Комментарии 264
HeadHunter и правда параноики какие то. Авторизацию постоянно сбрасывают. Коды на email отправляют. Зачем всё это? Мошенники могут украсть мою вакансию?
Для аккаунтов работодателей в этом хоть какая-то логика есть. А зачем часто сбрасывать пароль для соискателей - загадка, завернутая в тайну и покрытая мраком.
Мошенники украдут вакансию, устроятся вместо тебя на работу. Они будут работать, а деньги будут капать на карту тебе. Мошенники-мазохисты. Ну ладно, хватит о мечтах... ))
Не мошенники, а спамеры. Будут спам под видом резюме отправлять.
В head hunter вся ваша жизнь расписана в резюме. Для мошенников и социальной инженерии, спецслужб иностранных государств - это кладезь
чел, там просто UX г@вно, посмотри внимательно, там ниже строчка "Войти с паролем" и не нужно будет входить через сброс. Да, позор
Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
А как это должно работать на десктопе?
А в чем проблема с десктопом? Вводишь пароль, потом код из Google Authenticator.
То есть, чтобы войти в браузере на десктопе нужно будет поставить приложение на смартфон?
Их и под винду полно
https://apps.microsoft.com/search?query=2fa&hl=ru-ru&gl=TM&department=Apps
Вот смотрите.
Есть веб-сайт на который я захожу раз в несколько дней.
Могу с десктопа, могу со смартфона.
Капчи там нет.
Это приложение точно ускорит процедуру логина и сохранит моё время?
А это не ко мне вопрос, я лишь сказал, что аутентификаторы есть не только под ведроид/огрызок
Vaultwarden с клиентом Bitwarden. Работает в браузере и в приложении. Приложение работает без подключения к серверу очень долго, месяц точно. Насколько знаю, все виды TOTP волтварденом поддерживаются.
а в чём проблема? любой нормальный totp аутентификатор позволяет экспортировать ключ и/или синхронизировать базу между своими устройствами любым удобным способом.
ну либо есть второй вариант - kdeconnect умеет показывать уведомления с телефона на компе (и наоборот), с возможностью скопировать тот самый секрет прямо из уведомления, или он же позволяет без синхронизации уведомлений просто копировать на одном устройстве а вставлять на другом. это в любом случае удобнее и безопаснее чем код в смс или на почту. а главное не требует доступа в интернет.
в моём случае это две базы keepass с приложением keepassxc на пк и keepassdx на телефоне, одна база с паролями другая с totp ключами. обе базы синхронизируются при помощи syncthing между рабочим, домашним компами и телефоном и бекапятся в дополнительные пару мест на всякий случай с версионированием.
Удобно работать с двумя раздельными базами? Все никак не заставлю себя перейти на такой сетап...
Показывать смски и уведомления может много что. Даже стандартный в Win Your Phone/Phone Link/Связь с телефоном/как там еще MS в очередный раз извратилась. Но - надо комп с BT, сложности если несколько компов (или телефонов), сложности если комп НЕ на винде, сложности если смс по каким то причинам не приходит (или приходит не как смс а куданибудь в вк или viber) и так далее
Даже стандартный в Win Your Phone/Phone Link/Связь с телефоном/как там еще
ну комп на винде в наше время это ещё поискать надо
сложности если комп НЕ на винде
поэтому я и сказал про kdeconnect, он насколько я знаю есть и под линь и под вынь и под мак, правда на винде и маке я его не щупал, но думаю с такой простой задачей как трансляция уведов между устройствами справляется одинаково, и BT ему не надо (хотя там вроде обещали и BT завести).
сложности если смс по каким то причинам не приходит
именно по этому я за totp
или приходит не как смс а куданибудь в вк или viber
опять же kdeconnect, ему пофиг показывать уведомления об смс или о сообщении в какое нибудь приложение, другой вопрос что мне пришлось очень долго сраться с поддержкой одного сервиса которые упорно слали мне сообщения в вайбер (по их словам) и их никак не заботило то что в вайбере меня нет, только на второй день общения они признали что шлют сообщения куда-то не туда..
Чтобы kdeconnect считал уведомление в сервисе - должно ж стоять приложение этого сервиса на то же телефоне что и kdeconnect и и сервис должен показывать в уведомлении что реально пришло в начале же?
Просто например у меня вк на телефонах просто нет (притом что аккаунт привязанный к номеру основного моего телефона - в природе есть но я туда с компьютера захожу в очень редких случаях). Ваш сценарий с Viber...наверно формально у меня Viber тоже есть, когда то была регистрация.
Это приложение точно ускорит процедуру логина и сохранит моё время?
Ну, с сохранением времени аргумент так себе - оно не столько долго, сколько раздражает. Но:
Тут в статье как-то смешали два вида аутентификаторов
Первый - это который OTP, и при использовании которого все равно логин и пароль вводить надо, на что в первой половине статьи жалуются.
Второй - это когда приложение просит подтвердить на телефоне, что это ты входишь, не заставляя ничего вводить на компе.
Вторым, кстати, у некоторых банков вроде бы может являться сам банк-клиент. Вот буквально сайт банка просит просканировать QR и подтвердить вход телефоном.
Хотя лучше бы Passkeys внедряли - оно как-то стандартнее и может по тому же сценарию(вход при помощи телефона) работать.
Аутентификаторы не ускоряют работу. Они просто бесплатны для оказывающего услуги. Ну, и решают вопрос с перебойной или отсутствующей связью, например - не приходится ждать смс, которая может и вовсе не дойти.
Обычно на телефон, но не только. А что в этом неожиданного? :) Приложения-аутентификаторы давно и широко используются.
Неожиданное тут следующее.
ИНОГДА Вам приходится вводить капчу и это отнимает у Вас столько сил и времени, что Вы хотите КАЖДЫЙ РАЗ задействовать ещё и приложение на смартфоне.
Это выглядит очень странным обменом.
Я вот не уверен, что второе будет жрать меньше моих человеко-часов, чем первое.
Здесь, в исходном комменте, речь об обмене одноразового пароля в SMS на одноразовый пароль в приложении. И так, и так тянуться за телефоном и прикладывать палец. Окей, с приложением на пару тапов больше нужно.
Сильно упростил бы ситуацию отказ от второго фактора как такового, но это уже совместное решение и пользователя, и владельца сервиса, в одно лицо не отказаться.
Здесь, в исходном комменте, речь об обмене одноразового пароля в SMS на одноразовый пароль в приложении.
Тут на самом деле непонятно что имели в виду. Смотри мой комментарий выше.
Ну вот например мне - за кодом двухфакторки не надо тянутся до телефона посколько иконка расширения Bitwarden вынесена на панель браузера и коды - через него (да - с синхронизацией но если есть основания недоверять тому как e2e сделан у них - есть opensource selfhosted версия(точнее 2 - родная и реверс-имплементация сервера))
Если тот же Keepass который много где активно хвалят так НЕ умеет - я удивлюсь сильно
Объединять хранилище паролей и генератор TOTP в одном приложении - равносильно сведению двух факторов к одному.
Не совсем. Просто не надо хранить TOTP от Bitwarden в самом Bitwarden. Используйте для этого внешний/независимый TOTP. Ровно так же, с master паролем от Bitwarden. В таком случае утечка пароля от сайта не позволит зайти на него, ибо потребуется TOTP. Утечка пароля от Bitwarden не позволит утащить Bitwarden без второго фактора. И да, разблокировка (не регистрация) в Bitwarden должен осуществляться по биометрии. В таком случае, чтобы взломать что-то, где второй фактор в самом Bitwarden нужно ИЛИ:
1.) Устройство, где зарегистрирован Bitwarden + пароль от устройства + биометрия (ну или master пароль) для разблокировки Bitwarden.
2.) ИЛИ Master пароль от Bitwarden + TOTP от Bitwarden.
P.S. Понятно, что самые главные учетки (банки, почта, etc) все равно надежнее держать отдельно, но в 90% случаев — это обеспечивает ИМХО отличный баланс между безопасностью и удобством.
иконка расширения Bitwarden вынесена на панель браузера и коды - через него
Она ведь не сильно и нужна, расширения автоматом подпихивают в буфер totp код после автоввода логина-пароля (если totp прописан в этой же учётке). Это несколько убивает саму идею двухфакторности, но это очень удобно.
Есть ньюанс - с Bitwarden'ом вполне возможен вариант когда сервер - selfhosted и под контролем владельца аккаунта. Снимает часть рисков + можно поиграться по разному (например - кто сказал что этот selfhosted сервер вообще доступен для всего мира?).
Да, правильнее отдельно totp хранить но так удобнее.
Ну и бывает и хуже - пароли могут быть не в bitwarden'е а а в заметках в evernote/obsidian (когда то у меня так были :))
Так речь протбанковские приложения, где безопасность важна, там и нужен тотр, а вот если вы логинитесь на простом сайте, как юзер и там у вас нет денег и нет критичной к потере инфы, вопрос, зачем сбрасывать сессию?
Я тут недавно побывал в жилом доме, где, чтобы войти в квартиру, нужно поставить приложение на смартфон.
