалось, перенесите нам его обратно, а он такой «нет!», а вы такие «ну пожалуйста», он подумал, и говорит «ладно, забирайте, не очень он мне и нужен был!»? Странный какой-то угонщик, я вам скажу)
Может это были агрессивные переговоры.
Это имеет смысл, но заявлено, что переговоры были агрессивными, а деньги агрессивно не предлагают. Смутно себе представляю картину, мол, тысяча баксов, бери мразь или хуже будет! Ну че слился, давай карту, мразь! Карту давай, а-то взломаем кабинет и на счет насильно переведем! :D Кстати вспомнилось что-то, у Дурова примерно в таком ключе Мыло пыталось ВК выкупить, разумеется без агрессии, все чинно-благородно, но так и писали, мол, столько-то лямов, а он им «да не нужны мне деньги, я сам больше зарабатываю, я хочу контроль над сетью сохранить»… Реально по пятам ходили и бабло предлагали)))
Вот поэтому я не привязываю номер телефона к критичной почте, на которую многое завязано. Это ненадёжный резервный способ, которым может воспользоваться злоумышленник. По сути, ваш аккаунт при таком раскладе защищает лишь бдительность сотрудников сотового оператора — поведутся они на мошенника с липовой доверенностью и подвешенным языком или нет.
Передаю отдельный привет почтовому сервису mail.ru, сотрудники которого, если к ящику не привязан телефон (но привязан TOTP-аутентификатор), готовы отдать доступ любому, кто знает «пароль, использовавшийся при регистрации ящика».
Передаю отдельный привет почтовому сервису mail.ru, сотрудники которого, если к ящику не привязан телефон (но привязан TOTP-аутентификатор), готовы отдать доступ любому, кто знает «пароль, использовавшийся при регистрации ящика».
> почтовому сервису mail.ru
Весело. Их пароли в интернетах встречались, как раз тех времен, когда пароли были «использовавшиеся при регистрации».
Весело. Их пароли в интернетах встречались, как раз тех времен, когда пароли были «использовавшиеся при регистрации».
Ну вот я тоже офигел. У меня была ситуация:
— телефон не привязан
— привязана 2FA, я могу генерировать валидные коды
— я могу назвать содержимое своего майлрушного облака (потому что у меня эти файлы, лежат на десктопе)
— я могу назвать имена папок, которые созданы в почте (а там довольно специфичные имена)
Т.е., вроде бы, вполне нормальные такие доказательства, что я владелец аккаунта.
И в этой ситуации из-за моих частых входов через VPN из разных уголков мира мне заботливая система безопасности mail.ru сбрасывает пароль. И единственным вариантом (поскольку телефон для приёма SMS не привязан) было «вспомните пароль, с которым вы регистрировали почту».
— телефон не привязан
— привязана 2FA, я могу генерировать валидные коды
— я могу назвать содержимое своего майлрушного облака (потому что у меня эти файлы, лежат на десктопе)
— я могу назвать имена папок, которые созданы в почте (а там довольно специфичные имена)
Т.е., вроде бы, вполне нормальные такие доказательства, что я владелец аккаунта.
И в этой ситуации из-за моих частых входов через VPN из разных уголков мира мне заботливая система безопасности mail.ru сбрасывает пароль. И единственным вариантом (поскольку телефон для приёма SMS не привязан) было «вспомните пароль, с которым вы регистрировали почту».
Мою почту сегодня тоже взломали. Вспомнив ответ на контрольный вопрос которого и я то не помню потому что вводил там набор цифр и букв как раз для того чтобы таким образом не взломали. Похоже это был массовый взлом.
Почту взломали с IP: 146.120.110.13
yandexsupport что скажете? В один день двумя способами взломали.
И раскажите пожалуйста как действует кнопка "это не я" в логах действий на которой я азбуку морзе отбивал и не видел ответа как она должна повлиять на взломщика и вообще сработвла ли.
Очень странно что reg.ru так быстро домен передал другому регистратору. Раньше требовался договор и письмо на бумаге… Я правда давно с ними не общался, последний раз лет 7 назад. Может и поменялись условия.
Сейчас на сколько я знаю без номера телефона почту не зарегестрировать. Или это не равно привязке?
Уже не первый раз замечаю, что при угоне номера телефона фигурирует один и тот же оператор связи — МТС. Это совпадение? Или это какое-то когнитивное искажение? В любом случае брать номер у этого оператора на всякий случай не буду
Зря обольщаетесь. Недавно закрывал номер в одной полосатой компании, так там в компьютере левые данные были вбиты совпадала только фамилия (видимо кто то поленился, а потом что попало вбил), так мальчик в салоне просто все исправил на мои и закрыл номер. Т.е. тупо совпала фио, он даже проверять не стал звонком на эту сим что она моя.
Учитывая их (ребят из салонов связи) права и наивность, создается впечатление, что если я приду в салон связи в их фирменной юниформе и попрошу "перевыпустить, коллеги, карту для клиента", то они это сделают. Вспоминается история, как какую-то картину увели из Лувра прямо на глазах у всех посетителей.
см фильм «Старики-разбойники»
Тут скорее всего целенаправленная атака и может быть просто сговор. Даже если в салоне есть камера, на ней будет — пришёл абонент, показал паспорт, получил симку. Даже доверенности не надо. Паспорт — любой паспорт, чтобы было видно на видео, что продавец проверил паспорт. А то что человек совсем не тот, это уже второй вопрос.
Доказать причастность продавца практически невозможно. Ну даже если его уволят, то найти аналогичную работу не составит труда.
Доказать причастность продавца практически невозможно. Ну даже если его уволят, то найти аналогичную работу не составит труда.
Отсканированный паспорт?
А их кто-то сканирует в сотовых ларьках?
Сам менял симку не так давно, продавец просто посмотрел и отдал.
Тут же дал карточку. Всё заняло меньше минуты.
Это ж не банк.
Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.
Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.
Любой смартфон сейчас — уже сканер. Есть и специальные приложения для этого. Сделать фото паспорта и видео человека, кто его предьявлет специальным смартфоном (без рута) со специальной программой — вопрос пары секунд. Зато подделать довольно сложно. А ведь можно еще и сравнить с фото с паспорта, сохраненным в базе, чтобы подельный паспорт с левой фоткой тоже не прокатывал.
Более того на другой стороны программы могут сидеть специальные люди (в одном офисе на всю страну), умеющие виртуозно определять подделки и двойников. Если сравнение видео, фото паспорта и фото сделанное при регистрации у них вызовет вопросы — они могут задержать процедуру переоформления или попросить дополнительные проверки.
А их кто-то сканирует в сотовых ларьках?
А это уже вопрос насколько поставленна безопасность в сотовой компании. По идее за такое должны сотовую компанию штрафовать или пользователи, потерявшие деньги, должны идти в суд/общество потребителей. После десятка судов — компания быстро изменит правила.
Лучше бы того фотографию сверяли. Разбрасываться сканами паспорта ещё и по ларькам как-то уже перебор. И так их сканируют все кому не лень.
Но фото откуда-то должно взяться. Много абонентов пользуются симками по 10 и больше лет. Тогда просто вопроса такого не стояло. Ручкой анкетку заполняли, и это в лучшем случае.
Но фото откуда-то должно взяться. Много абонентов пользуются симками по 10 и больше лет. Тогда просто вопроса такого не стояло. Ручкой анкетку заполняли, и это в лучшем случае.
Ручкой анкетку заполняли, и это в лучшем случае.У меня в первом паспорте (на который SIM'ка зарегистрирована изначально) буквенная серия. В результате заменить SIM'ку можно только лично посетив офис. Ибо все электронные системы тупо не принимают такую серию… а почему они не могут принять новый паспорт — науке неведомо. Я три раза просил переключить, три раза мне говорили «всё отлично, в следующий раз сработает»… и три раза нифига не срабатывало. Пока забил, так как конкретно сейчас от меня до ближайшего офиса МТС километров… много.
Отсканированный паспорт?
Когда менял паспорт по возрасту, на цветном принтере распечатал, вырезал и вложил в корочки от паспорта.
Конечно, снимать большую сумму в банк я не ходил, но во всех остальных ситуациях открывали корочки, смотрели цветное изображение паспорта, сличали с моей физиономией и возвращали. Этого было вполне достаточно.
Мне как-то понадобилось сменить сим-карту в зеленой сотовой компании. В салоне вообще без вопросов выдали новую симку. Все, говорят, старая не работает. Ваш номер на новой. Ни паспорт, ничего не спросили… Мск.
По-разному бывает. Мне было нужно поменять симкарту, которой пользовался 10 с лишним лет. Симкарту подарили в ларьке при покупке мобильника. Записана оказалась на какого-то случайного человека. Понадобилось поменять на микросим. Не получилось. Несколько раз, в разных ларьках, всегда требовали привести того, на кого записано с паспортом. Пришлось менять номер.
Я когда-то долго искал правильный ответ на этот вопрос и никто не мог толком сказать куда идти.
Потом внезапно симка сдохла и я пошёл в зелёный офис в ближайшем ТЦ. У меня был оригинальный пин-конверт и не было оригинального пластикового холдера — без лишних вопросов поменяли данные в профиле.
Кажется в 2003 году эта регистрация была добровольная и рандомное имя в личном кабинете появилось уже значительно позже
Меня вот в МТС завернули с заменой сим, симка на сестру оформлена с той же фамилией. Видимо еще какой человек за стойкой попадется зависит.
Зависит, но очень быстро они научаются больше «в глазах» читать, чем в документах. Ибо таких SIM'ок (оформленных на сестру, брата, свата, бомжа или вообще на тупой рандом) — миллионы. И выбор: либо терять миллионы абонентов, либо, иногда — единицы… когда номер целенаправленно угонят.
Внимательно проверять документы тупо невыгодно.
Внимательно проверять документы тупо невыгодно.
Вот очень печально, что у людей за стойкой так много прав. Мне, например, тот же оператор без проблем поменял симку, хотя она оформлена на мать. Я тогда порадовался, что всё получилось сделать одному, а после прочтения подобных статей, как-то не по себе.
Менял симку МТС, т.к. для нового смартфона понадобился новый формат, а старая была только в большом форм-факторе. Так в их офисе кроме собственно номера даже паспорта не спросили. Удивился. Это так любой может прийти, назвать номер, фамилию владельца и получить симку. Мда…
В Москве таким образом из Третьяковки один хрен родом из Крыма вынес в прошлом году картину Куинджи, тоже про Крым. Просто подошёл, снял и вынес. Чухнулись только через несколько часов.
Задержали, посадили, вроде на три года. Чувак сказал, что сделал это по приколу за хайп.
Как раз вчера похититель картины Куинджи из третьяковки уехал на три года. По результатам уволили недобдившую смотрительницу
Просто так там симки никто не перевыпускает, но учитывая оклад в 20к и в основном негативно настроенный контингент посетителей, проверка документов проводится посредственно. Обычно смотрят на совпадение имени-фамилии и серию-номер паспорта, если сменили фамилию, то имени-отчества. Иногда проверяют ранее выданые паспорта. Проверку паспорта на подлинность выполняют лишь когда выдают кредиты. Т.е. при замене симки паспорт даже редко в руки берут. Вполне достаточно более-менее качественной подделки. С другой стороны операторы берут заявление на замену сим, и там должна стоять подпись клиента. Заявление сканится и отправляется на сервер. Т. е. если левая замена, то можно поднять документы-камеры и попробовать доказать, что замена была произведена другим человеком.
Не, ну а что, приходят два человека в форме, отдаленно напоминающую форму сотрудников музея (да хоть в полицейской форме с Али, даже еще эффективнее будет, да хоть мальчик-работник на побегушках, какая разница, господи), снимают со стены картину и уносят ее, вы поднимите переполох? Вот и люди решили не мешать сотрудникам музея. Вот когда это стало бы носить массовый характер, тогда конечно бдительные граждане подняли бы тревогу, а так можно и к контролерам в транспорте придраться, мол документы у вас поддельные, а вы народ обворовываете, уже кажись Бентли себе купили!
Перевыпускают что угодно, можете убедиться на соответствующих форумах.
Правда для виртуальных операторов такие услуги встречаются реже и стоят дороже, так что если хотите снизить вероятность перевыпуска, то возьмите сим-карту какого-нибудь виртуального оператора без офисов.
Правда для виртуальных операторов такие услуги встречаются реже и стоят дороже, так что если хотите снизить вероятность перевыпуска, то возьмите сим-карту какого-нибудь виртуального оператора без офисов.
Если злоумышленники перевыпускают симку по поддельной доверенности, то не важно, какой оператор. Всё зависит исключительно от сотрудников офисов, а они не всегда бывают умны. Особенно в регионах.
А спецслужбы чудесно справятся с задачей даже без перевыпуска, они устанавливают переадресацию и получают нужные смс, и вы даже об этом не узнаете.
А спецслужбы чудесно справятся с задачей даже без перевыпуска, они устанавливают переадресацию и получают нужные смс, и вы даже об этом не узнаете.
В мегафоне в августе перевыпустили симку без паспорта и предоставления старой симки.
Только ФИО + номер.
Но первые сутки смс не работает. И на том спасибо.
Только ФИО + номер.
Но первые сутки смс не работает. И на том спасибо.
У Яндекса же есть приложение для двухфакторной авторизации. Даже если иметь доступ к телефону привязанному к аккаунту то восстановить доступ получиться только зная пин код задаваемый при включении двухфакторной авторизации или через техподдержку.
Да, есть, как узнал — сразу сделал. Неудобство в полной зависимости от телефона, с другой стороны — уж лучше такая зависимость, чем пожертвовать безопасностью
Я лично использую Яндекс.Ключ для основного аккаунта в Яндекс.Коннект. Он очень важен, т.к. через настраивается вся почта организации. Но при этом каждый день в него не заходишь, поэтому лишняя морока с приложением на телефоне не страшна.
И плюс одно приложение на телефоне персонально для Яндекса. Все TOTP коды (MS, Google) в одном приложеньке, а Яндекс — в своём...
Так в этом и смысл двухфакторности: человек должен пройти обе проверки.
А нынешняя ситуация — это, наоборот, полуфакторность: достаточно пройти любую из проверок, чтобы получить доступ.
Вы пробовали восстановить доступ когда забыли пин код? Я пробовал — восстанавливается через смску. Так что это не панацея.
Если для доступа к ящику достаточно номера телефона, это не двухфакторная, а старая добрая однофакторная аутентификация, причём единственный фактор не под вашим контролем.
ОПа жалко, но пусть его пример напомнит ещё раз:
- Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
- Не привязывайте номер телефона никуда, где он опционален
- Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»
Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
Просто изначально это сервисы не для бизнеса. Для обычного пользователя это ОК, т.к. геммора с забытыми паролями/контрольными вопросами больше нет. Почему бизнес подумал, что они им подходят — абсолютно не понятно.
Почему бизнес подумал, что они им подходят — абсолютно не понятно.
Потому что бизнес хочет быть там же, где обычные люди, и говорить с ними на их языке.
Кто-то предоставляет специальные учётки для бизнеса (Facebook Messenger, iMessage), но, обычно, приходится регистрировать учётку на обычный телефон и всем его рекламировать
Для обычного пользователя это тоже не ОК, обычному пользователю не нравится, когда его держат за маразматика, который не в состоянии запомнить десяток символов пароля, обычному пользователю не нравится, когда он не может спокойно залогиниться с произвольного устройства и связаться с контактами, когда телефон не доступен (сел/утерян/роуминг не работает). Но почему-то такая схема вытеснила привычный логин по имени и паролю, даже телеграм, который рекламировался как «нормальный мессенджер, не чета вацапу и вайберу», последовал этому паттерну.
Более того, раньше Телеграм регался и работал по вводу пароля, без привязки номера.
Но потом они эту возможность убрали.
Но потом они эту возможность убрали.
привет, Телеграм
Ну справедливости ради в нём всё-таки сделали второй фактор в виде старого доброго пароля (что, впрочем, факта привязки номера телефона не отменяет)
Этот пароль не сильно помогает — его можно сбросить по номеру телефона, с частичной потерей данных
Ну не знаю, ткнул что забыл пароль — отправили код на почту.
Правда, почта на mail.ru с привязанным номером телефона :D
Помогает. В том и дело, что Вы должны решить — либо данные настолько ценны, что Вы готовы их потерять в случае утери ключей доступа, либо наоборот.
Меня лично кейс телеграма устраивает, т.к. я понимаю, что я могу купив новую симку получить ЧЕЙ-ТО номер и кто-то может получить один из моих бывших номеров. И я бы не хотел ни получать доступ к своей переписке, ни видеть чужую. Другой вопрос, что, да, люди, с которыми я контактировал могут удивиться, что под той же телеграм-учеткой другой человек, но это уже решаемый вопрос и в интернете никогда наверняка не знаешь, кто на другом конце.
Вот за этот идиотизм я и крайне нелюблю эти модные чатилки. Не, ну реально, понадобилось мне по какой-то причине (переехал в другой город/страну/планету, просто решил сменить оператора… раньше-то перенести было нельзя) сменить номер… И что? Где мой аккаунт?! Почему мне надо специально нотифицировать свои контакты о смене аккаунта?!
Телеграм позволяет привязаться к юзернейму, а потом можете номер менять. Это сложно? Нет. Требует доп. действий? Да. Но так же и с любым сервисом, который требует привзяки к номеру — не пользуетесь номером уже — возьмите и поменяйте.
Причем там действий на 5 минут, я когда сдал рабочую симку уезжая из России перепривязал номер к новой личной (рабочий номер не захотел сохранять)
А вы представляете, skype, icq и многие другие позволяли создать акк и везде им логиниться. И не надо ничего переносить. И на одном устройстве — хоть 10 аккаунтов имей (некоторые даже в один и тот же момент позволяли логиниться в несколько акков).
Frankenstine представим на секундочку — потеряли телефон будучи в дргой стране, выхода нет, взяли новый телефон с временной местной симкой — в свой акк вы не войдёте в вайбере никак. В аське/скайпе — легко.
Это такой троллинг или я чего-то не понял? :-)
И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
Замкнутый круг
А ещё — тот же телеграм научился с какого-то момента в мультиаккаунт ( в оф. клиенте можно синхронно несколько учёток использовать, а раньше решалось установкой нескольких клиент — например, телеграм + телеграм икс).
И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
Замкнутый круг
К счастью, я был активным пользователем скайпа до того, как он поднял 4хцветный флаг. Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу. Ибо, собственно, аська и скайп тоже стали вровень по уровню неудобства с хипстотскими неудобными мессенджерами, насильно привязывающимися к номеру телефона.
Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!
Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу
jabber?
Tox?
К сожалению все попытки перейти на него ещё до 10го года провалились. Снова пытаться желания не возникает.
ivan386 наверное стоит посмотреть… проблема в том, что аська и скайп — это реально "явления" — массовые, удобные. А кто токсом пользуется?
До 10 года многие сидели на винде, открытость исходников и вопросы информационной безопасности были не так популярны. На мой взгляд, сейчас уж точно более хорошее время для повторения попытки, чем до 10 года.
Ну был у меня в параллель поставлен линукс. Но низкая популярность и глюки ломали возможность нормально им пользоваться… лучший опыт с протоколом был на каком-то ру-почтовом домене, до того как они перекрыли общение с другими серверами. В общем с моей стороны для новых проб по-сути ничего не поменялось, а надежды на протокол и клиенты маловато...
Те кому не нужна привязка к почте или телефону. Ну и отсутствие центральной точки отказа.
В одну и ту же реку нельзя войти дважды…
Мир был другим — и мессенджеры были другими. Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал, что им можно пренебречь — отсюда и всё остальное…
А сегодня — мир поменялся. Разумеется вы не сможете найти замену явлению… потому что её и нет.
Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!Тогда и в интеренет ходили не с мобильника (как сегодня в основном происходит) и людей, у которых был PC, но не было смартфона было достаточно.
Мир был другим — и мессенджеры были другими. Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал, что им можно пренебречь — отсюда и всё остальное…
А сегодня — мир поменялся. Разумеется вы не сможете найти замену явлению… потому что её и нет.
Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал
Думаю, вы ошибаетесь. Среди сторонников СПО многие используют только телефоны типа «звонилка».
Среди сторонников СПО многие используют только телефоны типа «звонилка».Вы имеете в виду Столлмана? Вы абсолютно правы, среди фанатов free software таких действительно много.
В каком месте? Все вместе взятые сторонники free software — это столь ничтожный процент населения, что он неспособен ощутимо подвинуть статистику ни в какую сторону.Сегодня процент людей, имеющих PC, но не имеющих смартфона столь малДумаю, вы ошибаетесь
Вот сторонники OSS (Open Source Software), которые разрабатывают GCC, GLibc и кучу других проектов… дело другое — их много и их интересы учитывают. Но они пользуются смартфонами и Макбуками,
а не ноутами на открытом MIPSе.
Если бы было иначе, то вещи типа Librem 5 продавались бы сколько-нибудь осмысленными тиражами. А на деле — даже поделки от Yandex'а продаются бо́льшими тиражами. Притом, что они могут в принципе кому-то интересны только на территории России, а подобные недотелефоны — вроде как должны распространяться по всему миру.
Только не нужны они никому. Ну, в сколько-нибудь ощутимых объёмах. Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.
Всё по порядку.
Во-первых, Столлман неоднократно заявлял, что вообще не пользуется телефоном, поскольку сотовая сеть позволяет отслеживать местоположение by design, какими бы свободными не были прошивки.
Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software? Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.
Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю. Да, пользователей Librem (который, кстати сильно ругали на хабре, что он не соответствует заявленным свойствам свободы) и MIPS действительно мало (но вероятно, среди разработчиков GCC и glibc их больше, чем в среднем). А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше. И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.
Это довольно странное утвреждение. По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).
Во-первых, Столлман неоднократно заявлял, что вообще не пользуется телефоном, поскольку сотовая сеть позволяет отслеживать местоположение by design, какими бы свободными не были прошивки.
Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software? Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.
Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю. Да, пользователей Librem (который, кстати сильно ругали на хабре, что он не соответствует заявленным свойствам свободы) и MIPS действительно мало (но вероятно, среди разработчиков GCC и glibc их больше, чем в среднем). А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше. И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.
Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.
Это довольно странное утвреждение. По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).
Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software?Это не я их разделяю. Из Столлман как раз и разделил. Даже диаграммку нарисовал. И пытался всех убедить, что OSS — это фигня.
Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.Ну ещё бы! Родились то они как free software. И авторские права на них до сих пор у FSF.
Вот только времена изменились и сегодня это рассматривается как «проблема, с которой можно пока мириться», а не как преимущество — но при этом альтернитивы, до которых не может дотянуться FSF активно разрабатываются (Clang, Musl и другие).
Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю.Я вас умоляю. Когда вы видели последний раз patch от него в GCC? Сейчас разрабочики GCC — это либо работники AMD/ARM/Intel/etc, либо профессора и студенты. Фанатов free software среди них не мало, а очень мало.
А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше.Все люди, использующие Linux — это меньше 3% пользователей. Вы всерьёз думаете, что на них кто-то будет оринетироваться?
Нет, выделить в компании из 100 человек одного-двух на из поддержку — могут. Но что-то менять кардинально ради 3%? Ну это же бред.
И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.в мире статистика примерно та же. Вот только есть большие сомнения, что этим 15-20% нужен какой-либо мессенджер вообще. В подавляющем большинстве случаев люди, которые покупают «звонилку» либо не имеют компьютера вообще, либо не пользуются на этом компьютере мессенджером…
По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).Вы опять путаете free software и open source software. Люди, разрабатывавшие free software по идеологическим причинам — в меньшинстве. То, что растёт — это open source software. И никакие скандалы к увеличиени Copyleft'а не приводят.
Да, люди оценили открытые исходники, возможность разрабатывать какое-то «базовое» обеспечение совместо с конкурентами и прочее… но это всё прагматики… а вот фанатики, готовые отказаться от смартфона ради какой-то там свободы… исчезают.
Столлман как раз и разделил.
Я не зря написал «вроде конкретно GCC и Glibc». Эти проекты с точки зрения rms свободные и развиваются. Мы не можем проверить, что в головах у их авторов, но достаточно логично предположить, что идею free software они скорее поддерживают, иначе им стоило бы развивать clang или что-то ещё менее свободное.
сегодня это рассматривается как «проблема, с которой можно пока мириться»
Кем рассматривается?
Фанатов free software среди них не мало, а очень мало.
А зачем они тогда туда коммитят (профессора и студенты — вероятно, не за зарплату)?
Вы всерьёз думаете, что на них кто-то будет оринетироваться?
Авторы программ ориентируются, почему бы авторам мессенджеров не ориентироваться тоже?
Вот только есть большие сомнения, что этим 15-20% нужен какой-либо мессенджер вообще.
С чего бы (среди тех, кто компьютером всё же пользуется)? Обо всём мире не знаю, а мои знакомые используют jabber, telegram с компьютера и да, немного tox.
И никакие скандалы к увеличиени Copyleft'а не приводят.
Во-первых, лицензии, перечисленные там (как минимум те, у которых большинство) являются free software, а не только open source.
Во-вторых, как они там считали статистику? Одно дело — считать количество программ под данной лицензией и другое дело — считать пользователей этих программ. Из-за скандалов растёт именно последнее, главным образом в виде роста числа пользователей linux, многие компоненты которого и free, и open source (есть закрытые драйверы, которые ни free, ни open source, а компонентов linux, которые open source, но не free, я как-то не очень много знаю).
фанатики, готовые отказаться от смартфона ради какой-то там свободы… исчезают.
Ещё раз, откуда взялся этот вывод? Мы вполне наблюдаем таких людей на практике, и статистика продаж звонилок ей соответствует (ещё раз — это намного меньший уровень фанатизма, чем mips и purism).
Мы не можем проверить, что в головах у их авторов, но достаточно логично предположить, что идею free software они скорее поддерживают, иначе им стоило бы развивать clang или что-то ещё менее свободное.Нет, не логично. GCC появился гораздо раньше и долгое время был единственным приличным бесплатным компилятором. Тот факт, что внутри самого сообщества регулярно происходят срачи типа такого когда разработчики хотят отказаться от джихада, но Столлман накладывает вето — куда более наглядно показывает кто чего хочет.
Да, когда-то GCC и GLibc были рождены как Free Software — GCC создал Столлман лично, GLibc был создан для FSF Roland McGrath'ом, когда тот был подростком. Но Roland больше не участвует в разработке, как и Столлман (если не считать участием дикий срач, который он устроил, когда кто-то
А разработкой сейчас занимаются сотрудники Google, IBM и других подобных компаний.
Кем рассматривается?Разработчиками. Это не так часто вырывается наружу, но это давняя история. Или вы про вот это вот ничего не слышали (пролистайте вниз до места, где Drepper описывает историю с разработкой GLibc).
А зачем они тогда туда коммитят (профессора и студенты — вероятно, не за зарплату)?Потому что они продают продукты, основанные на GCC и GlibC, очевидно. Профессора и студенты гранты отрабатывают, а комитят в GCC, а не в Clang — потому что это очень консервативная среда… но это временно.
Переход на другой компилятор и другую библиотеку требует много времени и сил, так что какое-то время всё так и будет продолждаться.
Авторы программ ориентируются, почему бы авторам мессенджеров не ориентироваться тоже?Это какие-такие «авторы программ ориентируются»?
Какие известные программы вы можете назвать, которые бы ориентировались на Linux больше, чем на Windows, MacOS/iOS или Android?
Из-за скандалов растёт именно последнее, главным образом в виде роста числа пользователей linuxХде они? Эти загадочные пользователи Linux? Прячутся в подвалах?
Пользователей Linux как было 20 лет назад 1.5%-2%, так и осталось.
Да, среди разработчиков их больше (что, кстати, объясняет почему программы для разработчиков достаточно часто поддерживают Linux) — но ситуация стабильна ужа не протяжении пары десятков лет. Никакого роста нигде не наблюдается… извините.
Мы вполне наблюдаем таких людей на практикеСколько?
и статистика продаж звонилок ей соответствует (ещё раз — это намного меньший уровень фанатизма, чем mips и purism).Вот только нет никакого фанатизма. Даже такого. Статистику я приводил: подавляющее большинство «звонилок» продаётся в Афорике и Индии.
И не потому что их покупают людители Tox'а. А потому что их покупают люди, у которых нет денег на покупку смартфона или PC…
Нет, не логично. GCC появился гораздо раньше и долгое время был единственным приличным бесплатным компилятором.
Это объясняет его использование, но не его разработку.
Тот факт, что внутри самого сообщества регулярно происходят срачи
По ссылкам — куча срачей о том, какая лицензия лучше, но никто вроде не утверждает, что лицензия должна быть open source, но не свободной (не fsf-свободной).
Или вы про вот это вот ничего не слышали
Тоже ругань про стиль руководства Столлмана и про конкретные лицензии, но никто не предлагает сделать glibc несвободным.
Профессора и студенты гранты отрабатывают
Вы хотите сказать, что профессорам и студентам (а не работникам компаний) платят зарплату/стипендию за разработку gcc?
Какие известные программы вы можете назвать, которые бы ориентировались на Linux больше
Тупой пример — kde и gnome (и все их составляющие). Не тупой пример — внезапно, qemu (что имеет прямое отношение к информационной безопасности). Прямо сейчас не проверял, но когда проверял, windows-версия работала намного хуже linux-версии.
Пользователей Linux как было 20 лет назад 1.5%-2%, так и осталось.
Я не знаю, как считают авторы статистики по вашей ссылке, но вполне возможно, что именно «прячутся», то есть отключают системы трекинга, из-за чего их не считают. Один из косвенных признаков увеличения числа linux-юзеров — всё больше игр выходит вместе с linux-версией (хотя и несвободной).
Сколько?
подавляющее большинство «звонилок» продаётся в Афорике и Индии
В вашей статистике 10-20% даже в странах вроде Голландии и Франции, вряд ли там у кого-то настолько мало денег. Не факт, что они используют именно tox, но статистика не противречит тому, что они используют хоть какой-то мессенджер на ПК, и я не вижу причин, по которым они не пользовались бы мессенджерами.
Это объясняет и то и другое, извините. Компания Cygnus Solutions была создана для того, чтобы банально зарабатывать деньги на GCC — и она же вложила огромный вклад в его разработку (RedHat, понятно, приняла эстафету, когда Cygnus Solutions купила).Нет, не логично. GCC появился гораздо раньше и долгое время был единственным приличным бесплатным компилятором.Это объясняет его использование, но не его разработку.
но никто вроде не утверждает, что лицензия должна быть open source, но не свободной (не fsf-свободной).Зато сам Столлман утверждает, что тот факт, что Линусу наплевать на Тивоизацию — это прям катастрофа.
А ведь это именно то, что делает переход на свободное ПО бессмысленным с точки зрения защиты от Google и Microsoft!
Вы хотите сказать, что профессорам и студентам (а не работникам компаний) платят зарплату/стипендию за разработку gcc?Зарплату и стипендию — нет. Гранты — да.
Прямо сейчас не проверял, но когда проверял, windows-версия работала намного хуже linux-версии.QEMU — это Android Emulator. Он отлично работает на Windows и гораздо хуже — на Linux.
Один из косвенных признаков увеличения числа linux-юзеров — всё больше игр выходит вместе с linux-версией (хотя и несвободной).Это не «увеличение числа linux-юзеров». Это попытки Valve продвинуть Steambox. Результат пока не очень, но деньги туда вливаются хорошие.
Не факт, что они используют именно tox, но статистика не противречит тому, что они используют хоть какой-то мессенджер на ПК, и я не вижу причин, по которым они не пользовались бы мессенджерами.«Я не вижу причин» — это не статистика, извините. Найдёте статистику — давайте ссылку, иначе что-то обсуждать бессмысленно. Потому что моя мать (и отец, пока был жив) — входили в эту статистику (как туда входят миллионы пожилых людей), а вот мессенджерами они не пользуются. Даже слова такого не знают.
Зарплату и стипендию — нет. Гранты — да.
Из грантов как раз и платят зарплату и стипендию. И в университетах их, как правило, платят за научные исследования, а разработкой free software (минимум в известных мне университетах) люди занимаются вне официальных должностных обязанностей, соответственно, занимаются люди, поддерживающие идею free software.
А ведь это именно то, что делает переход на свободное ПО бессмысленным с точки зрения защиты от Google и Microsoft!
Тиовизация не делает переход на свободное ПО бессмысленным. Тиовизация делает бессмысленным использование тиовизованых устройств бессмысленным. На нетиовизованных устройствах переход остаётся всё так же осмысленным.
QEMU — это Android Emulator.
Это, мягко говоря, не совсем правда. То есть Androind Emulator — это сильно переделанная гуглом версия QEMU. Это примерно как говорить, что андроид — это линукс. Да, за основу был взят линукс, но большинство свойств десктопного линукса он потерял. Оригинальный QEMU, скачиваемый с qemu.org, (когда я проверял) работал под linux куда лучше, чем под windows.
Это попытки Valve продвинуть Steambox.
Последние новости — 2015 год. Зачем же разработчики игр выпускают linux-версии после этого?
это не статистика, извините.
Да, это не статистика. Это только объяснение, почему ваша статистика не подтверждает отсутствие или пренебрежимо малое количество пользователей мессенджеров и не-смартфонов.
Это примерно как говорить, что андроид — это линукс.С точки зрения пользователей и производителей железа — это действительно так. Сейчас большиснтво SOC'ов разрабатываются пот Android.
А «голый» Linux там заводят (с переменным успехом) уже пост-фактум.
Последние новости — 2015 год.Серьёзно? А вот это, это, и вот это — это какой год?
Это только объяснение, почему ваша статистика не подтверждает отсутствие или пренебрежимо малое количество пользователей мессенджеров и не-смартфонов.Это натягивание совы на глобус. Про «скрытые мегатолпы сторонников free software» я слышал и 5 лет назад и 10… и даже когда в школе учился. Однако году идут — а ни во что наблюдаемое эти мегатолпы не материализуются.
Напомню, что разработка OpenMoko началась примерно тогда же, когда и разработка Android… но Android за это время стал «операционной системой #1», а OpenMoko… не будем о грустном. Именно потому что OpenMoko — делал ставку на «скрытые мегатолпы», а Android — их игнорировал. Всегда.
Так что ставка на игнорирование ваших «скрытых мегатолп» — выигрышная. Проверено многократно.
С точки зрения пользователей и производителей железа — это действительно так.
С точки зрения пользователей это совсем не так, потому что очень маленькое количество программ (если они есть вообще) запустится и на андроиде, и на «обычном» линуксе.
Да и с точки зрения производителей железа, драйвера для железа пишутся производителем либо под андроид (то, что внутри SOC), либо под обычный линукс (условно десктопное железо + то, что внутри purism и подобных проектов), но редко и под то, и под другое сразу.
Так же и «стандартное» qemu и android emulator — это разные программы пусть и с пересекающимся кодом, но разрабатываемые разными командами и с разными возможностями для пользователя (ни для одной из них эти возможности не являются подмножеством другой).
Серьёзно? А вот это, это, и вот это — это какой год?
Во-первых, я имел в виду новости по вашей первой ссылке (или, что то же самое, новости, достаточно популярные, чтобы попасть в википедию). Во-вторых, ваши новые ссылки уже не про steambox. Во-третьих, единственное число продаж steambox по всем этим ссылкам — в англ. вики, около миллиона. Даже если грубо предположить, что в мире миллиард компьютеров (подзореваю, что реальное количество намного больше, но примем за грубую оценку, что все жители «золотого миллиарда» могут позволить себе компьютер), и linux на 2% из них, то это все равно 20 млн. По вашей же логике, производителям игр логичнее учитывать интересы 20 млн. пользователей «обычного» linux, чем 1 млн. пользователей steambox.
Однако году идут — а ни во что наблюдаемое эти мегатолпы не материализуются.
Материализуются: в пользователей игр, в пользователей стандартного qemu, в пользователей классических телефонов.
Напомню, что разработка OpenMoko началась примерно тогда же, когда и разработка Android
Ещё раз, openmoko, purism и mips — это уже следующий уровень free-software-фанатизма, таких людей действительно немного (и это если не брать во внимание другие возможные объяснения, о которых я здесь говорить не буду). А вот ставка на такой уровень фанатизма, чтобы покупать пусть не openmoko, но всё же не android — выигрышная, и производители классических телефонов, сделавших её, в ЕС и северной америке свои 10-15% имеют.
С точки зрения пользователей это совсем не так, потому что очень маленькое количество программ (если они есть вообще) запустится и на андроиде, и на «обычном» линуксе.А обычный Линукс, кроме горстки гиков, никому не интересен. Потому и market share оказывается в районе 1.5-2% уже не первое десятилетие.
Да и с точки зрения производителей железа, драйвера для железа пишутся производителем либо под андроид (то, что внутри SOC), либо под обычный линукс (условно десктопное железо + то, что внутри purism и подобных проектов), но редко и под то, и под другое сразу.Вот собственно последние ваши десять слов и показывают что вы всё понимаете. Пока не появился Android — драйвера писали под какие-то загадочные дистрибутивы embedded Linux'а (под mainline Linux никогда не писали, не обольщайтесь), после появления Android'а Linux — это как раз Android.
По вашей же логике, производителям игр логичнее учитывать интересы 20 млн. пользователей «обычного» linux, чем 1 млн. пользователей steambox.Нет. Производителям игр наплевать, по большому счёту, и на 1 миллион пользователей SteamBox и на 20 миллионов пользователей Linux. А вот на Steam — им не наплевать. Ибо для многих из них это — единственная возможность заработать. Потому если Valve скважет, что за версию для Linux вы получите каких-то плюшек — то эту версию будут делать. Не скажет — не будут.
Материализуются: в пользователей игр, в пользователей стандартного qemu, в пользователей классических телефонов.Вот только их количество — недостаточно для того, чтобы на что-то влиять…
А вот ставка на такой уровень фанатизма, чтобы покупать пусть не openmoko, но всё же не android — выигрышная, и производители классических телефонов, сделавших её, в ЕС и северной америке свои 10-15% имеют.Вот только это 10-15% продаже не транслируются в 10-15% прибыли. Даже и близко. Компании, сделавшие ставку на эти 10-15% — в основном аутсайдеры мобильного рынка типа Phillips.
Вряд ли это можно назвать «выигрышной ставкой».
market share оказывается в районе 1.5-2% уже не первое десятилетие.
Ещё раз, это очень спорная статистика, поскольку (а) для них хуже работает трекинг и телеметрия, (б) есть косвенные свидетельства, вроде программ, лучше работающих на linux.
после появления Android'а Linux — это как раз Android.
Ещё раз, существует немало PC-железа, в телефон на андроиде не вставляемого в принципе. Драйвера под linux от производителя для него, как правило, есть, их наличие указывается на коробке. Может что-то можно вставить и туда, и туда, но это далеко не всё железо.
Потому если Valve скважет, что за версию для Linux вы получите каких-то плюшек
А Valve это зачем тогда? Кому она эту версию продавать собирается? Минимум 20 миллионам пользователей linux или максимум 1 миллиону пользователей steambox?
Вот только их количество — недостаточно для того, чтобы на что-то влиять…
Они уже влияют на всё, что я перечислил в предыдущем комментарии.
Вряд ли это можно назвать «выигрышной ставкой».
Выигрышная ставка — та, которая в итоге приносит прибыль. Вообще неприбыльные направления компании, как правило, сворачивают. А классические телефоны, приносящие пусть последние проценты прибыли (кстати, непоянтно, как у классических телефонов и у самртфонов с соотношением цена/себестоимость) её всё же приносят и самсунгу, и нокии (уж они-то вряд ли аутсайдеры мобильного рынка).
Причём здесь вообще количество разработчиков под разными лицензиями? Допустим, я пользователь. Я узнал, условно, что microsoft или google в очередной раз слил чью-то переписку в скайпе, и этого человека расстреляли. Что я делаю?
Как вариант, я ставлю linux (и если бы он был open source, но не free, но код видело бы достаточное число людей, чтобы убедиться, что там нет бэкдоров, то вероятно тоже поставил бы), покупаю или достаю из шкафа телефон-звонилку вместо андроида, и начинаю использовать что-то вроде jabber вместо скайпа.
Это не делает меня free-software-фанатиком уровня MIPS и Purism, не приводит меня к определённой позиции в споре GPL vs BSD (я могу даже не узнать о нём) но добавляет в число людей, пользующихся мессенджерами, но не смартфонами.
Я лично знаю людей, для которых это так работает, и я не вижу статистики, противоречащей этому.
Как вариант, я ставлю linux (и если бы он был open source, но не free, но код видело бы достаточное число людей, чтобы убедиться, что там нет бэкдоров, то вероятно тоже поставил бы), покупаю или достаю из шкафа телефон-звонилку вместо андроида, и начинаю использовать что-то вроде jabber вместо скайпа.
Это не делает меня free-software-фанатиком уровня MIPS и Purism, не приводит меня к определённой позиции в споре GPL vs BSD (я могу даже не узнать о нём) но добавляет в число людей, пользующихся мессенджерами, но не смартфонами.
Я лично знаю людей, для которых это так работает, и я не вижу статистики, противоречащей этому.
Я лично знаю людей, для которых это так работает, и я не вижу статистики, противоречащей этому.Противоречащей чему? Наличию в природе людей, любящих «писать против ветра»? Есть такие люди. Чего нет — так это массового перехода.
Мессенджеров с количеством пользователей более миллиарда — ровно три: WhatsApp, Facebook, WeChat, Skype доминирует на Фольлендских островах… а ни Jabber'а, ни Tox'а в значимых количествах нигде нету.
Если где-то есть ваша любимая статистика, показывающая, что где-то, вдруг, случилась эпидемия и народ начал массово переходить на Tox… ну давайте ссылки, интересно будет почитать про такое чудо.
Я узнал, условно, что microsoft или google в очередной раз слил чью-то переписку в скайпе, и этого человека расстреляли. Что я делаю?Начинаете думать, когда пишите что-то «в Вачапчике»?
Как вариант, я ставлю linux (и если бы он был open source, но не free, но код видело бы достаточное число людей, чтобы убедиться, что там нет бэкдоров, то вероятно тоже поставил бы), покупаю или достаю из шкафа телефон-звонилку вместо андроида, и начинаю использовать что-то вроде jabber вместо скайпа.Кто-то и шапочку от фольги надевает, речь же не в этом. Массового перехода — точно нет, это бы было заметно…
Противоречащей чему?
Тому, с чего мы начали — людям, использующим мессенджеры на ПК, но не использующим смартфон.
Если где-то есть ваша любимая статистика, показывающая, что где-то, вдруг, случилась эпидемия и народ начал массово переходить на Tox
Tox, по ощущениям, используют действительно мало, а jabber, опять же по ощущениям, прилично. И собирать статистику по нему трудно, поскольку много разных серверов.
Массового перехода — точно нет, это бы было заметно…
Ссылок со статистикой я не видел, но вижу, что всё больше людей на страницах указывают linux-мессенджеры, так что да, заметно.
Не подскажете алгоритм действий?
А то может я чего-то не понимаю в этом телеграме…
А то может я чего-то не понимаю в этом телеграме…
Settings -> Edit profile -> Change number
Мой друг недавно потерял свой телеграм-аккаунт. Весь. Без возможности восстановления.
У него был юзернейм и был привязан телефон. Телефон со временем сменился. А потом однажды после BSOD-а телеграм разорвал соединение.
«Мы вам пришлем смс на номер». Которого не существует.
или
«Мы вам пришлем код авторизации на другое устройство».
Какое? Он больше нигде не логинился.
И всё. На гитхабе пишут «да, мы знаем об этой проблеме, но решать НЕ БУДЕМ».
У него был юзернейм и был привязан телефон. Телефон со временем сменился. А потом однажды после BSOD-а телеграм разорвал соединение.
«Мы вам пришлем смс на номер». Которого не существует.