И каждый раз вводить капчу, чтобы роботы в лифтах отработаное масло не сливали.
Я же правильно понимаю что поддерживается и Aurora и старые iphone и андроиды как с lineageos (и разумеется тест-ключами подписи и рутом), и grapheneos (которая намного более защищенная чем сток но например гуглосервисы там в песочнице из-за чего бывают разные интересные глюки если приложения хотят странного а некоторый софт считает что не сток = хуже и что bootloader бывает либо доверяющий ключам производителя или разлоченный а yellow mode (с установленными пользователем ключами) не бывает)?
Прямо-таки - "в квартиру"? Или смартфон с приложением нужен, чтобы не доставая из кармана ключ-таблетку, зайти в парадную? (Ну или хотя бы - "в подъезд"? :)))
У нас в подъезде смартфоном можно открыть и дверь подъезда, и дверь с лифтовой площадки в квартирный тамбур. Обычный "пиковейник", не самый новый. Разумеется, NFC ключ тоже есть, один на обе эти двери.
А дверь в квартиру - личное дело каждого, хоть амбарный замок вешай, хоть биометрический.
Прямо-таки в квартиру. Двери в парадный подъезд и ещё некоторые общие области внутри дома открываются пластиковым ключом на NFC, а дверь в квартиру - смартфоном. Чё-то не додумался спросить, как быть, если ты, к примеру, старушка-турурушка, которой он и на*уй не нужен, смартфон ваш - извините, был напуган.
есть для хрома расширение
keepassxc умеет totp коды генерировать
Достаточно поставить расширение в браузере типа такого: https://chromewebstore.google.com/detail/аутентификатор/bhghoamapcdpbohphigoooaddinpkbai
это называется "двухфакторная аутентификация". Серьёзно повышает безопасность.
А смс ты в браузер получаешь?
Тот самый Google Authenticator который однажды поменял формат базы между версиями без обратной совместимости, лишив всех бэкапов? ;)
Я заменил его на Aegis.
Пользуюсь гугл аутентификатором чуть не с момента его появления - не испытывал никаких проблем с ним. "Бэкапы" должны храниться в отдельной папочке в распечатанном виде в виде резервных кодов/кодов восстановления. В худшем случае в виде зерна, которое используется для настройки.
Не дело это когда у каждой софтины собственные методы. Так настроил Titanium или Swift backup, и он с заданной периодичностью льёт бэкапы всего софта в заданное место. И очень неприятно обнаружить однажды, что бэкап неконсистентен. И хорошо если обнаружится более старая версия, снятая ещё до смены методики шифрования хранилища. Или те самые резервные qr-коды (как сохранились у меня). А некоторые люди остались без своих ключиков навсегда...
Изначально идея бэкапить базу аутентификатора - очень так себе.
Если она зашифрована, то никаких проблем. Тот же Aegis позволяет экспортировать базу в JSON с шифрованием пользовательским паролем. И умеет это делать автоматически. Такую зашифрованную базу можно смело хранить хоть в публичном облаке, удачи кому-либо сбрутить AES-256.
Во всяком случае, это надо делать вместе с той версией приложения, к которому эта база относится. Для кипасса у меня хранится и база, и совместимая версия самого кипасса (хотя у него, кажется, никогда не было проблем с совместимостью, но тем не менее), как раз потому, что что-то может сломаться, что-то может отвалиться, чебурнет придёт, и всякое такое прочее.
как в safari. аутентификатор в браузере
В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Стим имеет административные щупальца в системе, и может прощупать всё железо, надёжно привязав токен к его отпечатку, так что красть бессмысленно. Токен входа, выполненный через браузер, почти что и не живёт.
Gmail стабильный токен авторизации имеет, только если зайти в гугл аккаунт в хроме. Токен входа, выполненного как на обычный сайт, а не через функционал хрома, живёт не шибко долго. В случае с workspace аккаунтами живёт ещё меньше.
Gmail стабильный токен авторизации имеет, только если зайти в гугл аккаунт в хроме
У меня в FF и Brave нет никаких проблем
Сменится ip - тут же слетит. Во всяком случае, если существенно изменится, а не в той же небольшой подсети. С прецизионной точностью критерии не выяснял. Факт в том, что слетает такая сессия куда как чаще, чем сессия в хроме, как в приложении. Та вообще почти никогда не слетает.
Я в процессе работы с гмейлом в браузере переключаю сервис меняющий мои айпишники на другие страны, и ничего не слетает.
Ну либо гугл видит, что вы пытаетесь его надуть, либо он учитывает сессии более хитро. Если я надёжно меняю ip/геолокацию, а не браузерным прокси - сессия гмыла гарантированно слетает, по крайней мере после перезапуска браузера. И это надёжно воспроизводится с разными vpn сервисами/собственными шлюзами у разных хостеров, как с пулами облачных хостинг-провайдеров, так и с пулами ISP, и из разных изначальных физических локаций на разных машинах.
Фиг знает, но, реально, последнее что слетает это гугловская авторизация.
Последний раз это было когда закрыли эти эккаунты для доменов и разлогинили сразу из всех эккаунтов.
У меня тоже несколько аккаунтов в Gmail. Авторизация в корпоративной почта в Gmail слетает быстро, но это настраивается. Авторизация в личной почте Gmail живет долго.
Google распознает по паттернам. Если в YouTube стабильно ходить под IP, например, Германии, то несколько месяцев Google решит, что вы немец, начнет показывать немецкую рекламу и предложит премиум-подписку по цене Германии.
У меня IP меняются сотни раз в день. Ничего не слетает.
А у меня надёжно воспроизводимо слетает в разных условиях с разными аккаунтами. И чё делать будем? Как этот чёрный ящик работает - угадать сложно, но очевидно, что ваши сессии он может фиксировать по своим внутренним критериям, а мои нет. Но тут скорее вопрос к тому, как надёжно вы меняете ip/геолокацию, а не к чему-то ещё.
UPD Впрочем, подумав, тут ещё может быть дело в том, что я никогда не работаю с одним аккаунтом гмыла, у меня их всегда открыто несколько, и гуглу это может не нравиться.
У меня при смене IP в Firefox сессия гуглп не слетает и никогда не слетала. Т.е. классическое "такая же нога, но не болит", ни на одном предыдущем компьютере или провайдере такой проблемы нет.
Зато Apple-аккаунта сессия живёт день максимум, даже если поставить галку "запомнить меня" и "надёжный ПК")))
Это положительные примеры.
Вы рассуждаете с позиции пользователя. Но у этой медали две известные стороны.
Headhunter
Если почитать исходники сайта, окажется, что соискателей «Хедхантер» считает потенциальными ботами, а аккаунты работодателей — потенциальной мишенью. Короткие куки нужны ему не для вашей защиты, а для защиты от вас.
По содержанию и истории аккаунта и по паттернам поведения пользователя можно определить, бот или нет.
Аккаунты Steam, Google или Mail.ru могут быть более ценными, чем аккаунты HH. Однако они не сбрасываются так часто.
В вас снова говорит пользователь, физлицо. Представьте, что некто получил несанкционированный доступ к аккаунту какого-нибудь крупного работодателя. Навредить он сможет уже не Васе Пупкину, а организации. Например, отказать всем соискателям с формулировкой «К сожалению, вы пидор» и удалить все вакансии.
Так, а с гмейлом какая разница? Кто-то получит доступ к почте билла гатеса и от него напишет всем контактам, что линус лох - получится тоже так себе ситуация.
У меня в HH аккаунт работодателя. Но когда ходил с аккаунта соискателя, авторизация слетала так же часто.
Здесь приводили довод, что под аккаунтом соискателя может ходить бот. Это слабый аргумент. В аккаунте HH достаточно данных, чтобы отличить бота от обычного пользователя.
А я устал от повсеместно навязываемой 2FA, которая не нужна почти нигде, за исключением нескольких самых важных аккаунтов, и только создает лишние проблемы. Сложного пароля мне достаточно.
Хуже того, иногда её умудряются навязать задним числом! Примеры из жизни:
Яндекс через много лет потребовал ответы на контрольные вопросы, которые не сохранились. При регистрации, я это отлично помню, контрольные вопросы позиционировались исключительно как запасной выход на случай забытого пароля. Пароль не забыт, вот он, чего же тебе собака еще надо?! Лошадь_в_огурцах.жпг - аккаунт потерян со всеми вытекающими приключениями и перепривязкой почты в других сервисах.
Гугл тоже через годы потребовал подтверждения смс-кодом. Но код не приходит. То ли технический сбой, то ли санкции, но код теряется на просторах вселенной. Аккаунт потерян.
Снова Гугл, и он снова хочет смс-код. Нюанс в том, что к этому аккаунту никогда не было привязано никакого телефона. Что ты проверять собрался, болезный? При попытке ввести какой-то номер выдает ошибки, потом блочит. Вы уже догадались, что с аккаунтом.
Телега из экономии не любит слать смски, а любит слать коды через бот в своё же приложение. Угадайте, что будет, если ваш телефон вышел из строя? Код будет отослан в dev/null. Но это единственный случай из перечисленных, где выход все-таки есть.
Я хочу просто вводить пароли, без всей этой псевдозаботы о моей безопасности - в 90% случаев этого достаточно.
у меня как-то сгорело кресло из-за того, что на работе в основном рабочем сервисе ввели 2FA + время сессии в три часа.
очень хотелось убивать.
спасло только то, что я нашёл authenticator.cc
ИБД + тот сорт "безопасности", из-за которого мы имеем стикеры с паролями на мониторах в химически чистом виде.
ничего более идиотского в плане безопасности я не видел ни до, ни после.
2. Смски гугла не доходят на номера некоторых операторов (например, некоторых казахстанских операторов). Говорят, проблема временная и ее решают.
Оно ещё и часто не 2FA. Возможность получить SMS на номер — единственный необходимый фактор.
Попробуйте посмотреть и потыкать в кнопочки «забыл пароль», там довольно часто восстановление по SMS без лишних вопросов. А значит пароль как фактор авторизации не используется.
Телега из экономии не любит слать смски, а любит слать коды через бот в своё же приложение. Угадайте, что будет, если ваш телефон вышел из строя? Код будет отослан в dev/null. Но это единственный случай из перечисленных, где выход все-таки есть
А теперь представьте, что телерамм установленн у Вас только на ноуте, и этот ноут сломался. Как Вы думаете, какой выход при авторизации на другом устройстве?
Никакого. Мне пришлось нести старый ноут в ремонт, чтобы аторизовать телеграмм на другом ноуте
Выглядит очень странно. Недавно устанавливал телефон на новый телефон и что предлагал телеграм:
Посмотреть на другом устройстве
Позвонить
Отправить SMS
Или из-за какого-то сетевого глюка или происков организации на 3 буквы ничего не приходило, но прямо видно было, что не обязательно было наличие второго устройства, чтобы добавить новое.
Есть ощущение что 2FA в случае яндексов/гуглов нужна для более качественного мержа юзеров из разных систем единого мегаюзера, полезного для продажи маркетологам.
Тоже не приходят СМС от Гугла на один старый аккаунт. Звонки тоже ни приходят. Пароль от аккаунта знаю. Телефон в доступе. Как можно ещё авторизоваться?
Телефон в доступе. Как можно ещё авторизоваться?
При входе в учетку Гугла есть под надписью 'использовать другой способ' предложение послать запрос на авторизацию на смартфон, который к этой учетке Гугла привязан. А так же код на запасной email, использовать одноразовый код восстановления, использовать резервный(другой, тоже предварительно заполненный) номер телефона, авторизоваться аппартыным ключиком и сейчас - еще и passkey-ем.
Но вообще, гугл очень и постоянно надоедает с "добавь еще способов доступа/восстановления входа" (а их у него полно). Если этих советов не слушаешься - то жаловаться несколько странно.
В том то и дело, что это тот же телефон, на котором уже была авторизация, но был сделан аппаратный сброс. Резервная почта точно указана, Гугл не предлагает такой вариант для восстановления. Возможно проблема в том, что этот номер телефона указан в трёх других аккаунтах Гугла. Видимо, есть какой-то лимит. Есть еще старый планшет, но он не включается уже года три по причине умершего аккумулятора. Там должна остаться авторизация от этого аккаунта. Возможно, если его восстановить, то есть шанс.
Поддерживаю! В настройках безопасности яндекса указано использовать пароль для входе в аккаунт, но нет, он каждый раз спрашивает все что угодно кроме пароля: смс пароль, push пароль, котрольный вопрос, фазу луны в момент регистрации...Это все постоянная трата времени ожидания пароля, который еще не всегда приходит. Пробовал жаловаться в техподдержку, их ответ - ну не удаляйте куки.
По п.1: Я так почту на Яндексе потерял, пароль известен, но о том, что я писал в ответе на контрольный вопрос не имею ни малейшего представления.
Сбер сделал вход по пяти цифрам за секунды
Как бы это отключить теперь, чтобы он эту фигню не предлагал...
Ну вообще-то удобно. Но, кончено, надо лочить телефон и лочить само приложение автоматом. Даже с утерей телефона - два шага для попадания в банковское приложение, есть время заблочить/сменить с другого устройства.
Хуже, когда некоторые банки делают общий код для разных устройств, вот тут в голове не укладывается. Сбер, Альфа, ВТБ, Озон, ещё какие-то. У Тинькова независимые пины, это правильнее.
И это самый большой идиотизм, который можно было придумать для банка. Вообще сбер помойка редкостная.
Это не только Сбер, это теперь наверное все такие. Тбанк тоже надоел своими предложениями код придумать. Но это ладно. Обидно, что ты когда-то заморочился, хороший надёжный пароль придумал, обновляешь его периодически, всё вроде как по-уму делаешь. А потом внезапно узнаёшь, что войти в твой аккаунт можно просто, зная только номер карты (публичная, в общем-то, инфа) и короткому коду в смс-ке на твой номер. И все эти твои заморочки с надёжными паролями безопасностью — коту под хвост.
Так пароль обычно можно поменять путем звонка с этого телефона... Нет никакого пароля, ныне всё что нужно - телефон жертвы. Что с этим делать неясно. ЦБ не озабочен совершенно :(.
ВТБ кстати присылал сообщение, что вроде бы перестанет менять пароли не в офисе... Если и правда введут, то перееду туда, наверное. Хотя к самому банку вагон вопросов все они гораздо мельче, чем вопросы безопасности.
Так пароль обычно можно поменять путем звонка с этого телефона...
Вообще раньше требовали кодовое слово для любых чувствительных операций, либо паспортные данные. Уже не требуют?
Ну это тоже не очень метод - позвонят мошенники "мы из банка, с вашим аккаунтом что-то страшное, но нам нужно кодовое слово чтобы вам сказать что".
У меня с год назад была такая история с Тбанком. Пользователю внезапно нужно было зайти в личный кабинет, а пароля с собой не оказалось (или он был утерян, уже не помню точно). Позвонили в банк, сотрудник спросил кодовое слово. Пользователь его не помнил. Сотрудник спросил детали про последние покупки по карте. Пользователь тоже весьма смутно ответил. И доступ в кабинет дали. То есть, по факту, хватило только того, что пользователь позвонил с известного банку номера и что-то знал про того, кому номер принадлежит.
Я понимаю, почему такое происходит. Пользователи в какой-то мере сами виноваты: им удобно, они довольны, что проблема решилась просто. Но я бы всё-же предпочёл, чтобы банк давал возможность пользователям самим включить/отключить такие обходные пути. Чтобы те, кто хотят безопасности, могли бы активировать доступ исключительно при предъявлении пароля.
Паспортные данные ;)?
Они что, секретны :)))))?
ВТБ кстати присылал сообщение, что вроде бы перестанет менять пароли не в офисе...
В онлайн банке там была отдельная опция в настройках безопасности запрещающая смену пароля по звонку, только в офисе.
Зеленый банк хоть позволяет пока эту фигню не подключать, а пропускать.
А вот другой очень крупный и известный банк сделал недавно это принудительно и внезапно.
Пароль у меня был куда длинней и сложней (вхожу только с компа где вводить не проблема), чем эти максимум 6 цифр что есть там сейчас :(
Ещё эти капчи вообще безумие какое-то! Лучше бы уже нормальные биометрические системы внедрили
Вроде не секрет уже, что капча это не проверка робота, а сбор идентификационных данных
Фундаментальная проблема биометрии - в том, что её невозможно необратимо хешировать, и при утечках невозможно сменить. Любая организация, куда была передана ваша биометрия для проверки доступа, потенциально может пройти аналогичную проверку от вашего имени в другой организации.
Единственный масштабируемый вариант - защищать биометрией свой смартфон или компьютер, а на все сайты входить через коды, генерируемые на этом самом смартфоне или компьютере.
Ощутимая проблема при повсеместной авторизации через смартфон в том, что в один "прекрасный" момент смартфон может стать недоступен - жена недавно утопила телефон (включился, но тачскин перестал работать), так при установке на новом телефоне большинство приложений при установке (и вводе соответствующих паролей) просило ещё ввести код со старого телефона, на который они проходили, только посмотреть их возможности не было, т.к. экран телефона на нажатия не реагировал. :(
В итоге, конечно, решили, но это показало, что защита "так себе" - обойти-то удалось.
Фундаментальная проблема биометрии - в том, что её невозможно необратимо хешировать, и при утечках невозможно сменить.
Биометрия тоже может, гм, стать неиспользуемой. Ваш палец с любимым отпечатком тоже может потеряться, как и глаз с радужкой. И голос, в общем-то, тоже не такая постоянная вещь. FaceID, скорее всего, также затруднится распознать силуэт вашего лица в некоторых случаях, которые вы можете представить с небольшой долей фантазии. Возможно, ДНК останется постоянной, но как раз получить образец вашего ДНК будет несложно.
Там что-тио про бэкапы обычно говорят в таких случаях...
Возможно, ДНК останется постоянной, но как раз получить образец вашего ДНК будет несложно.