или
«Мы вам пришлем код авторизации на другое устройство».
Какое? Он больше нигде не логинился.
И всё. На гитхабе пишут «да, мы знаем об этой проблеме, но решать НЕ БУДЕМ».
Телефон со временем сменилсяССЗБ. Может и банк-клиент к этому номеру был привязан, и он теперь не может счетом управлять?
но решать НЕ БУДЕМИ правильно. Это фича, а не баг. Представьте, некто обращается в телеграм и говорит: у меня был акк с таким-то номером. Доступа к номеру нет, но вы мне все равно верните доступ к телеге. Кроме этих слов у него никаких подтверждений. Им (телеграму) надо вернуть акк этому некто? А теперь представьте, что это Ваш акк. Вы хотите, чтобы его отдали этому некто?
А теперь представьте, что это Ваш акк. Вы хотите, чтобы его отдали этому некто?Нет, не хочу. Но решение VK — меня устраивает. Идея-то проста: вводите новый номер телефона (любой, какой хотите) и на старый номер телефона неделю приходят SMSки. После чего аккаунт передаётся новому пользователю. Достаточно один раз зайти со своим именем и паролем — и процесс останавливается.
Разумеется про то, как ведёт себя VK Дуров знает — но для инструмента «борцунов с системой» это не подходит. Почему я Телеграммом и не пользуюсь. Пытаться что-то изменить — это одно, а влазить в какие-то заварушки, когда у меня не будет возможности неделю на связь выйти — другое.
и на старый номер телефона неделю приходят SMSкиЯ не пользователь ВК (неиспользуемый акк есть, заведенный в то время, когда еще не было обязательной привязки к телефону), поэтому вопрос: какого рода смс приходят?
И я правильно понимаю, что если я знаю, что человек уехал на Алтай сплавляться на байдарках на месяц, то я вполне легитимно могу забрать его акк в ВК?
Содержимое аккаунта при передаче новому пользователю остается?
И я правильно понимаю, что если я знаю, что человек уехал на Алтай сплавляться на байдарках на месяц, то я вполне легитимно могу забрать его акк в ВК?Если пароль знаете — да, сможете.
Содержимое аккаунта при передаче новому пользователю остается?Почему новому?
Почему новому?Ну Вы же пишете:
После чего аккаунт передаётся новому пользователю
Я совсем запутался.
Может дадите ссылку на ВК, где описана эта процедура?
Эта процедура описана на десятках страниц в интернете но треблования там немного меняются со временем.
Вот первый результат из Гугла: ktonanovenkogo.ru/voprosy-i-otvety/kak-vosstanovit-stranicu-v-kontakte-dostupa-udalenii-blokirovke.html
Главное: требования меняются — но понимание того, что телефон может быть утерян остаётся.
Вот первый результат из Гугла: ktonanovenkogo.ru/voprosy-i-otvety/kak-vosstanovit-stranicu-v-kontakte-dostupa-udalenii-blokirovke.html
Главное: требования меняются — но понимание того, что телефон может быть утерян остаётся.
Баг в том, что после BSOD'а телеграм напрочь забыл, что пользователь к нему подключён.
Проблема в том, что пользователю предлагают авторизоваться только по телефону и по смс на телефон.
Никакого входа по логину и паролю, или по ключу, или по токен-файлу не предусмотрено. Потерял телефон — вали в туман. Отобрали телефон — вали в туман. Не пользовался аккаунтом нигде более — вали в туман.
Нет, это какая-то херня.
Проблема в том, что пользователю предлагают авторизоваться только по телефону и по смс на телефон.
Никакого входа по логину и паролю, или по ключу, или по токен-файлу не предусмотрено. Потерял телефон — вали в туман. Отобрали телефон — вали в туман. Не пользовался аккаунтом нигде более — вали в туман.
Нет, это какая-то херня.
BSOD был вызван телегой?
На мой взгляд BSOD достаточно нештатный режим работы. Если уж ОС не выдержала и упала, то что требовать от телеги? Или телега должна быть рассчитана на повреждения HDD, пожары и наводнения? (Я намеренно довожу до абсурда).
Тем не менее у телеги все-таки не только смс на телефон, но и другое(ие) устройства. Но симка в приоритете и это известно заранее. Поэтому беречь номер телефона при пользовании телегой равносильно беречь логин/пароль от почты в 90-х.
Сменился номер — ССЗБ. И дальше только вопрос времени, когда уйдет акк — от BSOD, пожара или кто-то получит этот номер и захочет к нему телегу привязать.
На мой взгляд BSOD достаточно нештатный режим работы. Если уж ОС не выдержала и упала, то что требовать от телеги? Или телега должна быть рассчитана на повреждения HDD, пожары и наводнения? (Я намеренно довожу до абсурда).
Проблема в том, что пользователю предлагают авторизоваться только по телефону и по смс на телефон.Проблема в том, что пользователей избаловали. Я помню времена (да и Вы должны помнить), когда у почты не было не то что привязанных телефонов, но и секретных вопросов и резервных ящиков. Только логин и пароль.
Потерял телефон — вали в туман. Отобрали телефон — вали в туман.Не в туман, а в салон связи — восстанавливать симку. По задумке это должно быть безопаснее логина/пароля, но сабж показывает, что это не так. Поэтому я бы предпочел только логин/пароль без всего остального.
Тем не менее у телеги все-таки не только смс на телефон, но и другое(ие) устройства. Но симка в приоритете и это известно заранее. Поэтому беречь номер телефона при пользовании телегой равносильно беречь логин/пароль от почты в 90-х.
Сменился номер — ССЗБ. И дальше только вопрос времени, когда уйдет акк — от BSOD, пожара или кто-то получит этот номер и захочет к нему телегу привязать.
Согласен. Разве что сказал бы так: «который пользователю дается временно при выполнении определенных условий».
И все-таки. Все условия заранее известны. Да, они далеко не идеальны, но нам приходится их принимать, ибо большинство вокруг их принимает (иначе сидели бы в условном жаббере и не парились про потерю номера). Поэтому не вижу причин жаловаться на потерю акка.
И все-таки. Все условия заранее известны. Да, они далеко не идеальны, но нам приходится их принимать, ибо большинство вокруг их принимает (иначе сидели бы в условном жаббере и не парились про потерю номера). Поэтому не вижу причин жаловаться на потерю акка.
BSOD это вообще не режим работы.
Если уж она роскомнадзор пережила, то какой-то несчастный BSOD точно должна пережить!
… на номер, который был отозван оператором год назад. Ну-ну.
Или телега должна быть рассчитана на повреждения HDD, пожары и наводнения?
Если уж она роскомнадзор пережила, то какой-то несчастный BSOD точно должна пережить!
Не в туман, а в салон связи — восстанавливать симку.
… на номер, который был отозван оператором год назад. Ну-ну.
Viber так же при смене симки говорит об обнаружении нового номера и предлагает прозрачно на него «съехать». Ваши контакты получат уведомление, что у вас сменился номер. Вам даже не нужно будет им звонить и объясняться или рассылать массово СМС «привет, это мой новый номер, запиши типа».
В контексте разделения работа/личное меня очень парит, что в телеге нельзя просто(!!) создать второй аккаунт. Это прям пляски с бубном.
Если смена номера плановая, а не «аварийная», то любой из современных мессенджеров позволяет указать новый номер и выполнить миграцию на него.
При этом как минимум тележка и вайбер еще и пропишут этот новый номер у всех ваших собеседников в этом мессенджере в контакты уже в самом телефоне (в телефонной книжке контактов т.е.).
В некоторых случаях это, кстати, может быть минусом.
При этом как минимум тележка и вайбер еще и пропишут этот новый номер у всех ваших собеседников в этом мессенджере в контакты уже в самом телефоне (в телефонной книжке контактов т.е.).
В некоторых случаях это, кстати, может быть минусом.
А зачем сейчас покупать новый номер для личных нужд? Переход к другому оператору с сохранением номера работает вполне себе ок.
Потому номер от критической почты должен быть неизвестным. В идеале контрактным :)
Поэтому у критической почты не должно быть номера
Fixed.
Если серьёзно — Google, Yandex, и, конечно, провайдеры посерьёзнее вроде Protonmail разрешают не иметь телефона у почтового ящика. Yandex вам не даст настроить 2fa без этого (иронично), у остальных, кого я знаю, всё хорошо
Яндекс?! Попробуйте завести почту на яндексе без телефона. Подождите недельку, и попробуйте зайти в неё ещё раз.
Видимо индивидуально. Яндекс завели без проблем без телефона и все работает. А вот гугл без телефона завести не удалось, пришлось вбивать, правда потом удалось отвязать.
Скоро перестанет работать. При попытке входа пришлют сообщение, что вас пытаются взломать, поэтому, чтобы защитить ваш аккаунт, привяжите-ка ваш телефон.
У меня несколько таких есть и пока всё нормально. Видимо, выборочно проверяют или по мере активации каких-то сервисов.
В формате «завёл почту, один раз на неё что-то активировал, записал пароль и закрыл» ящики держатся последние вот уж год как.
В формате «завёл почту, один раз на неё что-то активировал, записал пароль и закрыл» ящики держатся последние вот уж год как.
Вот не факт. У меня есть куча старых аккаунтов, на которые я захожу раз в полгода и номера не требует.
Проблемы возникают, если ты заходишь из другого места, либо аккаунт делал что-то подозрительное.
Проблемы возникают, если ты заходишь из другого места, либо аккаунт делал что-то подозрительное.
Прилетали такие мейлы и от Гугл и Майкрософт и т.д. Я просто игнорировал их и пользуюсь далее. Пока не принуждали.
На яндекс без проблем учетки без телефона заводил.
А вот с гуглом, да, жопа. Блокируют учетку через пару дней без телефона. Если указать номер, а потом отвязать, то также блокируют учетку пока новый не введешь.
Микрософт тоже учетку блокировали без номера. Но после двух недельных ругательств со службой поддержки, таки смог воссьановить учетку без номера.
А что касается гугла, то есть небольшой лайфхак, если создать и использовать аккаунт на андроидфоне как основной, то его не блокируют.
Через некоторое время использования, наверное, можно от девайса отвязать.
В своё время имел привязанные к Гуглу, Яндексу и Фейсбуку мобильные номера. Давно отвязал их все и всё работает.
Они знают, что у меня был телефон (и я не бот), но не используют их для аутентификации или восстановления пароля
С другой стороны, если ваш акк как-то взломают, у вас не будет даже возможности попытаться вернуть контроль (конечно, если «всё серьёзно», вам и номер ваш отвяжут быстренько).
если ваш акк как-то взломают
При условии надёжного пароля (уж для гугла можно непоскупиться и сгенерить и выучить уникальный и надёжный) и если гугл действительно вообще ни при каких обстоятельствах не пускает никак, кроме как по паролю, поверхность атаки значительно снижается по сравнению с sms, примерно так же, как с шифрованием диска по паролю. Если уж пароль выведали, то даже физический телефон украсть по сравнению с этим — не проблема.
При условии надёжного пароля (уж для гугла можно непоскупиться и сгенерить и выучить уникальный и надёжный) и если гугл действительно вообще ни при каких обстоятельствах не пускает никак, кроме как по паролю
Относительно слабое определение, так как я уже наблюдал два раза вход в аккаунт без знания пароля. Один раз это было в 2014 году, очевидно с помощью HeartBleed, второй раз недавно, 16 числа, похоже по подобной уязвимости. К счастью оба раза не мой личный аккаунт, но «недалеко». В 2014-м слили всю переписку, вставили пароль приложения в качестве «бэкдора», прописали свой, левый телефон для двухфакторной авторизации на время слива почты, дефейснули пару учёток на сайтах со входом с того гугл аккаунта. В этот раз — получили доступ к разделу адвордс, вставили левых рекламных компаний. Так что я вообще ничего важного не доверял бы гуглу…
У гугла важно наличие на аккаунтах TOTP 2FA. Если есть — учетки без телефонов живут спокойно и счастливо (тьфу-тьфу-тьфу).
Я правильно понимаю, что этот метод требует исполнения кучи закрытого гугловского и андроидовского кода при каждом входе?
Это TOTP. Его спеки открыты, реализации доступны в исходниках.
А как его использовать при входе в гугл? Я не нашёл, как это сделать в веб-версии гугла (может плохо искал, тогда прошу прощения) и как это сделать в thunderbird, поэтому мне показалось, что для этого нужно запускать приложение от гугла на андроидовском телефоне.
Заходите в Google Account, потом слева выбираете Security, будет примерно так, как на скриншоте по ссылке:
https://drive.google.com/open?id=1UVsWfNV3mlOt68zdZy6lnZ1OELwKc02K
А дальше уже выбираете конкретный способ 2FA.
Возможно, среди предложенных вариантов не будет нужного, а только через телефон и USB-key — тогда, говорят, помогает привязать телефон, снова попробовать включить 2FA, уже через TOTP, а телефон можно отвязать.
В Thunderbird это зависит от того, как вы настраивали аккаунт — выбрали Google Mail из предложенных или вручную как сторонний сервис. Если первое, то там, по-идее, должен быть 2FA, но я не уверен, потому что не пробовал, а не пробовал, потому что мне не нравится отдавать на сторону полный доступ к аккаунту.
Правильней будет
а) Сгенерировать app password в аккаунте гугла.
б) Настроить Thunderbird на использование стороннего почтового сервиса, указав вручную хосты IMAP и SMTP, порты и т.д.
в) При этом в качестве пароля к аккаунту указать app password из п. а).
App Password не дает полного доступа к аккаунту, не действует в веб-версии, это только доступ к почте через POP3/IMAP/SMTP, а для почтовой программы больше ничего и не нужно.
https://drive.google.com/open?id=1UVsWfNV3mlOt68zdZy6lnZ1OELwKc02K
А дальше уже выбираете конкретный способ 2FA.
Возможно, среди предложенных вариантов не будет нужного, а только через телефон и USB-key — тогда, говорят, помогает привязать телефон, снова попробовать включить 2FA, уже через TOTP, а телефон можно отвязать.
В Thunderbird это зависит от того, как вы настраивали аккаунт — выбрали Google Mail из предложенных или вручную как сторонний сервис. Если первое, то там, по-идее, должен быть 2FA, но я не уверен, потому что не пробовал, а не пробовал, потому что мне не нравится отдавать на сторону полный доступ к аккаунту.
Правильней будет
а) Сгенерировать app password в аккаунте гугла.
б) Настроить Thunderbird на использование стороннего почтового сервиса, указав вручную хосты IMAP и SMTP, порты и т.д.
в) При этом в качестве пароля к аккаунту указать app password из п. а).
App Password не дает полного доступа к аккаунту, не действует в веб-версии, это только доступ к почте через POP3/IMAP/SMTP, а для почтовой программы больше ничего и не нужно.
Ясно, спасибо:
Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер:
habr.com/ru/post/468909/#comment_20673717
Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.
Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.
Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?
Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.
говорят, помогает привязать телефон
а телефон можно отвязать
Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер:
habr.com/ru/post/468909/#comment_20673717
Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.
как вы настраивали аккаунт
Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.
отдавать на сторону полный доступ к аккаунту
Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?
Сгенерировать app password в аккаунте гугла
Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.
Попробуйте, может быть, можно добиться желаемого без указания телефона. У меня лет 10 были указаны телефоны в аккаунтах, лет 7 настроена 2FA, года 2 назад я убрал все телефоны, 2FA/TOTP осталось. Т.е. я уже банально не помню всех подробностей и последовательностей действий, но текущее состояние таково, что 2FA/TOTP есть, телефонов нет, и гугл не возмущается по этому поводу, хотя периодически и напоминает при входе, что, мол, телефона нет, чувак, ты уверен, что так и надо? Я отвечаю уверен и он какое-то время не беспокоит. Но я и веб-интерфейсом редко пользуюсь.
Да, легко проверить:
Откройте страницу входа в приватном окне браузера, напишите свой email и ткните «забыл пароль». Посмотрите, какую информацию будут спрашивать. Отвечайте на всё «я не знаю», чтобы вам продолжали предлагать варианты.
Это гарантирует безопасность, только если ответы на эти вопросы имеют такую же энтропию и секретность, как пароль. Иначе может оказаться, что при ответах на все вопросы «не знаю» вас пошлют, а если правильно ввести, скажем, настоящий год рождения, то попросят код из sms на «отвязанный» номер, а потом пустят.
А что если по imap попробовать получать почту без телефона, даст ли?
По imap гугл пускает ещё хуже, чем через веб-интерфейс. У меня бывали ситуации, когда в веб-интерфейс пускали без телефона (это до сих пор так, к счастью), а в imap нет, говорили «войдите через браузер».
У меня не было случаев когда на телефоне учетка использовалась, а через imap была заблокированна.
Кстати, у гугла по умолчанию в настройках конфиденциальности вход по smtp, pop3 (и, может быть, imap, точно не помню) отключен.
C google'ом есть лайфхак:
Берете сброшенный на дефолт android-смвртфон (скорее всего проканает и с эмулятором) и при запросе google-аккаунта выбираете «создать новый», придумываете пароль и радуетесь гугл-почте без номера телефона.
А из веб-версии да, обязыввает ввести номер телефона
Берете сброшенный на дефолт android-смвртфон (скорее всего проканает и с эмулятором) и при запросе google-аккаунта выбираете «создать новый», придумываете пароль и радуетесь гугл-почте без номера телефона.
А из веб-версии да, обязыввает ввести номер телефона
Можно и из веб версии, но нужен резидентский айпи с которого до этого не регали аккаунты. Тогда он не будет спрашивать номер.
А вот «отвязка» на самом деле ничего не дает, даже если потом другой номер привязать, то при срабатывании антифрода потребует смску на номер который был указан при реге. Так легко аккаунт потерять.
А вот «отвязка» на самом деле ничего не дает, даже если потом другой номер привязать, то при срабатывании антифрода потребует смску на номер который был указан при реге. Так легко аккаунт потерять.
Учитывая, что у Вас провайдерский адрес, а не Вы сами себе купили IP-адрес, то ничего не меняется — какой-то клиент до Вас мог этот адрес заблочить (еще до того, как Вы получили статик)…
Ну, и давайте будем честными — статик — это означает, что у Вас адрес всегда при выходе в интернет один и тот же (против динамически изменяемого). Совершенно необязательно, что он не делится с кем-то еще (конечно, если в договоре с провайдером не указано иное)
Пытался зарегистрировать брату планшетик свежо купленный, с дуру вбил его реальный возраст, из-за которого гуголь решил создать обрубочный аккаунт (детский) с просьбой ввести почту мамы-папы. Откат и изменение возраста и прочее такое не помогало, ну никак, гугл писал «введите реальный возраст», или что-то около того.
Интернет был через вайфай, с белым ИПом. В итоге я даже через ПК несмог зарегистрировать, пока через впнку не попробовал.
Чего они этим добиваются?
Интернет был через вайфай, с белым ИПом. В итоге я даже через ПК несмог зарегистрировать, пока через впнку не попробовал.
Чего они этим добиваются?
Чего они этим добиваются?Возможности не смотреть на небо в клеточку? За нарушения COPPA можно получить весьма немало.
Причём сам закон диктует вот это вот всё: он требует «защиты детей» — но при этом такой, чтобы ребёнок не смог догадаться, что его «защищают» и обойти её, просто обманув и сказав, что ему 90 лет.
Учитывая что вам эту защиту потребовалось обходить аж с помощью VPN (будем считать, что ребёнок, умеющий в VPN уже достаточно взрослый, чтобы порно смотреть)… цель вроде достигнута…
del, пока писал, khim написал лучше и развернутей
Не понял? То есть если с ip заергистрировался ребенок, то взрослый себе другой аккаунт завести уже не сможет?
С того же устройства — нет. Хотя, может, если вайпнуть…
Вот мне тоже кажется, что если устройство свежекупленное и при первоначальной настройке что-то пошло не так, то возврат к заводским установкам — первая очевидная мысль. Особенно если (я правильно понимаю, что это так?) в гугле в итоге не «детский» аккаунт проапгрейдили, а завели абсолютно новый. То есть вы не пробовали вайпать?
Я не понял, к чему относилась ирония, ко всему предложению?
Ни гугл ни яндекс не разрешают завести почту без номера телефона. Может быть это можно обойти какими-то хитростями, но как обычный пользователь я просто вижу перед собой окошко с требованием ввода номера телефона и не могу с ним ничего сделать — ни закрыть, ни отложить на бесконечность.
Ни гугл ни яндекс не разрешают завести почту без номера телефона. Может быть это можно обойти какими-то хитростями, но как обычный пользователь я просто вижу перед собой окошко с требованием ввода номера телефона и не могу с ним ничего сделать — ни закрыть, ни отложить на бесконечность.
Регулярно использую яндекс для одноразовых ящиков —
s.nord.by/s/m/2019-09-26_11-10-30_98ae3510-f4c9-4dec-a674-1a2085de2d081622.png
s.nord.by/s/m/2019-09-26_11-10-30_98ae3510-f4c9-4dec-a674-1a2085de2d081622.png
А вы всегда с одного и того же IP заходите?
используйте 10minutemail, это проще
Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.
У меня 3 яндекс-учётки и 1 google, телефон не доступен как способ восстановления ни в одной из них.
- К Google был привязан номер телефона (потому что Андроид). Успешно отвязался. 2FA через TOTP или резервные пароли, для восстановления номер телефона не предлагают
- Яндексовые, вероятно, тоже с номерами были. К одной привязан прямо сейчас (потому что Яндекс-такси), но для восстановления недоступен — доступен только резервный email или «заполните анкету с персональными данными и мы поговорим». 2FA через TOTP не дают включить, требуют разрешить аутентификацию по номеру телефона
Если данные действительно серьёзные надёжнее озаботится и купить ключик.
Поскольку он, в отличие от телефона, клонируется пользователем, а не ОпСоСом, то шансы на то, что его «угонят» крайне малы.
P.S. Строго говоря U2F в принципе не клонируется, но имея один — можно привязать и другой к тому же аккаунту, достаточно дома (ну или в другом «надёжном месте») заныкать бумажку с кодами.