Потому что нет удобных и быстрых мобильных сканеров. Смысла нет ломать
А как появится - придется процедуры усложнять
– Томми… – старуха медленно повернула голову. – Мне нужен будет соскоб твоей слизистой… пункция из мышцы… пара капель крови…
Она заколебалась, но закончила:
– Семенная жидкость. Извини, мальчик. Я знаю методы фальсификации генотипа, и не хочу рисковать.
Юноша едва заметно покраснел. Но голос его казался ровным:
– Я понимаю, госпожа Каховски.
– Генный код Ван Кертиса должен быть в военных архивах… не проблема… – сама себе пробормотала старуха.
Не очень умная идея. Вы не можете поменять свои биометрические данные в случае утечки. А они обязательно утекут.
Приложение Ю-Мани на телефоне постоянно сбрасывает авторизацию, а там и код, и заново настроки спрашивают, и онбординг этот триклятый, а, как бы, платежное приложение часто открываешь в момент, когда надо заплатить, и иногда быстро. Тоже не понятно зачем - и так есть код на телефоне, отпечаток и пин в самом приложении, и т.д...
Насчёт LG не совсем ясно, в LG ли дело, или в конкретном телевизоре. Я завёл логин три года назад. Телевизор LG/WebOS. Ничего не сбрасывается ни на телевизоре, ни на ПК.
Подтверждаю. Лет пять уже пользую телевизор LG/WebOS - сбросов логина/пароля не припоминаю. Ну может быть один раз за всё время.
Возможно, дело в прошивке. У меня несколько телевизоров LG. На более новых прошивках чистый домашний экран загадили рекламой. Заодно могли и с авторизацией начудить.
рекламу можно отключить. у меня тоже лыжи (пароль кстати не просит уже много лет), после очередного обновления домашний экран первратился в тормозящее рекломное месиво, я сначала погоревал и уже искал методы как откатить прошивку, но потом полазил по настройкам и поотключал всё что мне не нужно, чистый экран вернулся.
С Ivideon смешно получилось, руководство наставило камер, подключили в телефоны, поигрались, а потом начали у меня пароль спрашивать, их выкидывало из аккаунта (по соображениям безопасности особо одаренного разработчика) довольно быстро, месяц что-ли. Пару раз повосстанвливали пароль через почту, потом вовсе забили. Ну и мы больше не оплачивали сервис, камеры где то валяются
Андроид через сколько-то разблокировок по отпечатку пальца спрашивает пароль - говорит, для дополнительной безопасности. В какой ситуации это должно обеспечить дополнительную безопасность? У меня отняли смартфон, отрубили пальцы и забрали с собой, но пароль выпытать не смогли, потому что я стойкий Мальчиш-Кибальчиш? Более реалистичных сценариев моё воображение сгенерировать не смогло. Разве что это помогает юзеру не забыть пароль (непонятно, правда, при чём тут "дополнительная безопасность"). Но я не забуду пароль, и, кроме того, он записан в парольный менеджер, база которого забэкаплена в разные места, можно мне не надо? Нет, никак нельзя, вводи, сцуко, пароль для дополнительной безопасности. Аудиофайл на бегу сменить - и так та ещё эквилибристика, а ты давай, сперва введи-ка пароль. Или как-то надумал стать продвинутым пользователем и платить уже в магазине смартфоном через гугльпэй - для оплаты его надо разблокировать, что само по себе, наверное, правильно, но, попав пару раз на пароль, понял, что ну его, такое счастье (тем более, пароль-то длинный, хороший, ввести его одним пальцем по тачскрину с первого раза удаётся не только лишь всегда). Так и не стал гугль следить ещё и за моими покупками - и поделом ему!
Это напоминалка, чтобы вы пароль помнили. Знали бы вы, сколько народу ко мне телефоны притаскивает со словами "забыл пароль", разблокировал пальцем, а оно раз - и пароль хочет.
Я не забуду пароль. Даже если я вдруг забуду пароль, я открою парольный менеджер на том же смартфоне и найду там этот пароль. Ладно, по умолчанию там с народом вы что хотите делайте - можно специальную отдельную галку "не спрашивать пароль" для таких, как я, аристократов духа?
Да и потом, если человек забыл пароль к телефону, это значит, что этот пароль ему был не нужен, нигде не используется, для всего палец работает. Зачем ему помнить пароль - просто чтобы помнить пароль?
Это вы не забудете. А люди забывают. Используют везде палец, а потом не могут программу поставить или на новый телефон данные перевести.
И то, что я зачем-то тоже вынужден страдать этой хернёй, им как-то помогает, или что?
Мир строится под идиотов.
В том числе потому, что с Вам можно говорить, а они будут тупо истерить.
Но ведь палец как раз весьма идиотоустойчив: в отличие от пароля, его легко заиметь, трудно потерять и невозможно забыть.
И достаточно всего одной неудачной трещины на экране, чтобы этот сканер отпечатков перестал работать.
"Эти печальные пессимисты без конца нас спрашивают: "А если, если, если, если?" (не помню, из Ленина что-то) Достаточно всего одного неудачного удара молотком (а вдруг пользователь - кузнец?), чтобы экранная клавиатура тоже перестала работать, поэтому за каждой разблокировкой лучше ходить в госучреждение и писать запрос от руки на гербовой бумаге в трёх экземплярах. Но подождите! Достаточно одного неудачного падения в тигель (а вдруг пользователь - сталевар?), чтобы в смартфоне отказало буквально всё, поэтому... что?
Но очень легко на время вывести из читабельного состояния
Палец то потерять не так уж сложно. Достаточно даже кожу повредить (или сильно намочить). В перчатках, кстати, он тоже бесполезен. Ну и заиметь ваш палец кто-нибудь другой тоже может.
да собственно и он истерит
Ну да, не забудете. Люди, которых "Лиза алерт" находит и которые память потеряли - это приколисты, которые от скуки фигнёй страдают.
"Смерть - это то, что бывает с другими".
" Я не забуду пароль " - Вы так в себе уверены? Ну хорошо, нам больше работы по восстановлению.
Если одновременно произойдут все следующие события:
я таки забуду пароль
мой дом сгорит до основанья, уничтожив в пламени все накопители с базой данных парольного менеджера
метеориты, ядерная война, атака инопланетян (нужное подчеркнуть, недостающее вписать) уничтожат все датацентры облачного сервиса, на котором лежит бэкап базы парольного менеджера
То будет, наверное, немного обидно потратить очередные 300 баксов на новый смартфон (factory reset ведь не сделать без пароля?) на год-другой раньше, чем это станет реально необходимо в силу запланированного устаревания, жуткого торможения, отказа батарейки и вот этого всего. И только. Хранить там - и только там - данные, которые потребовали бы кому-то поручать работу по восстановлению, я как-то не привык.
Какой же вы молодец, не передать словами.
То, что аппаратура и сервисы делаются не только для вас, а ещё и для других людей - это сложная мысль?
Если так принципиально важно - ну, поставьте кастомной прошивку с тонкими настройками всего, чего угодно. Андроид это позволяет, чай не эпол. Чем щитпостить в комменты, за это время можно было успеть прочитать целиком 3 темы на 4pda и 2 на xda-developers, скачать 5 прошивок от васянов, и 4 поставить. Тыж программист.
Детские проблемы какие-то.
То, что аппаратура и сервисы делаются не только для вас, а ещё и для других людей - это сложная мысль?
В смысле, и что? Ну, дайте вы другим людям возможность, в том числе добровольно-принудительную, разблокировать смартфон как им угодно - хоть через раз паролем, хоть каждый раз паролем, хоть тремя паролями, хоть "отче нашим", хоть голубиной почтой. Не надо всем вообще принудительно, неотключаемо эту лажу тулить - это сложная мысль?
Мы про локскрин на стартовом экране?
Если да, то она отключаемая, ищите галочку. Попробуйте в настройках андроида написать слово "пароль", например.
Но даже если в вашей прошивке неотключаемая - смените прошивку.
Это маленькая смешная детская проблемка, проще, чем обойти родительский контроль на андроиде. А с родительским контролем на андроиде дети прекрасно справляются.
В общем, не позорьтесь, пожалуйста. Постарайтесь уж как-нибудь освоить настройку телефона через графический интерфейс. Ну или обратитесь к специалисту, если сами не в состоянии.
Нет, она неотключаемая, я искал. Самый что ни на есть стоковый и референсный андроид. А уж менять ли мне прошивку - это я как-нибудь без вас разберусь, спасибо.
Странно, в моем совершенно банальном андройде пункт для отключения блокировки есть...
Может вам надо было убедится перед покупкой?
Нет, я не хочу просто взять и отключить всю блокировку - я хочу, чтобы она была, но всегда работала по пальцу и никогда не спрашивала пароль. Отключить совсем - да, можно. Сделать, чтоб не спрашивало пароль - я не нашёл. Если знаете - ну, подскажите, поимейте снисхождение к скорбному разумом. Я пытался гуглить год-другой тому назад - попадалось всякое, но только не то, что нужно: как отключить блокировку, как убрать автоблокировку по таймауту, как вместо пароля сделать пин или что там ещё. Затратив какие-то совершенно неадекватные усилия, я таки нашёл обсуждение этого вопроса, и ответом было "никак, вводи пароль время от времени для дополнительной безопасности, раб". Допустим - я не понимаю, как, но, возможно, я патологически тупой, допустим - что это действительно даёт какую-то существенную дополнительную безопасность. Но почему оно позволяет мне вот просто похерить всю эту безопасность вообще, отключив блокировку как таковую, но не позволяет сбавить градус безопасности на пол-шишечки, отключив периодический запрос пароля? Не убрав даже пароль из системы вовсе - пусть, там, спрашивает после перезагрузки, перед установкой и т. п. - а только для лок скрина?
На 4PDA в профильную тему по своему телефону писали?
Если ещё нет - напишите.
но не позволяет сбавить градус безопасности на пол-шишечки, отключив периодический запрос пароля? Не убрав даже пароль из системы вовсе - пусть, там, спрашивает после перезагрузки, перед установкой и т. п. - а только для лок скрина?
Потому что печальный опыт показывает компании-производителю, что если спрашивать пароль только при загрузке, то люди этот пароль забывают. А разные способы восстановления доступа - не делают. И в результате получают 'окирпиченное' устройство. Собственно они и так забывают, но меньше.
<надевая шляпу ясновидящего>
Правильно ли я понимаю что проблема/сценарий тут в том - что пароль - сложный и набирать его долго и муторно? Или вообще настолько сложный, что его именно не помнишь, и он где-то записан.
Правильно ли я понимаю что проблема/сценарий тут в том - что пароль - сложный и набирать его долго и муторно? Или вообще настолько сложный, что его именно не помнишь, и он где-то записан.
Пароль как пароль, умеренно сложный, умеренно длинный, я его помню. Даже и набирать-то не то чтобы особо долго и муторно.
Просто, ну вот представьте ситуацию, иду я по улице куда-то, тороплюсь. С неба дождь, в руке зонт. Слушаю какое-нибудь аудио, и вдруг что-то не расслышал, надо отмотать секунд на десять и переслушать. Достал на ходу, приложил палец, сделал двойной тап по левой стороне, нажал кнопку питания, положил обратно - ОК. Или: достал, приложил палец, а оно, такое: "Пароль!" Останавливаешься, несколько секунд пытаешься зажать зонт где-то между подбородком и ключицей, берёшь телефон одной рукой, вводишь пароль другой рукой. Пока ты это всё, ещё и двойной тап теперь надо делать уже раз десять, и вот стоишь, полбока мокрые, потому что трудно ровно держать зонт между подбородком и ключицей, и долбишь пальцем по экрану, как умственно отсталый дятел.
А то ещё когда-то я на велосипеде ездил, закрепляя смартфон на руле и используя в качестве навигатора. Как правило, экран обычно выключен, а то ж никогда не угадаешь, когда и в какой незнакомой местности эта сволочь внезапно батарейку докушает. Обычно в два касания можно включить экран, сориентироваться, где я, где следующий поворот, снова выключить. Если едешь медленно и дорожная обстановка спокойная, то прямо на ходу, если нет - притормозив на секунду у обочины. А тут оно такое: "Пароль!" - и сразу возникает целое дело.
Ну и потом, я уже сколько лет печатаю слепым десятипальцевым. Последние года четыре - на программируемой сплит-клавиатуры. Это я не для вящей распальцовки и колочения понтов, а для полноты картины. Мной вообще процесс набора текста одним пальцем по экранчику без тактильной обратной связи ощущается как боль. А когда меня держат за дебила, заставляя заниматься этим там, где по-уму-то не надо, к этой боли добавляется унижение.
Для данных сценариев: 'выключателем' подобного поведения является, как я понимаю, собственно, сам ввод пароля. После этого оно n-ное количество часов (гуглеж показывает - 72 часа) не беспокоит.
Т.е. надо осознанно (утром, скажем) логинится через пароль, показывая, что ты его все еще помнишь.
Ну да, костыль, но 'так и задумано', чтобы народ с воплями 'все пропало, что мне теперь делать?' к Гуглу поменьше бегал.
Я ж уже объяснил, что это технически невозможно. База отпечатков хранится в пользовательском профиле (да, в ведроиде мультиюзер). Профиль зашифрован. Расшифровать его, соответственно, можно только тем, что находится за пределами зашифрованного хранилища. И это не палец. Пароль к ключу шифрования идеально подходит. Он же подходит и для разблокировки вместо пальца, ведь успешное открытие ключа шифрования доказывает владение учетной записью. Поскольку это единственный способ открыть учетную запись при перезагрузке (и в некоторых сценариях после, ЕМНИП, при управлении базой отпечатков), телефон требует периодически подтверждать владение паролем, чтобы не забыть.
AOSP открыт, пили свою прошивку, только, боюсь, это сведется к тому, что профиль не будет шифроваться, и, следовательно, телефон перестанет проходить проверки SafetyNet (и подобных), на что моментально отреагируют примерно половина твоих приложений, в первую очередь, платежные и банковские.
Что ж вы где ж вы объяснили, я вас, извините, первый раз вижу, и вы втираете какую-то дичь: технически невозможно не подтверждать владение паролем, чтобы не забыть. Я не против ввести пароль один раз при включении, перезагрузке, для изменения каких-то критичных настроек, и т. п. Но вот это вот "периодическое подтверждение" - это как очень бояться СПИДа, и поэтому, ведя беспорядочную половую жизнь, надевать гандон черед девять раз на десятый. Нуачо, дополнительная безопасность.
Ну, дайте вы другим людям возможность, в том числе добровольно-принудительную, разблокировать смартфон как им угодно - хоть через раз паролем, хоть каждый раз паролем, хоть тремя паролями, хоть "отче нашим", хоть голубиной почтой.
Подобные индивидуальные гибкие настройки усложняют разработку, повышает вероятность багов и уязвимостей. Вы готовы за это доплачивать?
И подобные средства безопасности делаются не только для безопасности вас и ваших данных, но так же и для безопасности других людей от "ваших" (с вашего взломанного устройства) действий.
Телефон при включении может быть разблокирован только паролем, отпечаток на этом этапе недоступен. Если ты забыл пароль, то ты не сможешь зайти в приложение на этом же телефоне, чтобы его вспомнить. То есть, имеешь ситуацию pkunzip.zip.
В какой ситуации это должно обеспечить дополнительную безопасность? У меня отняли смартфон, отрубили пальцы и забрали с собой, но пароль выпытать не смогли, потому что я стойкий Мальчиш-Кибальчиш?
Ваши отпечатки можно снять с вашего же смартфона, и воспроизвести, так то.
Есть ссылки на прецеденты?
Тогда отпечаток пальца должен быть вообще "ни о чём", и пароль нужно спрашивать каждый раз. А то, получается, смартфон украли, отпечаток сняли-воспроизвели, один раз с его помощью успешно разблокировали, второй раз разблокировали, и т. д., и т. д., десятый раз разблокировали, на одиннадцатый оно у них пароль спросило?
Есть ссылки на прецеденты?
Нет, и не будет. Если такие прецеденты и есть - они не публичны. И это не означает, что такая ситуация невозможно.
Тогда отпечаток пальца должен быть вообще "ни о чём"
А так и есть. Это слабая защита, как и любая "биометрия".
А то, получается, смартфон украли, отпечаток сняли-воспроизвели, один раз с его помощью успешно разблокировали, второй раз разблокировали, и т. д., и т. д., десятый раз разблокировали, на одиннадцатый оно у них пароль спросило?
Отпечаток далеко не всегда можно снять идеально, его, разумеется, придётся немного побрутить. Поэтому смартфон требует пароль/пин после того, как не смог распознать отпечаток несколько раз подряд.
Нет, и не будет. Если такие прецеденты и есть - они не публичны. И это не означает, что такая ситуация невозможно.
Если бы это был реалистичный сценарий - давно бы какие-нибудь "белые хакеры" всё это проделали и результат опубликовали. То и дело читаешь: опубликовали уязвимость такую, опубликовали уязвимость сякую, по клацанью клавиш пароль стырили из соседней комнаты, по вибрации оконного стекла записали переговоры с расстояния 7 кабельтовых. Опубликовали, а не обнаружили чисто для себя и сидят, тихонько подворовывают. А тут вдруг настолько очевидный сценарий - и "нет, не будет, не публичны". Ага, ага.
То и дело читаешь: опубликовали уязвимость такую, опубликовали уязвимость сякую, по клацанью клавиш пароль стырили из соседней комнаты, по вибрации оконного стекла записали переговоры с расстояния 7 кабельтовых.
Я думаю, это способы рабочие но только в неких идеальных условиях, и применить их на практике малореально. Поэтому их и публикуют.
давно бы какие-нибудь "белые хакеры" всё это проделали и результат опубликовали
Давно проделали, и давно опубликовали
https://www.kaspersky.ru/blog/sas2020-fingerprint-cloning/28101/
(...)простому пользователю опасаться нечего: уличные воришки на коленке фальшивый отпечаток не сделают.