Поскольку он, в отличие от телефона, клонируется пользователем, а не ОпСоСом, то шансы на то, что его «угонят» крайне малы.
P.S. Строго говоря U2F в принципе не клонируется, но имея один — можно привязать и другой к тому же аккаунту, достаточно дома (ну или в другом «надёжном месте») заныкать бумажку с кодами.
В WhatApp можно дополнительно установить ПИН.
Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
Благодаря нашим «законотворцам» это все сложнее делать.
Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»
Проблема начнётся тогда, когда сервис сойдёт с ума и решит, что ваш фактор «знаю пароль» недостаточен, чтобы войти.
Например, яндекс однажды просто взял и заблочил мою учётку за «подозрительную активность». Ничего, кроме пароля, там не стояло. Потребовался не один месяц, чтобы доказать, что я не верблюд, и восстановить аккаунт.
А эпл недавно молча включил обязательную проверку второго фактора при входе в некоторые их сервисы. Если же второго фактора нет, то попросят ответы на два контрольных вопроса, которые вы задавали лет так 10 назад. Ошиблись несколько раз подряд (хотя бы на один из двух) — добро пожаловать в блокировку. Восстановить контрольные вопросы, не имея привязанного второго фактора, нельзя, можно только выкинуть аккаунт и завести новый.
Поэтому лично я считаю, что номер по возможности должен быть привязан, но он не должен совпадать с общеизвестным вашим номером.
Если вы за этот номер готовы платить и в принципе не против показать свои документы — не обязательно.
Пример — берем Zadarma.ru и регистрируем и себе номера. Сотовые — обычно 120 рублей в месяц, за номер (если России/США),. И хоть обпринимайтесь SMS (будут валится в их приложение/на почту/FB Messenger/Telegram).
Из недостатков:
— скан паспорта и остальное — придется им загрузить (вообще это сервис IP-телефонии а не).
— с Российских номеров отправлять (если оно вам надо) СМС — нельзя вообще в принципе.
— с MNP насколько я понимаю — оно не совместимо никак.
Пример — берем Zadarma.ru и регистрируем и себе номера. Сотовые — обычно 120 рублей в месяц, за номер (если России/США),. И хоть обпринимайтесь SMS (будут валится в их приложение/на почту/FB Messenger/Telegram).
Из недостатков:
— скан паспорта и остальное — придется им загрузить (вообще это сервис IP-телефонии а не).
— с Российских номеров отправлять (если оно вам надо) СМС — нельзя вообще в принципе.
— с MNP насколько я понимаю — оно не совместимо никак.
Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.
Другой вопрос в том, насколько это безопасно, как в случае zadarma, так и в случае обычных операторов (насколько сложно узнать такой номер, особенно если он используется при регистрации во многих местах, и потом провести стандартную атаку), и можно ли найти сервисы, НЕ ставящие клиентов перед выбором «или создавай уязвимость (говори телефон) или ожидай рандомного отказа в обслуживании и потери данных».
Другой вопрос в том, насколько это безопасно, как в случае zadarma, так и в случае обычных операторов (насколько сложно узнать такой номер, особенно если он используется при регистрации во многих местах, и потом провести стандартную атаку), и можно ли найти сервисы, НЕ ставящие клиентов перед выбором «или создавай уязвимость (говори телефон) или ожидай рандомного отказа в обслуживании и потери данных».
отправкой одной sms-ки себе раз в месяц
Раз в 3 месяца достаточно. В большинстве случаев номер не отберут гораздо дольше. У меня чёрный оператор забрал специально оставленный протухать номер только спустя полтора года. Даже оставленные копейки начали списывать гораздо позже 3 месяцев. Где-то через полгода, если правильно помню.
Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.
Отправка периодической смски — это дёшево, но очень неудобно и сравнительно опасно. На каждую такую симку надо иметь отдельную звонилку, периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей, и т. д.
Почти у каждого оператора можно подключить какую-нибудь дешёвую ежемесячную услугу/абонплату, которая засчитается за активность номера. Цена вопроса обычно в районе 20 рублей в месяц. После этого симку можно положить в ящик и не беспокоиться вообще ни о чём.
Тут скорее вопрос в том, кому и как сильно надо взломать именно вас. Если речь об обычных жуликах с липовыми доверенностями, то достаточно просто нигде не палить номер и регистрировать его не на себя. Даже простым перемешиванием номеров в пределах одной семьи уже можно отсечь массу горе-злоумышленников.
периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей
Это нужно, только если стоит задача обеспечения полной анонимности. Но тогда zadarma, где требуется скан паспорта (да и платить потом, вероятно, не биткойнами, и не через терминалы оплаты сотовой связи, а даже если и через терминалы — это такое же неудобство, как проветривание симки) — явно бесполезная опция.
Я скорее комментировал предыдущие комментарии в этой ветке, где полная анонимность вроде не предполагалась, а фактически предлагалось использовать номер телефона как пароль (ещё один или единственный, в зависимости от сервиса), со всеми недостатками такого «пароля».
Будем отталкиваться от того, что всё, что знает ваш сотовый оператор о вас, посмотрит любая Маринка в любом салоне связи под Новокузнецком. Максимум, что этой Маринке в итоге светит за массовый перевыпуск карт — увольнение с офигенской зарплаты в 7 тысяч рублей.
Т.е. чтобы хоть как-то усложнить Маринке жизнь, сим-карта для восстановления пароля должна быть по самому минимуму оформлена не на вас, и никогда не светиться с вашего IMEI. Остальное опционально и зависит от уровня параноидальности, да.
Т.е. чтобы хоть как-то усложнить Маринке жизнь, сим-карта для восстановления пароля должна быть по самому минимуму оформлена не на вас, и никогда не светиться с вашего IMEI. Остальное опционально и зависит от уровня параноидальности, да.
Казалось бы, если Маринка работает в компании zadarma, она может сделать то же самое.
Конечно. Я и не призываю ей пользоваться, даже наоборот, обеими руками за левые симки с подключением какой-нибудь дешёвой опции, делающей их несгораемыми.
С этим согласен. Хотя на мой взгляд, лучше искать и использовать безтелефонные сервисы, их пока ещё можно найти.
А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.
А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.
«Стандартную атаку» = «прийти в центр обслуживания и мальчика который работает за 20 тысяч в месяц попросить перевыпустить карту»? С Zadarma и аналогами — не пройдет фокус.
Если речь про дыру с «роумингом» в SS7 — тут все же немного повыше уровень атаки.
Если про дыру что товарищи в штатском вежливо попросят копию СМС… отправка СМС на e-mail у Zadarma — штатный функционал вообще то и документы они — просят. От такой атаки — не защитят. И да, оплаты биткоинами нету.
Если же товарищи в штатском — угроза и выбран вариант использовать дешевую левую симку тогда надо эту симку не ставить в телефоны где была «родная» и не включать этот телефон вне мест скопления людей (куда идти с выключенным/в авиарежиме своим телефоном) — соответствие данных симки и IMEI спалите.
Вопрос именно в том, от кого именно мы защищаемся? И сколько готовы потратить.
Если речь про дыру с «роумингом» в SS7 — тут все же немного повыше уровень атаки.
Если про дыру что товарищи в штатском вежливо попросят копию СМС… отправка СМС на e-mail у Zadarma — штатный функционал вообще то и документы они — просят. От такой атаки — не защитят. И да, оплаты биткоинами нету.
Если же товарищи в штатском — угроза и выбран вариант использовать дешевую левую симку тогда надо эту симку не ставить в телефоны где была «родная» и не включать этот телефон вне мест скопления людей (куда идти с выключенным/в авиарежиме своим телефоном) — соответствие данных симки и IMEI спалите.
Вопрос именно в том, от кого именно мы защищаемся? И сколько готовы потратить.
С Zadarma и аналогами — не пройдет фокус.
Вы знаете что-нибудь о (не)корумпированности сотрудников zadarma? Да, я имею в виду именно атаку с получением через них ваших sms.
Чего то сакрального — не знаю. А вот то что там техподдержка значительно более компетентная (и видимо получающая больше) чем рядовой василий в салоне на окраине бобруйска у операторов на буквы М / Т / Б — имею основания считать.
Также — имею основания считать что по 'их' номеру вы так просто не поймете что задарма (будет оператор на букву М из трех букв но последняя не С).
Опять ж — аналоги, есть. И имеют все преимущества описанные.
Также — имею основания считать что по 'их' номеру вы так просто не поймете что задарма (будет оператор на букву М из трех букв но последняя не С).
Опять ж — аналоги, есть. И имеют все преимущества описанные.
Если вторая симка от оператора другой страны, возможно это будет полезно.
Не очень, поскольку есть уязвимость SS7. Коротко: российский оператор может сказать оператору, выпустившему симку «симка роумится у меня» (уязвимость в том, что оператор, выпустивший симку, не может это проверить), а потом за взятку или по приказу компетентных органов форвардить все sms атакующему.
Вообще говоря, это может сделать любой оператор, но тому, у которого реально роумится ваша симка, даже врать не надо, говоря «симка роумится у меня».
Вообще говоря, это может сделать любой оператор, но тому, у которого реально роумится ваша симка, даже врать не надо, говоря «симка роумится у меня».
Интересно. Но как я понимаю, это технически посложнее и требует большей подкованности в вопросе, чем та, что профигурировала в истории автора.
Технически, если симка реально роумится, не знаю. Вопрос в том, насколько «близко» у операторов лежат таблицы «sms отправленные на данный роуминговый номер» (для чтения) и «физические sim-карты, соответствующие собственным номерам» (для записи). Но это правда, что легитимный перевыпуск сим-карт происходит постоянно, а ситуацию «настоящий абонент просит у роумингового (!) оператора копию полученных sms» представить себе сложнее.
В телеграме есть 2FA
ОПа жалко, но пусть его пример напомнит ещё раз:
Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
В Телеграме, кажется, чутка хитрее.
Если есть активные сессии, то придет не CMCка, а уведомление в телеграм от сервисного аккаунта.
Вот прямо сейчас лежит на столе телефон, который не использовался уже часа два, вообще не включал экран и не поднимал его, на нем и на десктопе один аккаунт телеграма. В десктопной версии я вижу сессию с телефона как активную. Разве ночью что-то должно измениться?
Мэйлру буквально на днях обновил интерфейс почты. Теперь на входе предлагает ввести пароль или войти по смс. И это действительно нифига не двухфакторная.
Ахах. Это еще что. Вот у кого «двухфакторная авторизация», так это у letyshops.
Был зареган аккаунт, привязан телефонный номер для подтверждения вывода средств. Прошлым летом летели с женой на самолете и, на пересадке в аэропорту, на почту свалилось письмо, что оформлена заявка на вывод средств на яндекс-кошелек. Я, будучи вполне уверенным, что находясь даже без доступа к СМС (роуминг не подключал) никаких заявок не подавал — сразу написал письмо в ТП, что происходит грабеж среди бела дня и успокоился. Когда в следующий раз добрался до интернета опять — деньги были уже выведены и ТП написала, что все порядке и ничем помочь не могут. В процессе общения с оной выяснилось, что их «двухфакторная авторизация» заключалась в том, что для подтверждения вывода средств нужно было просто ввести ПОЛНЫЙ привязанный номер в строку подтверждения и ВСЁ! Даже никаких кодов через СМС они не посылали.
Денег так и не вернули (было больше ста баксов кэшбэка) и это была последняя моя встреча с letyshops.
Был зареган аккаунт, привязан телефонный номер для подтверждения вывода средств. Прошлым летом летели с женой на самолете и, на пересадке в аэропорту, на почту свалилось письмо, что оформлена заявка на вывод средств на яндекс-кошелек. Я, будучи вполне уверенным, что находясь даже без доступа к СМС (роуминг не подключал) никаких заявок не подавал — сразу написал письмо в ТП, что происходит грабеж среди бела дня и успокоился. Когда в следующий раз добрался до интернета опять — деньги были уже выведены и ТП написала, что все порядке и ничем помочь не могут. В процессе общения с оной выяснилось, что их «двухфакторная авторизация» заключалась в том, что для подтверждения вывода средств нужно было просто ввести ПОЛНЫЙ привязанный номер в строку подтверждения и ВСЁ! Даже никаких кодов через СМС они не посылали.
Денег так и не вернули (было больше ста баксов кэшбэка) и это была последняя моя встреча с letyshops.
А у опсосов было же, что при замене симкарты СМС блокируются на сутки. Как раз для избежания таких ситуаций. Или там двухфакторная аутентификация по звонку?
Заявления в полицию, в ФСБ (отдел «К»), в Роскомнадзор (дада, пусть хоть раз что-то полезное сделают).
Настаивать на том что дело срочное.
Копии заявлений следует прикрепить к письмам в МТС, Рег.ру и исходному регистратору домена. Пусть блокируют возможность изменения записей в dns до решения суда.
Думаю всё решаемо. Главное действовать быстро.
Удачи!
Настаивать на том что дело срочное.
Копии заявлений следует прикрепить к письмам в МТС, Рег.ру и исходному регистратору домена. Пусть блокируют возможность изменения записей в dns до решения суда.
Думаю всё решаемо. Главное действовать быстро.
Удачи!
Хаха. Знаете, что Роскомнадзор сделает? Направит через месяц запрос в МТС. Отгадайте, что на этот запрос ответит МТС? Подсказка: они себе не враги.
Периодически что-то подобное с народом происходит…
Периодически мошенников за ж.пу таки ловят.
Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»
Периодически мошенников за ж.пу таки ловят.
Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»
Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»Не, я не говорю, что жаловаться не надо. Я описал конкретную реакцию РКН на действия с паспортными данными (по идее же перевыпуск сим-карты должен по паспорту производиться) из личного опыта. Собственно, просто пришлась к слову.
Как сказать. Я когда возвращал деньги за подключенные платные услуги, то воспользовался Роскомнадзором как рычагом. С МТС звонили и просили отозвать обращение. Так что в моем случае это работало.
Отдел К к ФСБ не имеет никакого отношения и заявления напрямую не принимает. В отдел К запрос может послать следователь полиции (если у него будет желание и настроение) и только после этого они будут что-то делать. Ну а Роскомнадзор тут совсем не при чем.
Автора очень жаль, но это всем напоминание что смс не является надежным каналом для второго фактора. Только приложение типа Google Authenticator, USB ключ или смарткарта. Это все стоит очень дёшево и позволить себе может даже простой человек, не то что бизнес.
https://techbeacon.com/security/state-two-factor-authentication-text-what-security-pros-need-know
А вы не знаете случайно как теперь включить двухфакторную по OTP в Gmail, если она не была включена до этого? Недавно попробовал для нового аккаунта, а там просто нет такой опции, вообще. Есть смс и «разрешать вход на телефоне».
OTP в Gmail как отдельный способ защиты теперь недоступен (если ранее не был включен). Где-то год уже как.
Кто-то пишет, что OTP как опция появляется при привязке телефонного номера, — для возможности восстановления OTP, но это совсем не тот уровень защиты по OTP, что был у Google раньше.
Кто-то пишет, что OTP как опция появляется при привязке телефонного номера, — для возможности восстановления OTP, но это совсем не тот уровень защиты по OTP, что был у Google раньше.
Интересно можно ли привязать номер, включить OTP и потом отвязать его?
И нафига они вообще так сделали?
И нафига они вообще так сделали?
Видимо, далеко не все заботятся о сохранении OTP где-то еще помимо основного устройства, тогда при пропаже основного телефона доступ к аккаунту потерян.
Сейчас попробовал, вполне рабочий вариант — выбор для второго фактора уведомления на устройстве (он идет в комплекте с 10 резервными кодами), после этого становится доступно добавление OTP.
Сейчас попробовал, вполне рабочий вариант — выбор для второго фактора уведомления на устройстве (он идет в комплекте с 10 резервными кодами), после этого становится доступно добавление OTP.
support.google.com/accounts/answer/185839?co=GENIE.Platform%3DAndroid&hl=ru
Пройти по всем шагам из инструкции — самое простое. Где-то месяца два назад делал — всё успешно было. Правда у меня номер привязан.
Пройти по всем шагам из инструкции — самое простое. Где-то месяца два назад делал — всё успешно было. Правда у меня номер привязан.
SMS вообще не является безопасным каналом связи.
Можно только догадываться, почему каждая собака норовит его спросить при регистрации.
Можно только догадываться, почему каждая собака норовит его спросить при регистрации.
Им удобно, что к каждому пользователю привязан номер паспорта и все проверки клиента уже провели спец. организации.
Попробуйте зарегистрировать что-нибудь на международный номер телефона, вроде iNum. Вам не дадут; у сервисов есть ограниченный список стран, номера которых принимаются.
Можно только догадываться, почему каждая собака норовит его спросить при регистрации.
Полагаю, что чтобы затруднить доступ анонимным оппозиционерам. А на безопасность пользователей им иногда более-менее плевать (тогда они разрешают сброс пароля через sms), а иногда всё же нет (и тогда они всё же требуют обычный пароль).
Тут есть ещё момент, что при внезапном окирпичивании телефона про доступы привязанные к G.Authenticator можно забыть.
OTP секреты можно бекапить. Лично мои лежат зашифрованные gpg в git репе (-ах).
А как его вообще переносить на другую мобилку?
Использовать менеджер паролей, они уже многие генерируют OTP.
Бесплатный офлайн менеджер Enpass, базу между устройствами синхронизируете через любое облако Google Drive, Dropbox и др.
Папку синхронизации делаете с офлайн доступом.
Таким образом актуальная зашифрованная база паролей с кодами будет всегда на
Бесплатный офлайн менеджер Enpass, базу между устройствами синхронизируете через любое облако Google Drive, Dropbox и др.
Папку синхронизации делаете с офлайн доступом.
Таким образом актуальная зашифрованная база паролей с кодами будет всегда на
- Облаке (онлайн)
- Компьютере (офлайн)
- Телефоне (офлайн)
- В корзине облака (если удалится)
Держать пароли и плагин для генерации одноразовых кодов на одном устройстве и к тому же в одной программе — глупее не придумаешь.
Это уж точно не менее надёжно, чем использовать только пароль. А иногда и более — больше шансов, что борцы с анонимностью в гугле или в других сервисах не будут уж слишком борзеть и требовать «повышения безопасности», когда авторизация и так двухфакторная с их точки зрения.
При включении Google Authenticator выдается набор разовых кодов, как раз на подобный случай. Хранить их в отдельном от телефона месте и при потери телефона возможно будет войти в аккаунт.
Храните токены в хранилке паролей, в случае необходимости есть, например, WinAuth.
Authy
Есть Aegis и andOTP, в них можно сделать зашифрованную резервную копию.
может, authy использовать?
На iOS гугловский Authenticator бэкапится в облако, плюс можно сделать локальный бэкап через itunes, но тогда нужно включить шифрование бэкапа. Сам столкнулся с этим недавно, обновлял прошивку, пытался нагуглить перенесутся ли коды при восстановлении из бэкапа, на удивление не нашел нигде четкого и вразумительного ответа, в итоге потренировался на старом телефоне — всё получилось. Далее обновил прошивку, накатил основной бэкап — всё прошло гладко. На андроиде с этим полегче, там можно даже секрет вытянуть из приложения при желании
в статье ни слова про двухфакторку по смс. если что.
Насколько я понял из текста, второго фактора в данном случае не было в принципе.
Двухфакторная аутентификация предполагает использование двух независимых друг от друга факторов. Если один можно восстановить через другой (пароль через смс, например), то 2FA в данном случае фактически отсутствует.
Двухфакторная аутентификация предполагает использование двух независимых друг от друга факторов. Если один можно восстановить через другой (пароль через смс, например), то 2FA в данном случае фактически отсутствует.
Государство уже чуть ли не сажает за нарушения работы с персональными данными, а тут номер увели, альфа и омега современной жизни. Не мог бы мобильный оператор понести крупную материальную ответственность за свою ошибку? Это было бы весьма выгодно всем гражданам.
На деле, эти данные регулярно утекают и гуляют в свободном доступе.
За последний год у кучи народу увели деньги с банковских карт. Банальный (хотя и очень грамотный) развод по телефону по принципу «это служба безопасности банка, ваш личный кабинет взломан, назовите цифры на вашей карте чтобы удостоверить вашу личность», но — мошенники при звонке знали ФИО жертв и некоторые другие личные данные, что повышало достоверность.
За последний год у кучи народу увели деньги с банковских карт. Банальный (хотя и очень грамотный) развод по телефону по принципу «это служба безопасности банка, ваш личный кабинет взломан, назовите цифры на вашей карте чтобы удостоверить вашу личность», но — мошенники при звонке знали ФИО жертв и некоторые другие личные данные, что повышало достоверность.
У меня недавно в ватсапе была переписка с неизвестным номером, следующего содержания (по памяти, Я и НеизвестныйНомер):
(НН) — Привет! Можешь помочь с телефоном?
(Я) — Привет! Как?
(НН) — У меня не получается зарегистрироваться, поможешь?
(Я) — Как?
(НН) — Ну тебе сейчас придёт пин-код, а ты мне его скажи.
Возможно, даже такое прокатывает.
(НН) — Привет! Можешь помочь с телефоном?
(Я) — Привет! Как?
(НН) — У меня не получается зарегистрироваться, поможешь?
(Я) — Как?
(НН) — Ну тебе сейчас придёт пин-код, а ты мне его скажи.
Возможно, даже такое прокатывает.
Моей маме недавно пришло письмо от Apple, в котором было написано примерно следующее:
«Дорогая Анна, вы зарегистрировали новую учетную запись Apple на ваш email <такой-то>, для подтверждения нажмите на ссылку внизу».
Мою маму зовут иначе и она ничего не регистрировала, просто кто-то ошибся email'ом.
Так вот — было очень трудно объяснить ей, что вообще происходит, что письмо не ей, и что нажимать на ссылку не надо. Если бы меня не было в зоне досягаемости, она бы нажала на ссылку, как пить дать.
А еще я сталкивался с тем, что при регистрации на каком-нибудь сервисе через email/пароль люди не понимают сути происходящего. Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте. Зачем — сказать не могут, потому что не понимают в «этих ваших интернетах» почти что ничего.
Так что с такой интернет-грамотностью прокатить может вообще всё что угодно. В каком-то смысле это другая планета совсем. :)
«Дорогая Анна, вы зарегистрировали новую учетную запись Apple на ваш email <такой-то>, для подтверждения нажмите на ссылку внизу».
Мою маму зовут иначе и она ничего не регистрировала, просто кто-то ошибся email'ом.
Так вот — было очень трудно объяснить ей, что вообще происходит, что письмо не ей, и что нажимать на ссылку не надо. Если бы меня не было в зоне досягаемости, она бы нажала на ссылку, как пить дать.
А еще я сталкивался с тем, что при регистрации на каком-нибудь сервисе через email/пароль люди не понимают сути происходящего. Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте. Зачем — сказать не могут, потому что не понимают в «этих ваших интернетах» почти что ничего.
Так что с такой интернет-грамотностью прокатить может вообще всё что угодно. В каком-то смысле это другая планета совсем. :)
Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте.Когда этого не понимает ваша мама — это ещё ладно. Но когда этого не понимают создатели Web-сайтов… то возникает ощущение, что это мы все тут на другой планете.
Несколько лет назад я наблюдал как какой-то немец при мне покупал что-то. Так ему сторонний сайт попросил ввести имя и пароль от его аккаунта в Дойч-Банке! Которые тот, не моргнув глазом, ввёл! Ему пришла SMS'ка, он подтведил заказ, через пару дней товар пришёл…
То есть Web-сайт просто заходил под его именем и паролем в банк и, как бы, нажимал там кнопки, чтобы отправить деньги. Причём это был не развод, а как, я понял — тогда считалось, что, типа, так и надо… Не знаю — сейчас у них это всё так же роботает или уже прикрыли лавочку…
Сказать, что я ох#%$ел — значит ничего не сказать…
А вы говорите — мама, которая ничего не смыслит в интернетах…
Друзья, живущие в Штатах, сообщают, что отправить скан кредитки факсом или продиктовать продавцу по телефону все реквизиты карты — обычная практика.
Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом. Насколько мне известно, скажем, при card payment refund банк сначала отменяет платеж, возвращая деньги клиенту, а уже только потом начинает разбираться в обстоятельствах инцидента. Т.е. клиент крайним не бывает никогда или очень редко. У нас же клиент крайний всегда.
Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания. Какая невинная шалость, но деятельность фирмы признали мошеннической — далее суд, Сибирь (вернее, Аутбэк).
Да, но таких «мам» — половина Рунета, извините.
Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом. Насколько мне известно, скажем, при card payment refund банк сначала отменяет платеж, возвращая деньги клиенту, а уже только потом начинает разбираться в обстоятельствах инцидента. Т.е. клиент крайним не бывает никогда или очень редко. У нас же клиент крайний всегда.
Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания. Какая невинная шалость, но деятельность фирмы признали мошеннической — далее суд, Сибирь (вернее, Аутбэк).
Когда этого не понимает ваша мама — это ещё ладно
Да, но таких «мам» — половина Рунета, извините.
Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом.Нет, не надо так глубоко копать, это вообще всё совсем не о том. Просто в США был один этап, который Россия пропустила напрочь (как пропустила и чеки, о которых вы пишите чуть ниже): заказ товаров по каталогу. Когда фирмы выпускали (обычно ежемесячно, иногда чаще, иногда реже) каталог всех товаров и рассылали его по почте (обычной, не электронной), а товары потом заказывались по телефону. Это ещё в 70-80е было.
Ну и как вы в подобной системе обойдётесь без того, чтобы продиктовать реквизиты карты по телефону? Или, позже, без скана кредитки, отосланного факсом?
А вот дать пароль от банка, чтобы от вашего лица в банк позвонили и что-то сделали… я не думаю что такое когда-либо было. Даже в Германии.
Да, но таких «мам» — половина Рунета, извините.Это понятно, моё замечание было о другом: если даже вебмастера не понимают, что так делать не надо — то чего вы хотите от условных «мам»?
Нет, не надо так глубоко копать, это вообще всё совсем не о том. [...] Ну и как вы в подобной системе обойдётесь без того, чтобы продиктовать реквизиты карты по телефону?
Никак. Но если бы был большой процент кидалова, то эта тема вообще бы не взлетела. Или даже не началась бы, потому что люди думали бы «как? продиктовать реквизиты карты продавцу? он же украдет все мои деньги!»
Так что это именно о том. Именно на этой основе подобная схема могла появиться и появилась.
Или даже не началась бы, потому что люди думали бы «как? продиктовать реквизиты карты продавцу? он же украдет все мои деньги!»Ну так началась она ещё раньше — в 30е, до войны. Тогда их выпускали продавцы и вопроса «а что он будет делать с моими данными» не возникало в приниципе: все эти данные у него и так были! Ну и дальше, потихоньку, когда эта система расширялась… банки же не подписывали договора с мелкими, никому не известными, компаниями… какой смысл компании стоимостью в несколько миллиардов воровать у вас тысячу долларов? Смешно.
В России этот этам тоже был пропущен, так что оношение к кредиткам и их номерам с самого начала было совсем другое…
Да ладно телефон, изначально процедура оплаты картой в обычных торговых точках представляло собой снятие копии — оттиска (слипа). Собственно, именно для этого надписи на картах рельефные. Считывание магнитной полосы внедрилось сильно позже, в 70-х — а эмбоссированные карты появились аж почти в начале века.
А вот дать пароль от банка, чтобы от вашего лица в банк позвонили и что-то сделали… я не думаю что такое когда-либо было. Даже в Германии.
Было и есть, в 2019 году и именно в Германии зачастую при заказе в интернет-магазинах просят ввести банк и логин\пароль от *вашего интернет-банка*. И ничего, люди вводят.
Было и есть, в 2019 году и именно в Германии зачастую при заказе в интернет-магазинах просят ввести банк и логин\пароль от *вашего интернет-банка*. И ничего, люди вводят.Да, но как до этого дошли? Диктовать номер кредитки — это понятно, американцы так делали задолго до появления интернета.
Но ведь в офлайновом мире логин/пароль никто не спрашивал и от вашего имени в банк не звонил… так почему этот подход прижился???
Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания.
Так это ж из фильма «Карты, деньги, два ствола»
www.youtube.com/watch?v=KIRGFBBpNNQ
Ха-ха, я не видел многих из известных фильмов, не знал. :)
А вот интересно, была ли вообще эта австралийская история в реальности? Я читал про нее давно, но уж точно не 20 лет назад (фильм вышел в 1998-м), так что автор мог и присочинить. С другой стороны, она могла послужить реальным прообразом для этого эпизода в фильме.
А вот интересно, была ли вообще эта австралийская история в реальности? Я читал про нее давно, но уж точно не 20 лет назад (фильм вышел в 1998-м), так что автор мог и присочинить. С другой стороны, она могла послужить реальным прообразом для этого эпизода в фильме.
Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя.Неужто кто-то в реале все-таки реализовал эту идею из фильма? Если найдутся ссылки на новость, было бы интересно почитать подробности.
Звонили мне два дня подряд — в понедельник и вторник с одного и того же номера. Знали И.О.
Не мог бы.
Это оператор кого надо оператор.
Это оператор кого надо оператор.
Мобильный оператор не занимается обеспечением безопасного доступа к учёткам в интернете. Он не брал на себя такую ответственность и не расписывался под ней в договоре. Ошибка совершена не им, а тем, кто придумал использовать SMS для этих целей.
На 100% не поручусь, но оператор скорее всего по закону обязан обеспечивать тайну связи. Так что им тоже совершена ошибка, если по закону. Другое дело, что понятно, что все они, и операторы, и яндекс, руководствуются не законами, а в первую очередь борьбой с анонимами, а во вторую очередь руководствуются взятками.
Мобильный оператор не занимается обеспечением безопасного доступа к учёткам в интернетеПричем тут интернет, когда проблема в потере номера? Я сомневаюсь, что в договоре с абонентом есть пункт «оператор может по своему усмотрению отнимать номер».
Аутенфикация по СМС — это следствие ожидания, что оператор обеспечивает сохранение номера и тайну связи.
Если симка выпускается по доверенности, то операторам следует сделать запрет на получение всех смс и звонков в течение часа, например. (Что может создать другие проблемы)
Изменение этой настройки должно быть с большой задержкой и так же уведомлением.
У некоторых операторов можно запретить действия (перевыпуск) по доверенности.
По-хорошему оператор должен впаривать это так же, как и платные услуги.
Есть еще варианты перевыпуска симки?
Не нужна доверенность, нужен свой человек в отделении.
Уже обсуждались похожие темы, — запрет на час (и несколько часов) не особо поможет, если замена сим проводится утром на Дальнем Востоке, к примеру, а вы — к западу от Урала.
Запрет замены по доверенности (если он действительно программно ограничивает замену сим в офисах, а не просто сохраняет это как галочку в системе) никак не защищает от недобросовестного сотрудника точки продаж, который скажет, что ему показали паспорт, — ответственности у оператора за такого сотрудника нет.
Запрет замены по доверенности (если он действительно программно ограничивает замену сим в офисах, а не просто сохраняет это как галочку в системе) никак не защищает от недобросовестного сотрудника точки продаж, который скажет, что ему показали паспорт, — ответственности у оператора за такого сотрудника нет.
Спасибо за советы!
Тем временем уже произошла смена DNS на нового владельца
Name Server alan.ns.cloudflare.com
Name Server sofia.ns.cloudflare.com
Сегодня предстоит много работы, посмотрим что выйдет…
Тем временем уже произошла смена DNS на нового владельца
Name Server alan.ns.cloudflare.com
Name Server sofia.ns.cloudflare.com
Сегодня предстоит много работы, посмотрим что выйдет…
На тему долгого пути до службы поддержки оператора мобильной связи.
Имеет смысл не звонить со своего телефона к оператору, а пойти на его сайт и написать ему в чатике. По моему опыту опечаток при пополнении счета, отвечают быстро и проблемы решают.
Последний раз в чатике писал Мегафону, собеседник тест Тьюринга прошел успешно. Может быть, благодаря тому что проблема была очень типовая (пополнение счета на неверный номер).
Лучший вариант: одновременно и звонить, и писать (если ПК под рукой).
Много людей в моём посте про банки спрашивала, а что это я параною на тему привязки телефона к банку?
Надо давно уже запомнить, что СМС ненадежны, привязка номера скорее снижает защиту, чем ее повышает, особенно если это российские номера. Если есть выбор между OTP и SMS следует выбирать OTP. Если приходится пользоваться именно СМС, то найдите где-нибудь сим карту AT&T, купите на ebay портативную AT&T соту, подключите ее дома и регайте все на этот номер, так хотя бы намного меньше шансов что симкарту перевыпустят или смс перехватят.
Чтобы когда сим карта сдохнет/потеряется/залочится лишиться сразу всего. Зато другим не досталось.
Из двух зол выбирают меньшее, это явно меньшее зло.
Вот недавно сам озадачился подобным вопросом — найти более надёжную (читай — не российскую) SIMку для 2FA.
Пока основной вариант, который рассматриваю, — купить финскую симку Elisa (Saunalahti). Регистрируется на себя, можно через личный кабинет заказать перевыпуск с выдачей в салоне в Финляндии (а смотаться до туда из Мск в крайнем случае быстро и недорого), работает в РФ, есть тариф без абонплаты. Заодно как тревел-СИМку для инета в Европе можно использовать.
Пока основной вариант, который рассматриваю, — купить финскую симку Elisa (Saunalahti). Регистрируется на себя, можно через личный кабинет заказать перевыпуск с выдачей в салоне в Финляндии (а смотаться до туда из Мск в крайнем случае быстро и недорого), работает в РФ, есть тариф без абонплаты. Заодно как тревел-СИМку для инета в Европе можно использовать.
Это не двухфакторная аутентификация, а СМС аутентификация.
Правильная мультифакторная аутентификация включает в себя три вещи:
1. То, что ты знаешь (пароль)
2. То, чем ты физически владеешь (физический ключ, телефон)
3. Твоя биометрика (опечаток пальца, сетчатка)
Как это выглядит с помощью того же гугл аутентификатора или lastpass аутентификатора?
1. Вводишь пароль
2. На телефон приходит уведомление что пытаются залогиниться туда-то, разрешить?
3. Разрешаешь и сканируешь свой палец
Жаль что далеко не все сервисы и приложения поддерживают это. Я бы сказал единицы кто поддерживает.
Правильная мультифакторная аутентификация включает в себя три вещи:
1. То, что ты знаешь (пароль)
2. То, чем ты физически владеешь (физический ключ, телефон)
3. Твоя биометрика (опечаток пальца, сетчатка)
Как это выглядит с помощью того же гугл аутентификатора или lastpass аутентификатора?
1. Вводишь пароль
2. На телефон приходит уведомление что пытаются залогиниться туда-то, разрешить?
3. Разрешаешь и сканируешь свой палец
Жаль что далеко не все сервисы и приложения поддерживают это. Я бы сказал единицы кто поддерживает.
в статье ни слова про двухфакторку по смс! я тут один прочитал статью?
У lastpass есть возможность получить СМС, даже если подключен аутентификар. Там под полем ввода кода есть ссылка типа «у меня нет приложения сейчас, отправьте СМС». Я им фича реквест создавал, с просьбой дать возможность отключать СМС при 2FA с помощью других устройств. За 2 года ничего не сделали, пришлось уйти с них. Может быть, конечно, сейчас уже реализовали.
2FA стало совсем мало.
Больше FA, хороших и разных.
И почту для бизнеса может лучше свою замутить? С опричниками и палачами.
Больше FA, хороших и разных.
И почту для бизнеса может лучше свою замутить? С опричниками и палачами.
Я попросил свою знакомую перевыпустить мне сим-карту, сам был не в РФ а симку СВОЮ потерял. Мегафон.
Послал копию паспорта и отдельно свою подпись, плюс форма с их сайта, она в фотошопе наложила, распечатала и сделала копию.
Я ни помнил ни номер договора ни кодовое слово но в офисе все сделали. Хотя сначала не хотели но моя знакомая немного надавила на них.
Это к тому что процесс реально не сложный если есть копия вашего паспорта или паспортные данные + фото.
А на этой симке был доступ к банкам и в случае злого умысла, деньги бы увели…
Послал копию паспорта и отдельно свою подпись, плюс форма с их сайта, она в фотошопе наложила, распечатала и сделала копию.
Я ни помнил ни номер договора ни кодовое слово но в офисе все сделали. Хотя сначала не хотели но моя знакомая немного надавила на них.
Это к тому что процесс реально не сложный если есть копия вашего паспорта или паспортные данные + фото.
А на этой симке был доступ к банкам и в случае злого умысла, деньги бы увели…
Такое ощущение что за вами охотились и вели подготовку для выполнения всех тех действий что вы написали.
Перевыпустили симку. Тут же полезли в ящик почтовый. Что бы туда попасть надо знать адрес электронной почты и знать что этот номер привязан именно к этому адресу, либо вы включили номер телефона как логин. По умолчанию номер телефона как логин для доступа в почту не используется.
Начали переносить домен.
Слишком уж быстро события разворачиваются.
Или я не прав и по номеру телефона в течении нескольких минут можно пробить всю информацию о человеке, владельцем каких доменов он является, к каким почтовым адресам и аккаунтам в соцсетях привязан номер и т.д.?
Перевыпустили симку. Тут же полезли в ящик почтовый. Что бы туда попасть надо знать адрес электронной почты и знать что этот номер привязан именно к этому адресу, либо вы включили номер телефона как логин. По умолчанию номер телефона как логин для доступа в почту не используется.
Начали переносить домен.
Слишком уж быстро события разворачиваются.
Или я не прав и по номеру телефона в течении нескольких минут можно пробить всю информацию о человеке, владельцем каких доменов он является, к каким почтовым адресам и аккаунтам в соцсетях привязан номер и т.д.?
Очень интересный пиар ход через IT Ресурсы. Неплохо.
Статья habr.com/ru/post/465355 заложила новый жанр журналистики на хабре — пиар сайтов через истории о взломах.
Да и раньше такое было. Контора, кстати, пару лет назад таки внезапно сдохла — карма? (та, что индуистская, а не хабровская :))
Разве нету временного запрета на прием смс сразу после смены сим-карты?
телефон для сервисов и прочих аутотенфикаций лучше держать совсем отдельный чуть ли не в сейфе. а то простой телефон могут и на улице на добровольнопринудительной основе оформить без акта безвозмездной передачи третьи лицам если задача будет стоять очень серьезная…
Лол. Вы статью вообще не читали?
Ну будет лежать у вас, в сейфе, телефон с неработающей, давно перевыпущенной симкой… чем это вам поможет?
Ну будет лежать у вас, в сейфе, телефон с неработающей, давно перевыпущенной симкой… чем это вам поможет?
Формально — неизвестный злоумышленникам номер. В отличии от всем известного основного.
Но не гарантия абсолютно. Даже сотрудник колцентра, скорее всего, сможет сделать поиск по фамилии и найти все номера.
Но не гарантия абсолютно. Даже сотрудник колцентра, скорее всего, сможет сделать поиск по фамилии и найти все номера.
Номер можно хранить оформленным на юр. лицо., там и симку перевыпустить чуть сложнее — с юр. лицами работают менее половины офисов, и доверенность нужна с печатью, и знать надо юрлицо на которое привязан номер, а там может оказаться этих номеров с десяток.
Для себя уже думаю оформить отдельную симку, вставить в роутер модем с ней и отправлять на свой телефон все СМС через какой-нибудь телеграмм, pushbullet итп.
Для себя уже думаю оформить отдельную симку, вставить в роутер модем с ней и отправлять на свой телефон все СМС через какой-нибудь телеграмм, pushbullet итп.
Да не нужен никакой сотрудник кол цента.
Как вы думаете работает схема? Кто-то увидел в интеренете человека и под него ищет данные?
Нет.
Мошенники покупают у сотрудников банков информацию о счетах с остатками. В этой инфе есть и прявязанные номера. И не только.
Погуглите немного. И на хабре уже были статьи с такой инфой и в других источниках.
Когда мошенник берется за раскрутку человека, у него есть вообще вся инфа него, вполоть до имеющейся недвижимости и транспортных средств.
Имея такую полную информацию намного легче выполнять свои черные дела.
Так что пока на фундаментальном уровне ничего не изменят, такие схемы будут работать…
Как вы думаете работает схема? Кто-то увидел в интеренете человека и под него ищет данные?
Нет.
Мошенники покупают у сотрудников банков информацию о счетах с остатками. В этой инфе есть и прявязанные номера. И не только.
Погуглите немного. И на хабре уже были статьи с такой инфой и в других источниках.
Когда мошенник берется за раскрутку человека, у него есть вообще вся инфа него, вполоть до имеющейся недвижимости и транспортных средств.
Имея такую полную информацию намного легче выполнять свои черные дела.
Так что пока на фундаментальном уровне ничего не изменят, такие схемы будут работать…
телефон с перевыпущенной симкой не лежит, потому что я слежу за тем что бы телефон считался условно используемым, но не светить его номер в социальных контактах… исключительно для авторизаций сервисов.
Фактически, при условии корумпированности сотрудников салонов (которую мы здесь наблюдаем), это превращает номер телефона в пароль (в лучшем случае, но явно не в случае яндекса — в ещё один пароль). Этот новый пароль может быть и не известен вашим знакомым, но (1) по определению хранится в открытом виде на серверах, (2) вероятно, используется в нескольких местах, и (3) кому-то кроме вас и серверов точно известен (тому же сотовому оператору, например).
Не понял. А где 2-х факторная аутентификация?
в заголовке угнан благодаря 2-х факторной аутентификации.
В тексте благодаря угону телефона.
Где сработала 2-х факторная аутентификация после угона я так и не понял.
в заголовке угнан благодаря 2-х факторной аутентификации.
В тексте благодаря угону телефона.
Где сработала 2-х факторная аутентификация после угона я так и не понял.
Спасибо, теперь понял. Кстати в почте россии так-же.
Заявление на упрошённое получение почты через 2-х факторную аутентификацию написал, а по факту выдают только по коду из СМС.
Мне даже интересно стало, если посылка уйдёт налево, смогу я доказать что не получал, используя 2-х факторную аутентификацию, т.к. 2-го фактора в природе нет.
Заявление на упрошённое получение почты через 2-х факторную аутентификацию написал, а по факту выдают только по коду из СМС.
Мне даже интересно стало, если посылка уйдёт налево, смогу я доказать что не получал, используя 2-х факторную аутентификацию, т.к. 2-го фактора в природе нет.
смс блокируются на сутки после перевыпуска симки. автор не договаривает чего то.
Ага, причем каждый раз спрашивают телефон и ты диктуешь, а вся очередь слушает. Это вообще жесть. Я спросил у вас же должен быть мой номер просто отправьте смс, нет диктуйте )
Последний раз ходил получать посылку — код пришёл пушом в приложение.
только сегодня сделал двуфакторную у яндекса, для этого скачивается приложение я.ключ, а в статье просто привязка к телефону.
Четыре года назад поддержка Яндекса объясняла мне что это не баг, это фича
habr.com/ru/post/297208/#comment_9579472
habr.com/ru/post/297208/#comment_9579472
Вы же остались администратором домена как фмзическое/юридическое лицо. Это не поможет вернуть его?
Двухфакторная аутентификация это «пароль + еще что-то», то есть нужно знать и пароль и иметь доступ ко фторому фактору (через И, не ИЛИ). Если в вашем случае можно сбросить пароль просто имея доступ к телефонному номеру, то это мягко сказать гупость системы который в пользуетесь, а не двухфакторная аутентификация.
PS К тому же использовать номер телефона как второй фактор не дальновидно, лучше уже TOTP токены или хардварные ключи.
PS К тому же использовать номер телефона как второй фактор не дальновидно, лучше уже TOTP токены или хардварные ключи.
В очередной раз убеждаюсь и повторяю, Яндекс — уже не торт.