Другое дело, если вами могут интересоваться хорошо финансируемые преступные группировки или спецслужбы. В этом случае лучше всего защищать устройства старым добрым паролем
Собственно, что и требовалось доказать. А если вами заинтересуются хорошо финансируемые преступные спецслужбы, то криптоанилитический паяльник им не то что включать - вставлять не придётся.
Между "терморектальным криптоанализатором" и уличным воришкой есть довольно большой промежуток в виде обычного мента, который пальчик ваш к экрану приложит, вашего разрешения не спросив, а пароль выбивать сильно поостережётся. Не знаю на сколько такая "серая зона" актуальна за бугром, но в нашей скрепной очень даже актуальна. Хотя в соседней великокрахмальной уже нет.
Да и вообще говоря, а вы так уверены, что прям везде ультразвуковые датчики отпечатков стоят? Это их обмануть трудно. А оптические с емкостными нет. Чё у нас там по андроидам до 100 баксов то?
Если в вашем ареале обитают подобные менты, а у вас есть что от них прятать, то тут, вероятно, следует уповать на что-то более серьёзное, нежели блокировка смартфона, какими бы средствами она ни производилась.
По вашей ссылке, вроде, пишут, что, наоборот, ультразвуковые обмануть легче остальных?
Но речь-то, вообще, изначально была не об этом. А о том, что, может, мне самому-то виднее, что у меня там на этом смартфоне: деньги, пароли-явки-шифровки, дата и время народного восстания или, максимум, стыдная ссылка на недетский порносайт, и скольки степеней защиты, соответственно, всё это заслуживает?
По вашей ссылке, вроде, пишут, что, наоборот, ультразвуковые обмануть легче остальных?
Да, действительно. По-диагонали пробежал. Но тут нюанс есть - они трёхмерные слепки печатали. В 2013-м обошлись куда более простым методом, который против ультразвукового, вероятно, не поможет.
А о том, что, может, мне самому-то виднее, что у меня там на этом смартфоне
Нет, с этим согласен. Но это общая проблема - чем крупнее it-компания, тем меньше она любит делать широкий набор опций. Ей проще всех под одну гребёнку загрести. И это работает, потому что большинству и не надо что-то специальное.
Да ладно. Сотни всяких опций везде, возможно, даже тысячи, и куда более задроченных - но вот когда дело доходит до одной простой галки "не спрашивайте у меня пароль, я ССЗБ" - сразу становится проще всех под одну гребёнку? При том что это не что-то изысканное, исключительно для эстетов-педерастов, а задалбывает прям самые что ни на есть ширнармассы.
Сотни всяких опций везде, возможно, даже тысячи
Только почему-то нужных среди них регулярно не оказывается.
При том что это не что-то изысканное, исключительно для эстетов-педерастов, а задалбывает прям самые что ни на есть ширнармассы.
Вот я буквально вчера я столкнулся с ситуацией у пользователя, когда у него на домашнем пк в винде привязан мелкософтовский аккаунт, но стоит автологин в систему. А возникла необходимость посмотреть сохранённый в яндекс браузере пароль. А без пароля от учётки майкрософт не даёт. пользователь её, разумеется, не помнит, и найти не может. И восстановить невозможно, ибо к учётке только телефон привязан, а мелкософт смски не шлёт в рф. Спасибо хоть, что битлокер не включён, а то могло бы стать совсем грустно в некоторой ситуации. И что характерно - время от времени кому-то становится грустно, потому что на ноутбуках таки битлокер бывает по-дефолту включён.
Короче говоря, наличие такой опции закончится тем, что её будут включать все поголовно, и 10 подтверждений со страшным предупреждением на весь экран не помогут. И потом будет куча проблем у кучи народу.
Ширнармассы, к сожалению, иногда просто необходимо задалбывать.
Ну а для гиков кастомные прошивки есть таки ж.
Как раз наоборот, обычный мент таким заниматься не будет, ибо не за чем, да и не платят за это, а необычному менту не нужно - у него и так все данные уже есть.
Эта прослойка на самом деле - следователь. Но тут очень простая рекомендация - к следователю по любому вопросу ходим только с адвокатом и никак иначе. Переквалификаций из свидетеля в обвиняемого по результатам снятия показаний видел массу.
Ну и полноте, такие подходы актуальны разве что за МКАДом, но там и так люди одеты в отличнейшие меха, так что справятся как-нибудь сами.
https://www.youtube.com/watch?v=MAfAVGES-Yc не благодарите.
double
Поэтому смартфон требует пароль/пин после того, как не смог распознать отпечаток несколько раз подряд.
Если бы он требовал пароль только после того, как не смог распознать отпечаток, я бы понял. Но он его требует просто так время от времени. Если со злоумышленниками не случилось фатальное невезение, что они воруют смартфон, а он, как назло, для следующей разблокировки уже сам надумал пароль просить, то они (допустим) без проблем разблокируют его поддельным отпечатком пальца и реализуют все свои злоумышления. Рассчитывать на то, что им так не повезёт (а юзеру, соответственно, повезёт) и называть это "дополнительной безопасностью" - это, я не знаю, тяжёлые органические поражения центральной нервной системы надо иметь.
Есть ссылки на прецеденты?
Прецеденты не видел, а исследований с подробными инструкциями полный ютюб. Вот например
В как минимум некоторых юрисдикциях и ситуациях - есть и юридическая и практическая разница между приложенным пальцем (возможно - силой) и вводом хотя бы пинкода а тем более пароля.
(Пароль выбит той же силой, но "это другое")
Решается это паролем, который не раскрывает данные, а уничтожает их. Но такая опция есть только на специализированных девайсах, к сожалению.
В как минимум некоторых странах - буква закона имеет значение хоть (и нарушение процедуры тоже имеет значение - доказательства могут стать).
В других - имеет хотя бы значение тот ньюанс что даже если заставили выдать пароль - ты знаешь что он тобой выдан (и скомпроментирован) (ну и можно в некоторых случаях поиграться с duress-паролями (хотя единственная известное более менее массовое использование на мобилках - партизанский телеграм у которого есть два пасскода и при вводе неправильного - доступ...будет выдан, к белопушистому списку каналов, а заодно - сделано еще много что интересного, на десктопах - TrueCrypt/VeraCrypt)). А пальчик могут прижать и если человек не в состоянии этого понять.
.По идее должна быть такая логика, например при использовании jwt: твой access token действует 15 минут а refresh token 1 неделю. Если первый истек то второй обновляет оба. И если ты заходишь хотя бы раз в неделю то твоя сессия будет бесконечной. Тут все зависит от того какое время у второго. Если на год, то чтобы не потерять сессию, нужно зайти раз в год. Чем меньше жизнь у второго, тем безопаснее, т.к. токен можно скомпрометировать или случайно не выйти из сессии с чужого пк. В таком случае можно генерировать первый токен пока жив второй. Если даже это не банковское приложение то ничего хорошего в утечке персональных данных тоже нет. Но я все же согласен с автором, удобнее было бы поставить время жизни сессии максимально долго, но для этого на сервисе должны быть механизмы отзыва токенов при подозрительной активности
Ну и логин пароль я уже считаю устаревшим. Гораздо удобнее через СМС например или oauth авторизацию через популярные соцсети. Стоило бы предусмотреть разные варианты чтобы не раздражать пользователей паролем
Через смс может и удобнее, но великие экономы на спичках из днс, например, упорно не хотят смс слать сразу, а звонят, что ДАЛЕКО не всегда удобно и приемлемо. В гробу я видал такой беспарольный вход.
Доверять авторизацию операторам через СМС чтобы по сути оператор имел доступ к аккаунту, а в случае чего и третье лицо имело доступ? Нет, спасибо, есть множество менеджеров паролей, тот же локальный KeePass за который в ответе только ты сам. Да хоть блокнот и ручка.
И заставить пользователя уже в этих соцсетях регистрироваться, сливать им данные а потом если соцсеть захотела странного (или закон какой очередной приняли) - экстренно думать как сделать нормальную авторизацию?
СМС денег стоит и не на все номера всегда работает (с учетом борцов за все хорошее против всего плохого в разнообразных формах и глюков - как пример - 3ds secure код при оплате Белкарт(заявлено было что они должны как МИР работать) на российском сайте до российского номера не долетает (обычные СМС от банка который ее выдал - долетают) а исчезают в пустоте ).
Проблему со стоимостью смс некоторые ресурсы вообще решают...интересно - "мы вам выслали код на смс", реально кода на телефоне с этой симкой нет, повторной отправки либо нет либо не спасает, это может быть - пуш в приложение этого сервиса на всех устройствах/на случайно выбранном устройстве, сообщение от бота в ВКонтакте на аккаунт привязанный к этому номеру если он хотя бы когда то был(при этом у бота в описании почему это ни в коем случае не разглашение персональных данных и вообще просто сервис отправки такой, ладно - допустим верим) или вообще в привязанный аккаунт Viber/Whatsapp/Telegram, на привязанный e-mail (код разумеется имеет ограниченный срок действия, ведь e-mail от неизвестного сервера всегда доставляется мгновенно - graylisting'а и спам-фильтров не бывает).