В любом случае, искренне сочувствую Вам о произошедшем. Уверен, домен вы вернёте, вопрос во времени и потраченных нервах. Держите в курсе, пожалуйста (через updates к статье).
Ну и в очередной раз, произошедшее показывает, что в России ничего нельзя регистрировать — не надёжно.
В любом случае, искренне сочувствую Вам о произошедшем. Уверен, домен вы вернёте, вопрос во времени и потраченных нервах. Держите в курсе, пожалуйста (через updates к статье).
Ну и в очередной раз, произошедшее показывает, что в России ничего нельзя регистрировать — не надёжно.
в России ничего нельзя регистрировать — не надёжно.
А по сему поводу неплохо напомнить про 9,5 правил ведения бизнеса в России тем, кто ещё не знает
Настало время трехфакторной аутентификации! Смс+пароль+ssh ключ
Мой уровень юридической грамотности практически на нуле, но я уверен что можно подать в суд на яйца и яшу. На первых за то что позволили угнать симку, а на вторых за то что позволили узнать какую именно симку надо угонять. Пусть оплатят три года работы, стоимость нового домена и стоимость старого домена за три года, моральный ущерб и прочее.
Здравствуйте, Артём!
Мы уже заблокировали домен для переноса. Насколько видим, в тикете вложены документ о регистрации СМИ и сертификат на владение доменом. Копии заявления и паспорта не приложены, а они понадобятся для дальнейшего расследования.
Настоятельно рекомендуем как можно быстрее обратиться в правоохранительные органы, чтобы мы смогли помочь вам вернуть домен.
Как только копия заявления будет у вас на руках, пожалуйста, отправьте необходимые документы в рамках созданного ранее тикета.
Мы уже заблокировали домен для переноса. Насколько видим, в тикете вложены документ о регистрации СМИ и сертификат на владение доменом. Копии заявления и паспорта не приложены, а они понадобятся для дальнейшего расследования.
Настоятельно рекомендуем как можно быстрее обратиться в правоохранительные органы, чтобы мы смогли помочь вам вернуть домен.
Как только копия заявления будет у вас на руках, пожалуйста, отправьте необходимые документы в рамках созданного ранее тикета.
Вот что Хабр животворящий делает! (с)
Matsun — взгляните на коммент выше.
Потратили свой один в сутки коммент сюда)
Рад, что принимаются меры, но, к сожалению, если бы не Хабр, то ничего не было. И так всегда. Без придания гласности такие гадости не будут решать в спешке.
ну вообще-то он в кучу сми написал. так что не факт, что именно на хабре они это в первую очередь увидели
Ну и правильно сделал, мне кажется. Да, было бы шоколадно, если бы такие вещи не требовали поднимать бучу в СМИ и всё разруливалось бы теми, кому положено это делать «в рабочем порядке»… но мы живём в неидеальном мире, так что если удастся вернуть домен хотя бы так — уже неплохо будет. Лучше перебдеть, чем недобдеть.
Привет, Артем!
Надеюсь, ты не оставишь действияотсоса опсоса безнаказанными?
У тебя доход с сайта официальный?
Тогда составь досудебную претензию на покрытие упущенной прибыли и отправь ее им, лучше открытым письмом. Можно хабрапостом.
Я давно не плюсую посты но вот для твоего бы сделал исключение.
Нельзя спускать с рук такие дела.
Надеюсь, ты не оставишь действия
У тебя доход с сайта официальный?
Тогда составь досудебную претензию на покрытие упущенной прибыли и отправь ее им, лучше открытым письмом. Можно хабрапостом.
Я давно не плюсую посты но вот для твоего бы сделал исключение.
Нельзя спускать с рук такие дела.
Надеюсь, эта история будет доведена до финала. И я не имею ввиду возврат номера телефона и домена, а посадку преступника. Пусть хоть раз СОРМ и проч. многомиллилардные системы послужат во благо простого человека.
Да что Яндекс! В одном хорошо известном зеленом банке таким образом 8 млн. руб. со счета увели. Точно также перевыпустили симку МТС, пришли в отделение с фальшивым заявлением по передаче аккаунта на другой токен, и через часа обнулили расчетный счет.
Удивляет оперативность — когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.
Два года прошло, полиция ничем помочь не смогла.
Удивляет оперативность — когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.
Два года прошло, полиция ничем помочь не смогла.
Попробуйте с вашим юристом разобрать такое решение Верховного суда.
Если вкратце — в этом деле удалось признать действия мошенников как не прекращающие обязательства банка перед клиентом, т.е. средства должны вернуться банком клиенту в полном объеме.
Если вкратце — в этом деле удалось признать действия мошенников как не прекращающие обязательства банка перед клиентом, т.е. средства должны вернуться банком клиенту в полном объеме.
Отличное решение, кстати. Тот факт, что
В конце-концов вы деньги в банке держите ровно для того, чтобы не хранить пачки денег в сейфе и не содержать охрану, которая за этим сейфом будет присматривать…
Когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.обозначает, что либо служба безопасности работает отвратительно, либо там вообще были «свои люди» в банке. Деньги должны вернутся — а там, дальше, пусть банк что хочет, то и делает.
В конце-концов вы деньги в банке держите ровно для того, чтобы не хранить пачки денег в сейфе и не содержать охрану, которая за этим сейфом будет присматривать…
В отделение можно и с фальшивым паспортом прийти.
Что такое передача аккаунта на другой токен?
У вас есть хардварные ключи, и все равно зачем-то используются смс?
Что такое передача аккаунта на другой токен?
У вас есть хардварные ключи, и все равно зачем-то используются смс?
Автор чего то не договаривает… В статье не слова о том как была организована двухфакторная аутентификация в его случае и как предположительно её обошли.
Личные предположения автора выдаются за факт, а тем не менее не понятно как был взломан аккаунт на Яндексе.
В статье кстати ни слова про СМС. СМС, если что, блокируются оператором на сутки после перевыпуска симки. Кто делал — знает. Как раз для того что бы не было махинаций по банковским кодам.
Кто-то что-то не договаривает. Тёмная история.
Личные предположения автора выдаются за факт, а тем не менее не понятно как был взломан аккаунт на Яндексе.
В статье кстати ни слова про СМС. СМС, если что, блокируются оператором на сутки после перевыпуска симки. Кто делал — знает. Как раз для того что бы не было махинаций по банковским кодам.
Кто-то что-то не договаривает. Тёмная история.
Украли рабочий МТС (на Украине это сейчас Водафон). Восстановить номер нереально. Требуют «любимые номера» (на которые часто звонил). Какие могут быть любимые номера у рабочего телефона? Там каждый день десятки новых.
Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.
Готовы предоставить распечатки с номерами и датами хоть за последние несколько лет — никого это не интересует.
Автору удачного разрешения ситуации.
Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.
Готовы предоставить распечатки с номерами и датами хоть за последние несколько лет — никого это не интересует.
Автору удачного разрешения ситуации.
Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.
А сам телефон не выбросили? Команда *#06# покажет IMEI.
Видимо украли
IMEI, как правило, можно найти внутри на наклейке. Но увели не номер, а телефон с SIM картой. Это я к тому, что в МТС нереально решить что-то, где требуется персонализированный подход. Им нужны или 10 номеров или IMEI. То, что ты можешь предоставить на порядок больше, но другой информации, подтверждающей права на номер — их не волнует. Или так как сказали, или никак.
Впрочем, справедливости ради, это не только в МТС. Так во всех крупных компаниях.
Впрочем, справедливости ради, это не только в МТС. Так во всех крупных компаниях.
Хрень собачья. В случае утери телефона с симками, номер восстанавливается в течении часа — примерно столько времени нужно чтобы заехать домой, взять пластиковую карту, из которой выламывали симку (и на которой выбиты пины, пуки и всё такое), и заехать с ней в отделение. Я сам так восстанавливал свой номер, когда посеял телефон (а нашедший тихо прикарманил) в 2014 году.
«Хрень собачья»?..
заехать домой, взять пластиковую карту, из которой выламывали симку (и на которой выбиты пины, пуки и всё такое)Ну да. Или как писалось выше — IMEI с коробки тоже здорово может помочь. Вот только кто же все это хранит столько времени (телефону и карточке шел 9 или 10 год)?
Согласитесь, это сильно отличается от «нереально решить». И сколько лет карточке не имеет значения, я пластик храню пока симка жива. Это элементарное правило эксплуатации, что вы его не соблюдаете — ваши половые трудности. И между прочим, это даже написано на сайте оператора.
Чтобы подтвердить, что Вы являетесь владельцем номера, необходимо ответить на один из вопросов:
PUK-код (8 цифр, которые указаны на пластиковом держателе от старой SIM-карты);
Серийный номер SIM-карты (набор цифр, которые указаны на старой SIM-карте либо стартовом пакете от нее);
Два номера, на которые Вы чаще всего звонили или отправляли сообщения за последние 30 дней (за исключением коротких номеров и номеров, которые начинаются на 0-800/900…).
Ну так сделайте выборку по распечаткам, на какие телефоны больше звонили.
Если максимум 5 раз на один номер, значит номера на которые 5 раз звонили-любимые.
Если максимум 5 раз на один номер, значит номера на которые 5 раз звонили-любимые.
Мы называли такие номера. Не приняли.
Загвоздка в том, что на том конце сидят типичные операторы, которые вообще не заинтересованы брать на себя ответственность и отходить хоть на шаг от руководства или чего там. В принципе, они и не должны. На это есть руководство. Но то ли руководство не желает брать эту ответственность. То ли политика компании такая что есть правила и точка. Тем не менее, проблем клиентов это не решает. Размещать номера телефонов на полиграфии и прочих статичных источниках информации отпадает всякое желание. В итоге, я понимаю почему так происходит. Но от этого мне не легче.
Загвоздка в том, что на том конце сидят типичные операторы, которые вообще не заинтересованы брать на себя ответственность и отходить хоть на шаг от руководства или чего там. В принципе, они и не должны. На это есть руководство. Но то ли руководство не желает брать эту ответственность. То ли политика компании такая что есть правила и точка. Тем не менее, проблем клиентов это не решает. Размещать номера телефонов на полиграфии и прочих статичных источниках информации отпадает всякое желание. В итоге, я понимаю почему так происходит. Но от этого мне не легче.
У меня в водафоне как-то требовали 2 номера телефона и примерные даты и суммы 2-х последних пополнений счёта. А что я тогда хотел — толком и не помню.
Если часто звонимые тербуют и есть распечатки с номерами за последние пару лет — почему не отсортировать и не дать Водафону?
Уверен, с тем кто это проворачивает, вы много раз бывали в одной комнате
Вполне возможно.
Но с другой стороны уж больно отточено все выглядит. Будто человек не в первый раз этим занимался и точно знал что и как делать.
Мне самому вариант контрактных номеров не очень нравится. Но походу надо или контрактный номер, или просто симку, которая ни где не светится, и включается только для получения СМС. Я пока остановился на втором варианте.
Но с другой стороны уж больно отточено все выглядит. Будто человек не в первый раз этим занимался и точно знал что и как делать.
Мне самому вариант контрактных номеров не очень нравится. Но походу надо или контрактный номер, или просто симку, которая ни где не светится, и включается только для получения СМС. Я пока остановился на втором варианте.
whois — все данные были выложены «пострадавшим» там собственноручно
Не совсем понимаю комментарии про то, что домен в других зонах можно перевести в 2 клика. О каких доменных зонах речь?
В последнее время домены регулярно переношу, т.к. перехожу с разных регистраторов к одному, и всегда это занимает значительное количество ДНЕЙ. Перенос в рамках одного регистратора, может, и будет быстрым (но при этом и легко обратимым), а вот перенос от этого регистратора к другому займёт от 5 до 14 дней.
Даётся сначала несколько дней владельцу домена на то, чтобы он запретил передачу, если он вдруг передумал, затем ещё другой регистратор ждёт несколько дней перед тем, как принять домен.
Так что ситуация, конечно, дико неприятная, но реальная окончательная передача домена в течение пары часов представляется мне крайне маловероятной.
В последнее время домены регулярно переношу, т.к. перехожу с разных регистраторов к одному, и всегда это занимает значительное количество ДНЕЙ. Перенос в рамках одного регистратора, может, и будет быстрым (но при этом и легко обратимым), а вот перенос от этого регистратора к другому займёт от 5 до 14 дней.
Даётся сначала несколько дней владельцу домена на то, чтобы он запретил передачу, если он вдруг передумал, затем ещё другой регистратор ждёт несколько дней перед тем, как принять домен.
Так что ситуация, конечно, дико неприятная, но реальная окончательная передача домена в течение пары часов представляется мне крайне маловероятной.
Почему я, не специалист по компьютерной безопасности, вынужден говорить такие очевидные вещи?..
1. Один домен — один емейл. Этот емейл должен быть известен только вам и вашему регистратору. Его имя может быть билибердой. Больше его никак не допускается использовать, он вообще нигде не должен быть засвечен, кроме регистратора. Он не должен гуглиться, его не должно быть в базах. Он должен быть только в ху-из.
2. Двухфакторная авторизация — плацебо. Она чаще вредит, чем помогает. А помогает она только во временной защите данных при уже скомпрометированном пароле (задумайтесь на секундочку). Она должна быть дополнительным барьером, а не основным. К тому же, телефоны имеют свойство быть потеряными/сворованными. Более того, авторизация через второй фактор должна транслироваться сообщением на основной ваш номер.
3. Для доменов, приносящих вам доход, должен быть отдельный номер телефона. На нем должны быть активированы все возможные запреты — доверенности, смены владельцев, и прочее-прочее-прочее. Доступ к нему должны иметь только вы.
1. Один домен — один емейл. Этот емейл должен быть известен только вам и вашему регистратору. Его имя может быть билибердой. Больше его никак не допускается использовать, он вообще нигде не должен быть засвечен, кроме регистратора. Он не должен гуглиться, его не должно быть в базах. Он должен быть только в ху-из.
2. Двухфакторная авторизация — плацебо. Она чаще вредит, чем помогает. А помогает она только во временной защите данных при уже скомпрометированном пароле (задумайтесь на секундочку). Она должна быть дополнительным барьером, а не основным. К тому же, телефоны имеют свойство быть потеряными/сворованными. Более того, авторизация через второй фактор должна транслироваться сообщением на основной ваш номер.
3. Для доменов, приносящих вам доход, должен быть отдельный номер телефона. На нем должны быть активированы все возможные запреты — доверенности, смены владельцев, и прочее-прочее-прочее. Доступ к нему должны иметь только вы.
1. Почему е-мейл, которые в хуизе, нельзя загуглить? Опять же, если используется whois privacy, то тот же nic.ru легко выдаст данные хуиза, если вы под видом адвоката (или с его помощью) заявите, что владелец домена фигурирует в иске для суда (ещё даже до подачи самого иска). По закону он этого делать не должен, но делает. И плевать, в общем-то, хотел на ваше мнение по этому вопросу.
2. Если только пароль скомпрометирован, то почему двухфактора помогает «защитить данные лишь временно»?
3. Увести домен по-настоящему (с передачей другому регистратору), чтобы вам с той стороны помахали рукой, довольно проблематично, и это вопрос не одного-двух часов, а дней, в течение которых нужно разве что вообще выпасть из Сети дней на 5-10, чтобы не узнать о происходящем.
2. Если только пароль скомпрометирован, то почему двухфактора помогает «защитить данные лишь временно»?
3. Увести домен по-настоящему (с передачей другому регистратору), чтобы вам с той стороны помахали рукой, довольно проблематично, и это вопрос не одного-двух часов, а дней, в течение которых нужно разве что вообще выпасть из Сети дней на 5-10, чтобы не узнать о происходящем.
1. Ну я, собсно, и написал, что он должен быть только у регистратора, и в ху-из.
2. Потому что бывают разные ситуации, одна из которых в посте. Если пароль скомпрометирован, и злоумышленнику станет известно о владельце, дальше может вступить соц. инженерия или еще какой-то способ заполучения второго фактора. Да, шанс низкий, но он есть.
3. Согласен, но автору удалось. Лишняя осторожность не бывает лишней. Все мы должны быть немножечко параноиками.
2. Потому что бывают разные ситуации, одна из которых в посте. Если пароль скомпрометирован, и злоумышленнику станет известно о владельце, дальше может вступить соц. инженерия или еще какой-то способ заполучения второго фактора. Да, шанс низкий, но он есть.
3. Согласен, но автору удалось. Лишняя осторожность не бывает лишней. Все мы должны быть немножечко параноиками.
Дубль
Давайте будем честны. Правильный заголовок не такой как сейчас, а "Многие сервисы выдают однофакторную аутентификацию по SMS за 2FA".
Боюсь, что «с точки зрения принятого в обществе языка» (не знаю, как сказать лучше) термин «2FA» уже означает не то, что он означал изначально, а «доступ по sms». Как фраза «очень приятно» означает просто (успешное) завершение процесса знакомства, а не какое-то (всегда) очень хорошее событие.
Что, конечно же, не отменяет всего сказанного в комментариях выше, в частности крайней информационной опасности такого подхода.
Что, конечно же, не отменяет всего сказанного в комментариях выше, в частности крайней информационной опасности такого подхода.
Как предлагаете называть "честный 2ФА"?
- 2ФА+
- 2.5ФА
- 3ФА
- "честный" 2ФА?
Не знаю :((
Можно было бы называть явно факторы (например, вход по паролю и gpg-ключу), но проблема в том, что я не видел сервисы, предлагающие такое. Будут сервисы — появится и термин.
А термин «2FA» на данный момент уже сильно захвачен sms-щиками, и для целей информационной безопасности, как мне кажется, будет полезнее популяризировать опасность этого явления, чем пытаться «отбить» у них термин. Чтобы когда человек, прочитавший эту статью, видел оповещение от сервиса «наш сервис вводит 2FA» (именно такими словами), он воспринимал это как «вероятно, сервис становится опасным».
Можно было бы называть явно факторы (например, вход по паролю и gpg-ключу), но проблема в том, что я не видел сервисы, предлагающие такое. Будут сервисы — появится и термин.
А термин «2FA» на данный момент уже сильно захвачен sms-щиками, и для целей информационной безопасности, как мне кажется, будет полезнее популяризировать опасность этого явления, чем пытаться «отбить» у них термин. Чтобы когда человек, прочитавший эту статью, видел оповещение от сервиса «наш сервис вводит 2FA» (именно такими словами), он воспринимал это как «вероятно, сервис становится опасным».
Мне кажется, уже давно назрела необходимость статьи на хабре (или где-то ещё) «(чёрный/белый) список сервисов, где (не)возможно получить доступ, используя только телефонную сеть (sms и звонки)». Опционально — (серый) список сервисов, где это возможно с удалением всех данных (вроде телеграма — может быть, для некоторых сценариев это тоже полезно).
PS автору желаю скорейшего восстановления доступа.
PS автору желаю скорейшего восстановления доступа.
Обращайтесь в полицию, домен не просто так пропал, а зарегистрирован на конкретное лицо/организацию. Выгодоприобретатель налицо, найти злоумышленников здесь должно быть делом техники. В худшем случае негодяев не найдёте, но домен вернёте.
Переходите на gmail без привязки к телефону или собственному email-server на VPS/VDS
gmail требует телефон. И перед тем как вы скажете что при регистрации он его не требует — он его может потребовать через неделю и не пустит без этого в аккаунт.
он может и через год потребовать, но там всегда есть кнопочка «мне пофиг»
Возможно я ее где то тут пропустил?
На всякий случай: ссылочка «помочь»: support.google.com/accounts/answer/114129
Что характерно, можно ввести абсолютно любой номер, а не только какой-то номер (или другие данные), связанный с истинным владельцем (и гуглу известно, что связанный).
То есть никаких «подтверждений», что тот, кто ввёл сейчас пароль, «является владельцем аккаунта», гугл не получает, атакер, укравший пароль, может сделать то же самое. То есть это чистая борьба против анонимности, безопасность она не увеличивает (а то и уменьшает, если гугл потом будет пускать по sms без пароля).
То есть никаких «подтверждений», что тот, кто ввёл сейчас пароль, «является владельцем аккаунта», гугл не получает, атакер, укравший пароль, может сделать то же самое. То есть это чистая борьба против анонимности, безопасность она не увеличивает (а то и уменьшает, если гугл потом будет пускать по sms без пароля).
ну в принципе это довольно очевидно, хотя на мой взгляд они больше со спамом борятся чем с анонимностью. Я всего лишь отвечал автору выше что гугл оч любит блочить доступ к аккаунту. Насколько я понимаю яндекс ведет себя идентично.
Очевидно, да. Но враньё в заголовке настолько бесит, что хочется это высказать вслух.
Анонимность vs спам — не знаю. Лично у меня в гугле сейчас штук 10 спам-писем в день приходит (причём реальный спам типа «вы выиграли $10000000000000», а не рассылки из-за галочки «хочу получать новости» при покупке чего-то где-то), и они попадают во «входящие». А анонимные политические письма — только в спаме.
Анонимность vs спам — не знаю. Лично у меня в гугле сейчас штук 10 спам-писем в день приходит (причём реальный спам типа «вы выиграли $10000000000000», а не рассылки из-за галочки «хочу получать новости» при покупке чего-то где-то), и они попадают во «входящие». А анонимные политические письма — только в спаме.
на такое не напарывался. а вот при логине в аккаунт, к которому не привязан номер, гугл предлагает его привязать, но там есть кнопочка пропустить.
на такое не напарывался
Систематическая ошибка выжившего
В том то и дело что мои коллеги тоже говорили что можно иметь гмыло без номера.
Зато protonmail пока что без спроса номера держится.
Зато про них много чего другого плохого на хабре пишут:
habr.com/en/company/habr/blog/443222/#comment_19864116
Коротко, в частности, отсутствие поддержки IMAP (только что коротко проверил, на случай если коммент устарел, но вроде до сих пор нет).
habr.com/en/company/habr/blog/443222/#comment_19864116
Коротко, в частности, отсутствие поддержки IMAP (только что коротко проверил, на случай если коммент устарел, но вроде до сих пор нет).
Всем привет!
Из последних новостей! Яндекс сработал оперативнее всех. Заполнил длинную анкету, приложил кучу сканов, и вот доступ к моей почте у меня уже есть.
Отправил заявление в полицию. Пришлось конечно помотаться, из области в Москву, потом таки как оказалось, должны были принять по месту моей регистрации. Приняли.
Дальше предстоит визит в Рег.Ру. И восстановление СИМ карты
Из последних новостей! Яндекс сработал оперативнее всех. Заполнил длинную анкету, приложил кучу сканов, и вот доступ к моей почте у меня уже есть.
Отправил заявление в полицию. Пришлось конечно помотаться, из области в Москву, потом таки как оказалось, должны были принять по месту моей регистрации. Приняли.
Дальше предстоит визит в Рег.Ру. И восстановление СИМ карты
Посмотрите теперь инфу по действиям мошенника.
В полной веб версии Яндекс.Почты есть внизу "Журнал учёта посещений".
В Яндекс.Паспорт есть "История входов и устройства".
Там можно увидеть что делал мошенник и с какого IP.
У меня например IP взломщика был: 146.120.110.13
Считаю что в этой ситуации шансы на восстановление домена достаточно велики.
Перенос домена к другому регистратору занимает 7 дней. Надо за это время успеть достучаться до рег.ру.
Домен должны заблокировать на перенос пока идет разбирательство.
Перенос домена к другому регистратору занимает 7 дней. Надо за это время успеть достучаться до рег.ру.
Домен должны заблокировать на перенос пока идет разбирательство.
В течении одного месяца почту на Яндексе взламывали 3 раза (разные ящики).
На всех аккаунтах используются случайно сгенерированные пароли 16-20 символов цифры+латиница разного регистра.
Контрольные вопросы придуманы не привязываясь к возможным вариантам ответа и также являются случайными.
К аккаунтам привязаны телефон и резервные e-mail, но никаких СМС и уведомлений на почту не приходило.
Для приложений используются отдельные пароли.
Все взломы с ip с которых никогда ранее обращений к аккаунту не было.
В саппорт Яндекса обращался по этому вопросу, но в итоге просто перестали общаться.
Если кому-то из техподдержки Яндекс-почты всё же хочется немного поработать и объяснить дырявость защиты пишите в личку скину номер тикета.
На всех аккаунтах используются случайно сгенерированные пароли 16-20 символов цифры+латиница разного регистра.
Контрольные вопросы придуманы не привязываясь к возможным вариантам ответа и также являются случайными.
К аккаунтам привязаны телефон и резервные e-mail, но никаких СМС и уведомлений на почту не приходило.
Для приложений используются отдельные пароли.
Все взломы с ip с которых никогда ранее обращений к аккаунту не было.
В саппорт Яндекса обращался по этому вопросу, но в итоге просто перестали общаться.
Если кому-то из техподдержки Яндекс-почты всё же хочется немного поработать и объяснить дырявость защиты пишите в личку скину номер тикета.
Скорее всего, взломщик либо сотрудник Яндекса, либо имеет там агента. Чудес на свете не бывает…
Если так, то тем более эта ситуация должна была заинтересовать Яндекс.
Ну или тикет обрабатывал тот же сотрудник.
По итогу ни ни объяснений, ни извинений, ни сообщений о том, что уязвимость исправлена. Все заданные вопросы просто проигнорированы.
Сначала просто перестали отвечать, а потом ещё издевательски попросили оценить службу поддержки.
Ну или тикет обрабатывал тот же сотрудник.
По итогу ни ни объяснений, ни извинений, ни сообщений о том, что уязвимость исправлена. Все заданные вопросы просто проигнорированы.
Сначала просто перестали отвечать, а потом ещё издевательски попросили оценить службу поддержки.
Если симка будет оформлена на другого человека, это возможно усложнит возможность несанкционированной смены симки.
Например мне жена в свое время подарила мобильник вместе с симкой, оформленной на себя. И я до сих пор пользуюсь этой симкой.
При смене номера нужно знать ФИО владельца, на кого он оформлен. И этот владелец не я.
Т.е. даже узнав мои ФИО и даже где-то раздобыв скан моего паспорта, сменить симку не получится.
Хотя, в свете последних законодательных изменений могут возникнуть сложности, когда везде начнут проверять соответствие пользователей различных онлайн-сервисов реальным владельцам симок.
Например мне жена в свое время подарила мобильник вместе с симкой, оформленной на себя. И я до сих пор пользуюсь этой симкой.
При смене номера нужно знать ФИО владельца, на кого он оформлен. И этот владелец не я.
Т.е. даже узнав мои ФИО и даже где-то раздобыв скан моего паспорта, сменить симку не получится.
Хотя, в свете последних законодательных изменений могут возникнуть сложности, когда везде начнут проверять соответствие пользователей различных онлайн-сервисов реальным владельцам симок.
А вы уверены, что официальный порядок действий при перевыпуске карты требует от сотрудника салона именно «ввести и ФИО, и номер», а не «ввести номер, а потом сверить показанное на экране ФИО с паспортом»? Во втором случае симка на другое имя не поможет. В лучшем случае, если оператор снимает копию паспорта, увеличит размер взятки и удлиннит процедуру (нужно 2 раза спрашивать купленного сотрудника — сначала сказать правильное ФИО, потом подделать паспорт и потом перевыпустить симку), но не устранит уязвимость полностью. А если не снимает копию, тогда вообще ничего не меняется.
Технологий к добру не ведут, а деньги нужно было выводить и не держать у дяди!
Лучше бы этот вброс озвучили батюшке в церкве. Здесь технический форум и ожидается что тут люди пишут нормальные статьи на нормальные технические темы, а не исповеди о злых какерах.
У Tele2 при замене sim SMS блокируются на сутки! Можно успеть обратиться ТП.
А звонки тоже блокируются? Если нет, то это не спасает, т. к. многие сервисы предлагают 2 опции, sms и звонок.
Звонки нет. Но SMS не приходят и не уходят!
Выглядит как логичная защита, хотя бы какая то защита от подобных атак. Т.к. замену SIM может выполнить любой недобросовестный сотрудник салона. А ограничение SMS отключить он не может.
Выглядит как логичная защита, хотя бы какая то защита от подобных атак. Т.к. замену SIM может выполнить любой недобросовестный сотрудник салона. А ограничение SMS отключить он не может.
А по хорошему с обязательным требованием ответить, если симка проявляла активность хотя бы сутки назад.
И полная блокировка смс на ближайшие сутки, кроме технических от оператора.
Правда как реализовать замену в случае реальной потери ещё не придумал. :-)
И полная блокировка смс на ближайшие сутки, кроме технических от оператора.
Правда как реализовать замену в случае реальной потери ещё не придумал. :-)
Правда как реализовать замену в случае реальной потери ещё не придумал. :-)Оператор знает — была ли SIM'ка «на связи» в последнее время или нет. Ну, скажем, последние пару дней (на случай путешествующих по каким-нибудь диким маршрутам с пересадками).
Куда хуже не потеря, а кража телефона: тут и SIM'ка будет на месте и по телефону вам ответят… хотя это всё равно лучше, чем не звонить — тут и кража не нужна.
Если в рег.ру работают люди с умом (ну или хотя бы без его отсутствия), то в случае если домен не был передан другому регистратору его с лёгкостью вернут вам назад.
Могу пожелать только удачи в этом деле, надеюсь что ситуация решится положительно.
Могу пожелать только удачи в этом деле, надеюсь что ситуация решится положительно.
А мне вот больше интересно накажут ли по закону вора, если да, то что ему грозит
Хм, я в регистрации доменов не разбираюсь но вот то что включили симку дает вариант найти где это было но данные в системе хранятся только месяц то есть сейчас уже 26 и данные будут еще где то 29 дней еще в системе где и откуда был сигнал с симкарты а точнее с устройства с которого он шел.А уж если он перевыпустил симку на ваше имя не будучи вами то это уже серьезное мошенничество.То есть там не один человек.
Обновил стар пост последними новостями!
301-редирект выглядит страшно. Насколько я знаю, даже при активном желании пользователя удалить из профиля браузера запись о нём довольно сложно (т. е. если сайт A хоть раз вернул «301, редирект на B», то потом, когда пользователь вводит A в адресную строку, браузер по умолчанию уже ничего не проверяет, а сразу обращается к B). Сталкивался с этим, когда http (не s) сайт неожиданно был заблокирован РКН.
Несколько правил. Выношу на обсуждение и дополнение. Вот они:
- Напишите заранее заявление в офисе мобильного оператора, что любые действия с SIM возможны только при личном присутствии
- Не используйте SMS-авторизацию. Используйте, например, YubiKey и менеджер паролей (например, KeePassXC).
- Бэкап п.2 на бумагу (с помощью Shamir Secret Sharing (ssss), и, например, gpg2 в симмметрином режиме. Шифруем нужные данные с помощью gpg2, печатаем на каждом листке бумаги. Длинный и случайный пароль симметричного шифрования делим ssss'ом и печатаем по одной дольке на каждой копии. Таким образом, чтобы собрать обратно бэкап yubikey-я — потребуется несколько таких "долек".
- Базу KeepassXC бэкапим в несколько мест, иногда — вообще в оффлайн.
- Дольки раздаем знакомым/кладем в сейфы в разных местах/whatever. Лишь бы не в одном месте, и чтобы злоумышленнику пришлось попотеть, чтобы собрать бэкап "юбика" обратно.
- Профит.
Получаем хорошо защищенную от атак платформу хранения паролей и 2FA, не привязанную к устройствам (кроме YubiKey), которую можно в любой момент восстановить в случае потери данных или YubiKey-я.
У меня из-за привязки к телефону увели (скорее всего случайно) аккаунт wildberries.
Я переехал в другую страну, и естественно, отказался от номера телефона. Этот номер попал к кому-то, кто потом при помощи смс восстановил пароль к моему аккаунту. К счастью у меня не были привязаны карточки.
Саппорт Wildberries не ответил ни на одно письмо.
Я переехал в другую страну, и естественно, отказался от номера телефона. Этот номер попал к кому-то, кто потом при помощи смс восстановил пароль к моему аккаунту. К счастью у меня не были привязаны карточки.
Саппорт Wildberries не ответил ни на одно письмо.
А вот и диванная аналитика от ребят из Мэйл ру по этому вопросу :)
Давным давно у Яндекс.Почты была одна очень хорошая особенность: при регистрации почтового ящика можно было указывать произвольный логин (не совпадающий с именем ящика), и авторизация в Я.Почте шла через именно через «логин/пароль», а не через «название ящика/пароль».
И злоумышленник, даже зная пароль от почтового ящика пользователя, и имя почтового ящика, не мог получить доступ к аккаунту. По-сути, логин знал только сам пользователь, и больше никто — никакой брутфорс-не смог бы подобрать пароль, даже если бы он у меня был qwerty (ибо логин в письмах не светится)
Однако совсем недавно безопасность Я.Почты значительно, с моей точки зрения, уменьшилась: теперь всех пользователей, которые авторизовывались в ней через логин/пароль, перевели на альтернативную авторизацию через имя ящика/пароль.
К сожалению, мое обращение с техподдержкой на тему «я этого не просил, верните назад или хотя бы дайте возможность выбирать метод авторизации» не был услышан, техподдержка рекомендовала использовать 2ф-авторизацию для большей надежности. Но это, очевидно, может быть очень неудобно в ряде случаев, например когда у меня нет доступа к телефону, или когда нет мобильного интернета, или телефон сел/сломался/потерялся. Или когда его украли.
Грустно, словом.
И злоумышленник, даже зная пароль от почтового ящика пользователя, и имя почтового ящика, не мог получить доступ к аккаунту. По-сути, логин знал только сам пользователь, и больше никто — никакой брутфорс-не смог бы подобрать пароль, даже если бы он у меня был qwerty (ибо логин в письмах не светится)
Однако совсем недавно безопасность Я.Почты значительно, с моей точки зрения, уменьшилась: теперь всех пользователей, которые авторизовывались в ней через логин/пароль, перевели на альтернативную авторизацию через имя ящика/пароль.
К сожалению, мое обращение с техподдержкой на тему «я этого не просил, верните назад или хотя бы дайте возможность выбирать метод авторизации» не был услышан, техподдержка рекомендовала использовать 2ф-авторизацию для большей надежности. Но это, очевидно, может быть очень неудобно в ряде случаев, например когда у меня нет доступа к телефону, или когда нет мобильного интернета, или телефон сел/сломался/потерялся. Или когда его украли.
Грустно, словом.
В том что сейчас, зная пароль, можно получить доступ к ящику безо всякого брутфорса логина. А не зная пароль, достаточно брутфорсить только лишь его.
А раньше такое было невозможно, ибо нужно было брутфорсить пару логин/пароль, что занятие практически безнадежное. Теперь же подбирать пароль стало во много раз проще.
А раньше такое было невозможно, ибо нужно было брутфорсить пару логин/пароль, что занятие практически безнадежное. Теперь же подбирать пароль стало во много раз проще.
Привязка симки к паспорту это уже возможная утечка персональных данных со стороны оператора. Задать пароль для перевыпуска красной карты например в Украине можно в телефоном режиме. Без пароля отказываются даже выдать симку другого размера, даже при наличии паспорта и работающей симки. На все уговоры предлагают звонить оператору, а он требует пароль.
Возможно для жителей РФ для повышения безопасности выгодней заказать сим карту в Украине или купить виртуальный номер телефона.
Возможно для жителей РФ для повышения безопасности выгодней заказать сим карту в Украине или купить виртуальный номер телефона.
Судя по последним обновлениям, либо это кто-то из текущих или совсем недавних сотрудников, либо у вас серьезные проблемы с безопасностью. Тот, кто «угнал» домен, весьма оперативно поднял «клон» вашего сайта, следовательно, у него был свежий бекап.
А где «Я пиарюсь»?..
Одни плюсы у автора от всей этой истории, которая, извините, вообще похожа на вброс.
Одни плюсы у автора от всей этой истории, которая, извините, вообще похожа на вброс.
доступ к электронной почте на Яндексе, на которую был зарегистрирован личный кабинет регистратора доменных имен.
А вот это было зря.
Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это «угон» домена и произошёл. Если бы к моей почте не был привязан номер телефона, то мошенник не смог бы сбросить мой пароль.
"Двухфакторная аутентификация" и "привязка номера к почте" — это же совсем разные вещи.
Конечно, ещё было бы интересно услышать ответ МТС.
Контрольный вопрос
< в данном случае будет на порядок безопаснее, нежели чем
< «безопасное восстановление аккаунта через телефон».
Оказалось что нет. Меня паралельно взломали именно через него. Хотя какзалось бы зная о такой возможности взлома я задал безсмысленный набор букв и цифр.
Настроить двухфакторную аутентификацию
Чтобы входить на Яндекс без пароля
Супер вообще.
Ну во первых я увидел письмо о восстановлении пароля через Контрольный вопрос до того как мошенник успел его удалить. Ну а потом в истории действий так и написано:
Восстановление доступа
изменен пароль
восстановление через: контрольный вопрос
25 сентября 2019, 21:41Москва
IP 146.120.110.13
Firefox 52.59
Windows 8.1 6.3
У меня складывается ощущение что упёрли базу Яндекс.Паспорта. И поскольку пароли уже как правило хранятся хеширванными то телефон и контрольный вопрос в базе скорей всего открыто. Вот их и использовали для взлома.
Пора уже шифровать все записи в базе индивидуально. А ключи скриптам выдавать соответственно их уровню доступа.
Очень громкая статья, но информация не очень вяжется с реальностью:
1. Рег.ру очень сложно и долго переносит домены (буквально в этом году переносил управление доменами — очень заустал я с ними бороться, пока все перенес. У них еще личный кабинет и сайт в целом ужас какой бардачный — квест, короче).
2. Передача управления доменами дает только возможность оплачивать его продление и менять DNS-записи (и то не всегда эти функции доступны — иногда требуется так называемая ПОЛНАЯ передача домена с отправкой фотокопии паспорта владельца, редко — частичная передача в управление дает доступ к функционалу). При этом владельца домена так не изменишь — только личное посещение с паспортом офиса или представительства РЕГ.РУ или нотариальная доверенность.
3. Судя по тому, как все оперативно было сделано, кто-то заранее готовился к этому и знал, что и как делать. Шерше ля фам среди знакомых.
1. Рег.ру очень сложно и долго переносит домены (буквально в этом году переносил управление доменами — очень заустал я с ними бороться, пока все перенес. У них еще личный кабинет и сайт в целом ужас какой бардачный — квест, короче).
2. Передача управления доменами дает только возможность оплачивать его продление и менять DNS-записи (и то не всегда эти функции доступны — иногда требуется так называемая ПОЛНАЯ передача домена с отправкой фотокопии паспорта владельца, редко — частичная передача в управление дает доступ к функционалу). При этом владельца домена так не изменишь — только личное посещение с паспортом офиса или представительства РЕГ.РУ или нотариальная доверенность.
3. Судя по тому, как все оперативно было сделано, кто-то заранее готовился к этому и знал, что и как делать. Шерше ля фам среди знакомых.
кстати, Gmail позволяет использовать городской телефон.
код при этом диктует звонком железная леди.
а угнать городской не получится, ни по доверенности, ни по фальшивому паспорту)
код при этом диктует звонком железная леди.
а угнать городской не получится, ни по доверенности, ни по фальшивому паспорту)
Зато во многих городах можно влезть в подъезд и подкрутить провода к физической линии. Это не ethernet, там такие скрутки работают.
А на езернете чего бы они не работали? Днём пока никого нет дома, в форме монтажника обрезаем кабель идущий в дырку у квартиры, обжимаем RJ-45, включаем в ноутбук.
И скрутки работают. Может быть на длине близкой к 100 метрам скрутки несколько ухудшат скоростные характеристики.
Другое дело, что городские телефоны уверенно вымирают.
И скрутки работают. Может быть на длине близкой к 100 метрам скрутки несколько ухудшат скоростные характеристики.
Другое дело, что городские телефоны уверенно вымирают.
это не поможет, если не знать серийник и пароль авторизации GPON
Не знаю как у других операторов (У меня не МТС), а у некоторых операторов можно в ЛК заблокировать номер. Для этого с оператором связываться не надо:
moskva.mts.ru/personal/podderzhka/mobilnaya-svyaz/deystviya-s-sim-kartoy/blokirovka-i-vosstanovlenie-sim-karti
…
moskva.mts.ru/personal/podderzhka/mobilnaya-svyaz/deystviya-s-sim-kartoy/blokirovka-i-vosstanovlenie-sim-karti
Подключите услугу «Добровольная блокировка», которая блокирует возможность использования услуг связи. При подключенной услуге «Добровольная блокировка» недоступно получение пароля к Личному кабинету с сайта МТС.
…
наберите на своем телефоне команду *111*157#
Так какая ситуация на настоящий момент то?
Возможность сброса пароля через телефон превращает двухфакторную аутентификацию в однофакторную с дополнительными плясками с уже бесполезным паролем.
А что с изображениями? Они все 404 выдают.
Это естественный отбор. Вам нечего делать в сети, если:
- ответственные вопросы Вы доверяете ящику на Яндексе. Заполучить доступ к нему стоит 50-70тр.
- регистрируете домены на рег.ру
- регистрируете домены net у российских регистраторов
- за три года работы не поняли смысл пунктов 1-4.
Очень жду ответ полиции, и вообще интересно, что написали в заявлении?
И меня очень поразила возможность восстановить доступ к яндекс.почте только при помощи смс за пару минут (делал хард ресет телефону, забыл отвязать яндекс.ключ). Ожидал, что процесс восстановления будет сложнее.
И меня очень поразила возможность восстановить доступ к яндекс.почте только при помощи смс за пару минут (делал хард ресет телефону, забыл отвязать яндекс.ключ). Ожидал, что процесс восстановления будет сложнее.
Мы никогда не занимались политикой и не писали заказных материалов.
лол. а это на что-то должно влиять? вот даже удивляют люди которые этой самой политикой к примеру не интересуются, никуда не лезут а потом с той стороны прилетает, и они такие «так я ж не это, ну за что?» — за то, что не занимался и не интересовался, и не только ты
Вопрос в том, что при этом видит сотрудник оператора сотовой связи. В стартовом посте сотрудник оператора явно не следовал инструкциям, выдав копию симки кому попало. И если усложнить процедуру для клиента, но от сотрудника оператора не требовать программно вбивания ответов, а требовать сравнить показанное на экране с ответом клиента, то от нарушения сотрудником инструкции это не спасёт. Пример:
Клиент (суёт сотруднику 10тыс в лапу или пистолет в лицо): мой номер 8916xxxxxxx, у меня украли телефон.
Сотрудник, вбивает номер в программе.
Программа: поговорите с этой симкой.
Сотрудник (говорит в трубку): вы вор.
Программа: спросите клиента, по каким номерам он звонил, и проверьте, присутствуют ли они в списке: 111, 222, 333.
Клиент: я звонил по 444 и 555.
Сотрудник нажимает в программе: клиент ответил правильно.
и т. д.
Клиент (суёт сотруднику 10тыс в лапу или пистолет в лицо): мой номер 8916xxxxxxx, у меня украли телефон.
Сотрудник, вбивает номер в программе.
Программа: поговорите с этой симкой.
Сотрудник (говорит в трубку): вы вор.
Программа: спросите клиента, по каким номерам он звонил, и проверьте, присутствуют ли они в списке: 111, 222, 333.
Клиент: я звонил по 444 и 555.
Сотрудник нажимает в программе: клиент ответил правильно.
и т. д.
Может быть теперь вы поймете, что когда вы не занимаетесь политикой и не контролируете власть, то преступность в стране будет расти во всех отраслях. Ведь если ИМ можно обогащаться за счет бюджета, то почему нельзя это делать другим, по-мелочи, из карманов граждан.