А еще есть прикол когда вместо смс - последние 4-6 цифр номера с которого звонок (или совсем жлобский вариант - "позвоните с вашего привязанного номера телефона"/"вашего телефона для входа им" на номер X в течении Y минут)
"позвоните с вашего привязанного номера телефона"/"вашего телефона для входа им" на номер X в течении Y минут
Такого не видел, но если увижу - этот сервис будет исключён из списка моих интересов пожизненно. Охреневшие.
Гигтест.ру - Пару дней назад восстанавливал пароль для доступа. ЛК жены.
Может оказаться что это внезапно добавят вместо нормального. Ну или что это будет сервис который вам нужен.
И да - пример описания как это круто https://habr.com/ru/companies/newtel/articles/761276/
https://habr.com/ru/companies/newtel/articles/796485/ пример где это использовали
Двухфакторная авторизация через SMS предполагает, что при входе в систему на телефон будет отправлено сообщение с кодом для передачи сервису и дальнейшего подтверждения личности. Для многих компаний это стало обычным делом, к которому привыкли и клиенты.
Аудитория UDS за 10 лет активно выросла. Рост был характерен и для цены SMS-сообщения. Если представить, что сервисом пользуются более 30 миллионов человек, каждого из которых нужно авторизовать сообщением стоимостью 2 рубля, то общая сумма затрат окажется более чем внушительной.
Нужны были альтернативные решения, которые нашлись у New-Tel. В частности, следующей ступенью авторизационной эволюции стал метод Call Password — авторизация по звонку.
В этой реализации уникальный на момент времени код отправляется пользователю как 4 цифры номера из входящего звонка. Отвечать на звонок и слушать код не нужно, что в целом упрощает процесс, однако все оказалось не так просто.
UDS столкнулась с неожиданным неприятием метода: многие пользователи в отсутствие SMS не понимали, что делать, не воспринимали звонки. Часть даже обращалась в техподдержку с запросом о «потерянных» сообщениях. Медиация заняла несколько лет, за это время большая часть аудитории привыкла к новому методу.
Но проблемы на этом не закончились. В 2023 году платформа столкнулась с блокировкой номеров, с которых шли авторизационные звонки. Сотовые операторы начали внедрять спам-фильтры, негативно сказавшиеся на работе процесса.
Необходим был альтернативный, надежный способ авторизации — особенно в условиях увеличения пользователей до 35 миллионов человек.
Call Password ID — сегодняшняя альтернатива всем методам двухфакторной авторизации
Решение нашлось у той же компании New-Tel, с которой у UDS уже было налажено партнерское сотрудничество. Специалисты развили идею и развернули метод Call Password в обратную сторону от клиента к сервису — так родился Call Password ID.В основе метода лежит генерация и выдача пользователю уникального номера телефона, на который он сам осуществит бесплатный звонок в момент авторизации. Система считает входящий номер и сопоставит его с данными из базы клиентов — в случае успеха произойдет вход.
Теперь компания избавлена от необходимости исходящего звонка или сообщения, которые стоят приличных денег: за каждый контакт она выплачивает на 70 % меньше. Второе важное преимущество — оплата идет только за успешную связь клиента с сервисом. SMS может затеряться или быть проигнорировано, звонок — пропущен или заблокирован. Но если клиент сам звонит для авторизации, он уже не будет потерян.
И да - пользователи хабра оценили эту прогрессивную идею.
Даже не заикайся про популярные соц сети. Есть люди, которые не сидят в популярных соц сетях. И есть сайты, которые привязали вход к популярным соц сетям. И это вот "через смс удобнее " - так и выдача кредитов мошенникам по смскам стала гораздо удобнее, вместо старого доброго похода в банк.
На самом деле ситуация когда кредит выдается удаленно может быть удобной но...нужна нормальная авторизация а ущерб от НЕнормальной - не должен быть проблемой клиента.
И нужно учитывать как сценарии когда банк типовые сценарии мошенников рекламирует (или они взяли?) - пример - у альфа-банка была услуга в которой прямо так и называлось что безопасный счет (что-то околоипотечное насколько помню, позднее сменили чуть формулировки). И ситуации когда пользователь БУДЕТ и пароли и коды доступа вводить не в банковское приложение и внезапно оно не будет мошенническим при этом сам факт что в некоторых случаях имеет смысл нарушать рекомендации - это проблема (пример - ДзенМани, ранее - BudgetBackers, для тех банков у которых есть хоть какой API - они используют API, для остального - парсинг. Потому что (с точки зрения тех кто этим софтом пользуется) как то учет делать надо же ). И получается дыра в безопасности.
В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Стим постоянно пароли переспрашивает, раз в неделю точно. Gmail тоже примерно раз в неделю требует ему "подтвердить личность".
А вот от чего я точно устал - это от двухфакторной авторизации и отказа некоторых сайтов от паролей вообще, замена их на смс. Я понимаю её в банке или на госуслугах, допустим. Но нафиг она мне на каком-нибудь али, спортмастере или в пятёрочке? Возможность пусть будет, я не против. Но каждый раз идти за телефоном, когда нужно вдруг на какой-то сайт зайти?
Но нафиг [смс] мне на каком-нибудь али, спортмастере или в пятёрочке?
А оно не вам, оно им.
В России номер телефона уже почти как номер паспорта, по нему особенно удобно собирать ПД и продавать её рекламщикам.
Плюс удобный, неотключаемый канал доставки рекламы.
Я работал в одном ритейле. И мы тоже сначала сделали чистый логин-пароль.
И нас начали очень жёстко брутфорсить. Чего ради - хз, там на аккаунтах 95% пользователей какие-то десятки рублей были, и те в виде непередаваемых баллов лояльности. Но ломились так интенсивно, что брутфорс превращался в ДДоС.
Пробовали и на сетевом уровне бороться, и протоколы авторизации обфусцировать (вскрыли за сутки)... Единственное, что обрубило всю эту хрень, причём очень резко - добавление второго фактора в виде SMS.
А ещё через несколько месяцев мы и пароли убрали, т.к. одного фактора в целом хватало для баллов лояльности.
Стим постоянно пароли переспрашивает, раз в неделю точно
Я с таким не сталкивался. Сессия у меня живет полгода точно (пока не переустановлю винду, чтобы вручную не удалять весь накопившийся мусор)
У меня стим не переспрашивает пароль годами в приложении, вот буквально, даже если я неделями его не запускаю. А вот в браузере - да, если не заходить неделю - разлогинвает.
В ту же степь требования (не рекомендации) разных говносайтов к сложности пароля. Тебя заставляют выдумывать мегапароль из 100 000+ символов с буквами английского, русского, тайского алфавита, в разных регистрах, с цифрами, спецсимволами и псевдографикой. Притом, что самое страшное, что может сделать злоумышленник, если ему удастся завладеть твоим аккаунтом (на вопрос "зачем" - ответить сложно), это обложить матом посетителей местного форума.
Ну почему: он может от вашего имени оскорбить верующих, написать что-нибудь "дескредитирующее армию" и как итог - как минимум административку получите уже вы.
Ещё он может начать писать спам на форуме или рассылать его в ЛС.
Я как-то регался на говнофоруме (даже не помню названия), там были очень сложные требования - буквы, цифры, разные регистр, спецсимволы, большая длина пароля.
А потом они его присали на почту в открытом виде.
Директед бай роберт какой-то там...
А представьте теперь, что прям тут на хабре у половины пароль 111111. Последствия этого вам подсказать ? Как минимум:
Засрут всю ленту рекламой порева
Засрут вам всю личку
Сольют всю карму тому кому захотят
Итд итп.
Я админю маленький форум. В какой-то момент начались проблемы с базой. Переполнилась база юзеров, логи итп. Были зарегистрированы сотни тысяч аккаунтов, под миллион штук. За какие-то полгода.
Давление со стороны спамеров колоссальное...
Были зарегистрированы сотни тысяч аккаунтов, под миллион штук. За какие-то полгода.
Это же ортогонально? Никто не мешает спаммерам, регистрирующим учетки, использовать для них те самые сложные пароли. Их скриптам как бы не сложно случайный 32-х символьный сгенерировать и использовать.
Проблема в том, что никто им не мешает проверять уже имеющиеся аккаунты на популярные пароли и даже перебирать их.
В прошлом, когда не было популярно закрывать редактирование записей через таймаут я знаю несколько случаев подобного взлома после которого все сообщения пользователя редактировались во всякое непотребство.
Причем пользователь может быть уже и мертв давно, но для социума это всё равно большая проблема...
С ключом достаточно везде входить.
Но нужна везде поддержка алгоритмов и считывателей. А с этим есть сложности.
Все сложности с паролями - они существуют не для пользователей, они для сайтов и сервисов, чтобы избежать потенциальных юридических рисков. Решение есть - сторонняя авторизация через какие-нибудь госуслуги, через лицо на вебке / телефоне. Но я бы не сказал, что это хорошо. Мне не нравится такое будущее.