То, что вы не занимаетесь политикой, это и есть причина ваших проблем. Отговорки «а что я один могу сделать...» не принимаются :-)
То, что вы не занимаетесь политикой, это и есть причина ваших проблем. Отговорки «а что я один могу сделать...» не принимаются :-)
«накопленные деньги, душу и 3 года кропотливой работы» — хороший пиар для ниочёмского сайта у вас получился…
Чувак, ты зря на Яндекс тут нагнал, при двухфакторной аутенфикации как раз такой фигни не может быть, там еще пинкод надо знать, у тебя однофакторная была
Довольно прикольно, жалко, что только это реалии
В дополнение к коментарию выше: а ещё заригистрироваться в Google Authenticator (как правило) как минимум очень сложно, если не сообщать свой телефон гуглу, а после этого уже не исключено, что гугл воспримет знание телефона как достаточное подтверждение личности.
К устройству на андроиде, в котором регулярно находили бэкдоры?
OK, про конкретно google pixel не вспомню, слышал я что-то или нет, но я так понимаю, что:
1. При первоначальном включении устройства гугл требует создать аккаунт, и часто (см. выше по треду) не даёт это сделать без указания номера телефона.
2. Допустим атакующий угнал мой номер телефона и смог убедить гугл, что он — владелец аккаунта. После этого он говорит гуглу: у меня украли телефон google pixel. Где гарантия, что сам гугл не предоставит ему дамп всех данных на этом телефоне?
1. При первоначальном включении устройства гугл требует создать аккаунт, и часто (см. выше по треду) не даёт это сделать без указания номера телефона.
2. Допустим атакующий угнал мой номер телефона и смог убедить гугл, что он — владелец аккаунта. После этого он говорит гуглу: у меня украли телефон google pixel. Где гарантия, что сам гугл не предоставит ему дамп всех данных на этом телефоне?
не хранится нигде кроме устрйоства
Я не про это говорю. Если гугл имеет удалённый доступ к моему устройству (я не уверен, что не имеет, и это не имеет отношения к собственно протоколам google authentificator), то «не хранится нигде кроме устройства» превращается в «не хранится нигде, кроме устройства, пока этого хочет гугл». А как только гугл захочет, все данные, хранящиеся на телефоне, включая все данные google authenticator попадут на сервер гугла, а оттуда — куда (гуглу) угодно.
Почитал уже. Ещё раз. Если злоумышленник по указанной выше схеме получил все данные с моего телефона, что ему мешает точно так же генерировать пароли каждые несколько секунд с помощью этих данных?
Мы снова упираемся в вопрос, согалсится ли гугл поверить, что «злоумышленник, уркавший номер = истинный владелец аккаунта». Принцип работы google authenticator к этому отношения не имеет. У меня нет уверенности, что не согласится, и комментарии выше по треду такой уверенности не внушают.
Во-первых, это если восстанавливать по номеру телефона, а я говорю про ситуацию, когда (допустим) гугл счиитает злоумышленника полноправным владельцем аккаунта, а не только телефона.
Во-вторых, у вас есть сведения, как гугл-поддержка общается с клиентами именно в ситуации «телефон украден» (а не просто «купил новый телефон и хочу перенести туда данные»)?
Во-вторых, у вас есть сведения, как гугл-поддержка общается с клиентами именно в ситуации «телефон украден» (а не просто «купил новый телефон и хочу перенести туда данные»)?
И что они мне ответят, сервисы гугла? Подозреваю, что если гугл, ещё раз, уже считает меня владельцем не только телефона, но и аккаунта, то очень много.
пароль от вашей учетной записи
Скорее всего, при должном упорстве пароль от учетной записи сбрасывается, если иметь доступ к телефону. То есть по умолчанию точно сбрасывается.
ok, а дальше я пишу в поддержку гугла, говорю телефон украли, я владелец, поскольку знаю пароль от аккаунта и владею номером, дайте мне дамп всех данных с моего телефона. У меня нет уверенности, что в такой ситуации гугл мне не выдаст дамп.
Что значит «дампов нет»? Данные на телефоне хранятся? Хранятся.
А дальше я имею в виду, что с интернетом будет связываться не это приложение, а сервисы гугла, предусмотренные на случай «телефон украли». И именно эти сервисы, а не приложение, будут сливать дамп на серверы гугла. И будет просто дамп файловой системы, а не данных конкретного приложения.
А дальше я имею в виду, что с интернетом будет связываться не это приложение, а сервисы гугла, предусмотренные на случай «телефон украли». И именно эти сервисы, а не приложение, будут сливать дамп на серверы гугла. И будет просто дамп файловой системы, а не данных конкретного приложения.
Их не существует, пока телефон функционирует в нормальном режиме. А что делают сервисы гугла на телефоне, когда гугл переводит его в режим «украден»?
Так, и где уверенность, что после прохождения всех этих этапов я не смогу получить дамп от гугла?
Сама эта картинка показывает, что гугл имеет удалённый доступ к телефону, причём имеющий приоритет над настройками на самом телефоне. Почему он с помощью этого удалённого доступа не может забрать с телефона все данные во время прохождения этого квеста?
Почему он с помощью этого удалённого доступа не может забрать с телефона все данные во время прохождения этого квеста?Потому что TPM, блин.
Сам телефон в принципе не имеет доступа к данным, которые нужны, чтобы генерировать одноразовые пароли — это аппаратно обеспечивается.
Сам телефон в принципе не имеет доступа к данным, которые нужны, чтобы генерировать одноразовые пароли
Что значит «не имеет доступа»? Он же генерирует пароли (то есть программа, исполняемая в нём, генерирует пароли).
то есть программа, исполняемая в нём, генерирует паролиПрограмма, исполняемая в нём не генерирует пароли. Прочитайте, наконец, что такое TPM и не морочьте людям голову.
Прочитал уже давно. Допустим у меня будет другой процессор, названный «TPM», и вычисления выполняет он, а не «основной» процессор. Как это помешает злоумышленнику выполнить те же вычисления, если гугл слил ему все исходные данные?
Прочитал уже давно.Прочитали, но ничего не поняли. Идите, читайте ещё.
Как это помешает злоумышленнику выполнить те же вычисления, если гугл слил ему все исходные данные?Гугл не может слить ему исходные данные, потому что этих данных у него нет.
Они есть в двух местах:
1. У сервиса, доступ к которому мы защищаем (если у вас есть к этому сервису, то вам уже никакой Google Authenticator не нужен).
2. На телефоне, где установлен Google Autheticator внутри TPM-модуля.
Эти данные из TPM-модуля наружу не отдаются никогда. В принципе. Железка этого не предусматривает. Предусмотрен только сброс и занесение туда новых данных.
Это если предполагать, что гугл следует этой спецификации полностью, что сомнительно, они даже в официальном описании не говорят «TPM», а говорят «Titan M security module».
Они так говорят, потому что Titan M более безопасен, чем TPM.
Традиционный TPM чип нельзя скопировать, но можно поддеделать. Передать даные с сервера и зашить их в новый TPM чим.
Titan M эту проблему решает: все чипы уникальны и даже если вы зальёте туда данные с сервера — всё равно будет возможность узнать, что это другой чип.
Google Authenticator эту возможность, впрочем, не использует, ему достаточно обычного TPM'а.
Традиционный TPM чип нельзя скопировать, но можно поддеделать. Передать даные с сервера и зашить их в новый TPM чим.
Titan M эту проблему решает: все чипы уникальны и даже если вы зальёте туда данные с сервера — всё равно будет возможность узнать, что это другой чип.
Google Authenticator эту возможность, впрочем, не использует, ему достаточно обычного TPM'а.
Так какие проблемы тогда серверу гугла передать эти данные для «общего TPM, но не Titan M» злоумышелннику, если google authenticator'у их достаточно? Это во-первых.
А во-вторых (и это главное), откуда мы знаем, какие уровни доступа сам гугл оставил себе в этих «улучшениях», превращающих TPM в Titan M?
А во-вторых (и это главное), откуда мы знаем, какие уровни доступа сам гугл оставил себе в этих «улучшениях», превращающих TPM в Titan M?
Так какие проблемы тогда серверу гугла передать эти данные для «общего TPM, но не Titan M» злоумышелннику, если google authenticator'у их достаточно?Вы уж определитесь — мы обсудаем случай, когда Google Authenticator используется для доступа к GMail'у (а тогда все эти построения бессмысленны — все давнные у Гугла и так есть) или для доступа к какому-нибудь другому сервису (тогда Гугл никак не сможет передать кому-то данные, которых у него нет).
А во-вторых (и это главное), откуда мы знаем, какие уровни доступа сам гугл оставил себе в этих «улучшениях», превращающих TPM в Titan M?А откуда мы знаем что сервис, о котором вы так печётесь, не даст данные просто первому встречному, который скажет, что он это вы? Это, как бы, куда более часто наблюдаемый случай.
Ещё раз, вся эта ветка посвящена обсуждению одной конкретной атаки: некто использует google authenticator для аутентификации в стороннем ресурсе, и гугл, поверивший, что атакующий — владелец телефона, выдал атакующему все данные, включая те, которые позволят использовать google authenticator и войти в сторонний сервис.
Другие атаки возможны, я не спорю, собственно весь пост о том, что атакующий выдал кому-то данные в виде писем на email. В конкретно этой ветке я говорю о конкретно описанной выше атаке.
Другие атаки возможны, я не спорю, собственно весь пост о том, что атакующий выдал кому-то данные в виде писем на email. В конкретно этой ветке я говорю о конкретно описанной выше атаке.
Вот только ни про TOTP, ни про google authenticator по вашей ссылке ничего не сказано.
Если вы не обучены думать и в Гугле вас забанили, то тут я ничем не могу помочь. Хотя бы на StackOverflow зашли как-нибудь, прочитали, что ли.
И будет просто дамп файловой системы, а не данных конкретного приложения.Даже если вы сольёте содержимое всей файловой системы — это не помежет вам запустить Google Authenticator на другом устройстве. Он там запустится, но будет генерить другие ключи.
Как он может генерить другие ключи, если все его входные данные были вытащены из телефона гуглом?
если все его входные данные были вытащены из телефона гуглом?Как именно эти данные были вытащены гуглом, я извиняюсь?
Примерно так: телефон связался с гуглом по расписанию, и получил от него проприетарный спецзапрос «отдать все данные и заблокироваться».
Даже в этом случае дагнные из TPM'а он не сможет отдать. Потому что архитектура TPM'а этого в принципе не позволяет сделать.
А как только гугл захочет, все данные, хранящиеся на телефоне, включая все данные google authenticator попадут на сервер гугла, а оттуда — куда (гуглу) угодно.Я правильно понимаю, что вы боитесь того, что Гугл, слив инфу с вашего телефона, получит несанкционированный доступ к вашему аккаунту в Гугле?
Почему бы человеку, имеющему, по легенде, несанкционированный доступ к серверам Гугла, не взять всю информацию без взлома вашего телефона напрямую с серверов?Я правильно понимаю, что вы боитесь того, что Гугл, слив инфу с вашего телефона, получит несанкционированный доступ к вашему аккаунту в Гугле?
Нет, неправильно понимаете. Во-первых, я говорю о том, как доступ получает не гугл, а злоумышленник, сумевший убедить гугл в том, что он владелец аккаунта. Во-вторых, я говорю о доступе не к аккаунту в гугле, а к аккаунту в другом сервисе, для входа в который используется google authenticator.
Во-вторых, я говорю о доступе не к аккаунту в гугле, а к аккаунту в другом сервисе, для входа в который используется google authenticator.Если Google Authenticator используется для доступа в другой сервис, то у Гугла не будет данных для его дублирования.
Они есть в телефоне, к которому у гугла есть удалённый доступ.
Они есть в телефоне, к которому у гугла есть удалённый доступ.С тем же успехом можно говорить, что уборщица в вашем подъезде может вынести все деньги из вашей квартиры. Доступ-то в дом у неё есть!
Нет. У проприетарного гугла, вероятно, есть доступ ко всем областям телефона, в отличие от уборщицы.
У уборщицы тоже могут быть ключи от вашей квартиры. Примерно с той же вероятностью.
Ну нет, всё же про возможность недокументированного удалённого доступа к различным «сверхчипам (в смысле имеющим больше прав. чем „обычный“ процессор) от производителей железа» известно достаточно много.
Отлично, раз их «известно достаточно много» — то можете ссылочками поделиться.
Только не на измышления разных десятелей, а на конкретные примеры. Где было бы чётко известно — где, что, как и почему.
Потому что мне такие вещи неизвестны. Всякие фабрикации от политиков (и не только) — известны. Рассуждения на тему «ты суслика видишь?» — тоже. А вот проверенных случаев обнаружения «закладок от производителя» — нету. Ни одного.
Политики, в основном, используют эти истории, чтобы финансирование бюджетное получить… но вам-то это зачем?
Только не на измышления разных десятелей, а на конкретные примеры. Где было бы чётко известно — где, что, как и почему.
Потому что мне такие вещи неизвестны. Всякие фабрикации от политиков (и не только) — известны. Рассуждения на тему «ты суслика видишь?» — тоже. А вот проверенных случаев обнаружения «закладок от производителя» — нету. Ни одного.
Политики, в основном, используют эти истории, чтобы финансирование бюджетное получить… но вам-то это зачем?
Первое, что нашёл:
thehackernews.com/2017/05/intel-amt-vulnerability.html
Да, они пишут, что это «уязвимость», но это не противоречит тому, что она не была изначально задокументирована и позволяет получить удалённый доступ. А была ли она там задумана изначально, вряд ли нам кто-то на самом деле скажет.
thehackernews.com/2017/05/intel-amt-vulnerability.html
Да, они пишут, что это «уязвимость», но это не противоречит тому, что она не была изначально задокументирована и позволяет получить удалённый доступ. А была ли она там задумана изначально, вряд ли нам кто-то на самом деле скажет.
Почему бы человеку, имеющему, по легенде, несанкционированный доступ к серверам Гугла, не взять всю информацию без взлома вашего телефона напрямую с серверов?
Потому что я предполагаю, что он имеет доступ не ко всем серверам гугла, а только к аккаунту в гугле.
Потому что я предполагаю, что он имеет доступ не ко всем серверам гугла, а только к аккаунту в гугле.В таком случае он никакого дампа файловой системы не получит. Так как в штатном режиме Google их не делает. Чтобы они появились — потребуется получить, как минимум, доступ к серверам Google Play, чтобы отправить на телефон вредоносный код. А ещё его придётся подписать, чтобы телефон этот кон принял и дал доступ. Это уже предполагает неограниченный доступ не просто к аккаунту гугла, а к нескольким самым защищённым серверам в Гугле.
в штатном режиме Google их не делает
Я говорю не про штатный режим, а про режим «телефон украден». И закрытость не позволяет узнать, что в таком режиме делает телефон.
Я говорю не про штатный режим, а про режим «телефон украден»«Штатный режим» — это режим со штатной прошивкой. Даже в режиме «телефон украден» он не сливает дамп файловой системы. Для этого вам нужно будет залить на него другую прошивку.
И закрытость не позволяет узнать, что в таком режиме делает телефон.Можно только сказать чего он не делает: он не сливает данные Google Authenticator'а.
он не сливает дамп файловой системы
В режиме «украден» он делает много чего другого, что в обычном режиме не делает, и что свидетельствует о высоком уровне удалённого доступа со стороны гугла. Так что вполне веротяно, и дамп сливает, и данные google authenticator вместе с ним. Точно узнать не получится, поскольку система крайне закрытая.
Точно узнать не получится, поскольку система крайне закрытая.Почему-то людей, работающих с iOS это не останавливает.
Так-то вы можете продолжать верить в рептилоидов, которые засадили мозговых слизней всем сотрудникам Гугла — это ваш выбор.
Но если хотите реальной безопасности, а не рассуждений на тему мозговых слизней — то Google AUthenticator её обеспечит.
В статье по ссылке как раз речь о том, как взламывать iphone с помощью вполне документированных возможностей, что только увеличивает вероятность, что с помощью недокуменированных возможностей самому гуглу его взломать проще.
Во-первых там речь идёт и про недокументированные возможности тоже. А во-вторых — известный поход на Хабре не очень любят.
Во-первых, я в ваш (да и ни в чей) адрес ругательств не употреблял, даже в ссылках. Постарайтесь, пожалуйста, воздержаться от этого.
Во-вторых, написанное в статье никак не противоречит тому, что у гугла и эппла есть удалённый доступ вообще ко всему, что находится в телефоне. Даже скорее свидетельствует в пользу того, что такой доступ есть.
Наконец, какие недокументированные возможности, упомянутые в статье, вы имеете в виду? Джейлбрейк? Это не возможность удалённого доступа со стороны apple.
Во-вторых, написанное в статье никак не противоречит тому, что у гугла и эппла есть удалённый доступ вообще ко всему, что находится в телефоне. Даже скорее свидетельствует в пользу того, что такой доступ есть.
Наконец, какие недокументированные возможности, упомянутые в статье, вы имеете в виду? Джейлбрейк? Это не возможность удалённого доступа со стороны apple.
Возможно, используете другой телефон. В телефонах, которые мне попадались, аккаунт нужно было либо создать при первой загрузке, либо от этого можно было отказаться, нажав 10 кнопок «вы уверены», но тогда попытка поставить гугловские приложения приводила к тому, что они отказывались работать, даже если найти и поставить их apk. Google Authenticator не пробовал, но уверен, что к нему это относится даже в большей степени.
И Google Authenticator стоит? И работает без аккаунта? Я буду сильно удивлён, если на оба вопроса ответ «да».
И при этом генерирует пароли, если нажать «пропустить»?
Не знаю, насколкьо вам интересно это тестировать дальше, но если интересно, то: что будет, если ввести туда какой-нибудь временный ключ, предназначенный только для этой цели?
ok, тогда ситуация с безопасностью там действительно улучшилась по сравнению с тем временем, когда я детально смотрел на андроид. Что не отменяет закрытости платформы и, как следствие, отсутсвие полного доверия.
Глупости вы пишите, это понимаю даже, человек далёкий от программирования.
Закрытое ПО совсем не обязательно является безопасным. Наоборот там порой такие дыры встречаются что рукалицо.
В открытое же заглянет каждый любопытный и потыкает носом разработчика.
Закрытое ПО совсем не обязательно является безопасным. Наоборот там порой такие дыры встречаются что рукалицо.
В открытое же заглянет каждый любопытный и потыкает носом разработчика.
Это похоже не сарказм а свойство личности, обратите внимание на ник.
Хм, может быть кто то заморочился по VOIP, куда интереснее завести такой номер с арендой помесячной и на отдельном телефоне, но важна защита самого акка. А не просто логин и пароль. Это куда разумнее чем использовать еще один номер, который злоумышленник также сможет пробить имея человека в банке и далее по процедуре замены симки по доверенности. Замкнутый круг. Это исключит только воип номер к которому доступ не сможет получить злоумышленник.
Всем привет! Контроль над сайтом восстановили, пытаемся продолжать работу. Но косяки вылазят на каждом углу, то сайт в Гугл никак залезать обратно не хотел (исправили) то зеркала поменялись в Яндекс, то объявления рекламные не показываются и пр.
Всё хорошо, но к 2FA отношения никакого не имеет :)
В данном случае (сброс пароля) Ваш телефон был не вторым фактором аутентификации, а единственным: введи Email (идентификация), подтверди код из СМСки (аутентификация единственным фактором).
Была бы там 2FA и на сброс пароля — ничего бы не произошло. Так что не стоит на 2FA бочку катить :)
Могу только посоветовать использовать провайдеров услуг, которые позволяют федерировать аутентификацию на нормальные взрослые системы (Okta, GCP, AAD & Co) и строить безопасность там, если Вам есть что терять.
Удачи!
В данном случае (сброс пароля) Ваш телефон был не вторым фактором аутентификации, а единственным: введи Email (идентификация), подтверди код из СМСки (аутентификация единственным фактором).
Была бы там 2FA и на сброс пароля — ничего бы не произошло. Так что не стоит на 2FA бочку катить :)
Могу только посоветовать использовать провайдеров услуг, которые позволяют федерировать аутентификацию на нормальные взрослые системы (Okta, GCP, AAD & Co) и строить безопасность там, если Вам есть что терять.
Удачи!
Важно заметить, что аутентификация по СМС — самая простая, но и самая ненадёжная.
Если почитать договор об оказании услуг связи, то у любого оператора будет пункт о том, что номер принадлежит оператору, и оператор может в любой момент его заменить.
Более того, номер принадлежит на самом деле не оператору, а государству в лице министерства связи и ФСБ. В результате каналов утечки очень и очень много, не говоря уже о возможных квазизаконных действиях самого государства.
Соответственно любая «двухфактроная» (на самом деле нет) аутентификация, привязанная к телефонному номеру превращается в замок от честных людей.
Яндекс выдаёт именно такой продукт — достаточно принять смс, чтобы получить полный доступ к аккаунту. А Яндекс ключ, по сути, приложение — фикция.
Впрочем и другие варианты 2fa немногим лучше. Помочь могут только от мамкиных хакеров.
Лично у меня подтверждение через смс отключено везде, где это возможно, но это половинчатое решение.
Любую форму подтверждения личности через мобильную сеть следует изъять из стандартов безопасности.
Если почитать договор об оказании услуг связи, то у любого оператора будет пункт о том, что номер принадлежит оператору, и оператор может в любой момент его заменить.
Более того, номер принадлежит на самом деле не оператору, а государству в лице министерства связи и ФСБ. В результате каналов утечки очень и очень много, не говоря уже о возможных квазизаконных действиях самого государства.
Соответственно любая «двухфактроная» (на самом деле нет) аутентификация, привязанная к телефонному номеру превращается в замок от честных людей.
Яндекс выдаёт именно такой продукт — достаточно принять смс, чтобы получить полный доступ к аккаунту. А Яндекс ключ, по сути, приложение — фикция.
Впрочем и другие варианты 2fa немногим лучше. Помочь могут только от мамкиных хакеров.
Лично у меня подтверждение через смс отключено везде, где это возможно, но это половинчатое решение.
Любую форму подтверждения личности через мобильную сеть следует изъять из стандартов безопасности.
Прошло много времени, чем все закончилось то в итоге?
Благодаря двухфакторной аутентификации я лишился всех вложенных денег и 3 лет работы