В комментах перепись рукожопов. Это, конечно, печально.
такие экзотические, как NFT с биометрией.
Этот сайт майнит крипту? Когда я его открываю, мой RTX 3090 показывает 50% нагрузки.
Как же у меня «пригорает», когда чертов драйвер нвидиа требует авторизацию. Причем авторизация через свое приложение, а значит нельзя воспользоваться сохраненной в хроме учеткой гугл авторизации — сиди и вспоминай и логин, и пароль.
Что дальше — чайник перед кипячением будет просить залогиниться?
Что дальше — чайник перед кипячением будет просить залогиниться?
Так это уже есть :) Во всю бытовую технику встраивают возможность ходить в интернет, даже когда это даром не нужно.
Это не драйвер, это улучшайзер и приблуды, которые не обязательно ставить. Но да, требовать там логин - дикая наглость.
Как бы и "не драйвер", однако обновление видеодрайвера именно там, а также ряд ключевых настроек, которые недоступны без приблуды. А еще "там" какой-то бесконечный аэродром багов, например после очередного обновления стало периодически отваливаться что-то связанное с ускорением (проявляется в дико лагающем видео в играх): причем перезагрузка компьютера не помогает, зато простой запуск этой "Nvidia app" - помогает.
однако обновление видеодрайвера именно там
Ну нет, обновление драйвера есть и на сайте нвидии. И обновлять его не надо очень часто. Конечно, если вам так лень зайти на сайт и скачать инсталятор и вы ради этого удобства готовы терпеть это поделие с его багами - то сами себе злобный буратино.
Я все же считаю, что его ставить вообще не надо.
Проблема с симкой и номером в том числе в том, что так-то оператор может взять да и продать твой номер другому человеку, если он освободится. Номер поменяешь свой - а твой прошлый отдадут другому. И он сможет зайти куда хочет. Я помню симку купил, там вк аккаунт чей-то был привязан. Я то человек приличный, и заходить не стал, но кто-то не чистый на руку зайдет и будет иметь доступ ко всем вашим перепискам и тд.
Если посмотреть на определение двухфакторной аутентификации, то два фактора там: то что ты знаешь (пароль) и то чем ты владеешь (ключ). Сначала стали использовать SMS под видом второго фактора, но номером ты не владеешь по договору, а арендуешь его. Что уже не подходит. А потом вообще оставили только SMS
Проблема в том, что сейчас стали нагло, очень нагло навязывать связывать все сервисы между собой - контакты, госуслуги, мейл.. Это беспредел. Зато мы вводим пароль по сто раз. Сами же наплевали на безопасность, лишь бы пронюхать всего больше и скинули на пользователя.. А уж про шутки Cloudflare с их проверками и говорить нечего.. Но больше всего меня злить научный сервис elibrary Там и паролей запоминание не работает, и всё только на время Ну кому нужны подобные вещи, что там красть? Возможность скачать научную бесплатную статью. Для меня вывод: кое-кто из блатных тупо имитирует бурную деятельность таким образом. Как когда-то регулярно меняли дизайн сайтов
не понял, зачем писать такие статьи? предлагаете то Вы что??? в комментах тоже фантастов много, поиски злого умысла и бурной деятельности. Но ведь оценка зависит от точки зрения. Активно идет поиск наиболее адекватного решения вопроса безопастности при быстром изменении требований. При этом нет единого стандарта в виде закона или госта. Поэтому развиваются разные технологии и разные участники этого находятся на разныз этапах. Вас ведь наверно не смущает ситуация что сто лет назад одновременно существовал автомобиль, лошадь и самолет с паровозом. А современника наверняка такой винегрет смущал.
Наконец-то кто-то поднял эту тему. На сайте местного магазина (Бауцентр) авторизация сбрасывается каждые 4 (!) часа! На мой вопрос - зачем?! Ответ - это безопасно!
Может там банковскую карту можно к аккаунту привязать? А то многие магазины любят без спросу сохранять данные карты, якобы для удобства.
..сделал механическую логинопаролевводилку и продал на маркетлейсах на 500 миллионов за год." (с)
Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
В итоге окажется не TOTP, а Госключ с УКЭП для выдачи кредитов, передачи биометрии и других гадостей вместо пароля.
В целом это же работает немного по другому. Можно бесконечно долго и дорого пытаться защитить данные. Но в реальности нужен минимально необходимый уровень защиты. И внедрение например кодов подтверждения при онлайн покупках не исключает ситуаций угона симки, но исключают ситуации угона банковской карты.
И занимательней всего - сравнивать подходы в разных государствах / правовых регионах.
Так например, с российскими банками я привык к четырехзначным пин кодам при входе в приложение и кодам подтверждения онлайн покупок (пуш смс).
В канадских банках - вход в приложение по фейс айди, по поему это менее удобно. Хотя, пожалуй более безопасно и они получается, не хранят Био данные, а используют средства смартфона.
Подтверждения онлайн покупок через код - крайне редко и не у всех банков (зеленый банк 😅). Считаю это менее безопасным.
На некоторых сайтах где-то внутри есть проверка по биллинг адресу, привязанному к банковской карте. И на этих же некоторых сайтах оно глючит. Нельзя ввести разный биллинг адрес и адрес доставки. То есть оплатить подарок другу с доставкой на его адрес - не выйдет. Но как защита от угона карты - это тоже сработает. Только если ее не угнал ваш знакомый, который знает где вы живете. Но тогда, это облегчает работу полиции.
Еще балуются уведомлениями «мы тут заметили подозрительные покупки - это точно вы?» (красный банк 😅). По-моему вообще бесполезно. Покупка уже совершена и можно только успеть заблокировать карту.
А я не устал вводить пароли. Я устал от навяливания биометрии для всех как панацеи для бедолаг, смертельно уставших вводить лишние десятки символов в день и не ведающих, что такое менеджер паролей
Самый бесячий сброс аутентификации - при обновлении "приложений" магазинов. Эти приложения регулярно требуют обновления, и при обновлении теряли всю аутентификацию, старой версией запрещали пользоваться. Приходишь в магазин, на кассе открываешь это <deleted> приложение для получения скидки. А тебе - обновись, авторизуйся. Да ну вас, я в другой магазин ходить буду.
Особенно удивляют требования принудительных обновлений сейчас, в условиях санкций, когда приложения многих компаний удалены из сторов, а если возвращаются, то ненадолго и под неродными именами :)
Как знакомо.
Особенно с учетом что магазин - в подвале ТЦ и решением вопроса с покрытием нормальным никто не озаботился, как и оптимизацией приложения под загрузку минимального объема данных (потому что в том подвале если 3G хотя бы формально - уже счастье)
А под угоном симок подразумевается выдача их дубликатов через подставного сотрудника салона? Или что именно?
И по левым документам.
Внезапно как минимум один оператор посчитал это достаточной проблемой чтобы сделать спецуслугу чтобы одного документа было надо https://moskva.beeline.ru/customers/products/mobile/services/details/zashhita-ot-zameni/
Нужен или код на e-mail (отдельно указанный) или второй документ. Вопрос правда как это реализовано и может ли мошенник убедить сотрудника что ну так вышло или там жесткий запрет на бэке? Ну и проблема что там СНИЛС документом ж считается а он БЕЗ фото.
Поддерживаю автора!
Мой пример - приложение для бронирования репетиционных баз. Заходишь, выбираешь базу и время, бронируешь. Зачем там пароль вообще? Злоумышленник забронирует все репбазы в городе от моего имени и я буду бледно выглядеть перед админами? Причем нельзя создать пароль типа "12345", пароль вам задается принудительно, это вообще бесит
Не увидел предложения решения проблемы. Я слепой? )
Мне кажется, не столь важна проблема хранения аунтефикации, сколько стандартизация этой аунтефикации и её терминологии.
К примеру, можно ли считать двойной аунтефикацию, где можно просто сбросить пароль от учётки, если у тебя есть телефон и смс?
Или же, почему мне никогда не дают опцию обязательной авторизации несколькими способами? К примеру авторизации по паролю, по отпечатку и по биометрии лица одновременно? Я бы очень хотел использовать такую штуку на своём ноутбуке.
Почему, на современных системах ставят TPM 2.0, который ломается за 30 секунд любым школьником и не дают огромную красную галку, что бы поставить пароль на этот модуль TPM?
Мне кстати вот внезапно вспоминается SecondLife. Проект которому уже 20 лет. Вообщем metaverse в классическом смысле. VR-шлем не требуется и не поддерживается.
Авторизация - логин и пароль. MFA есть но опциональная.
Это при том что внутримировая экономика там есть и не то то бы совсем уж копеечная (штатный ввод и вывод реала тоже есть).
Скандалов про масс-взломы как то не слышно.
Скандалы про взлом протокола авторизации - давно не актуальны (клиент opensource, и есть независимые реализации)
Ах да - скандалы про ботов есть но немного по другим причинам :). По новым правилам если вот этот конкретный аватар управляется ботом более менее постоянно - нужно указать Scripted Agent Status (а как именно управляется - не важно, ну пока оный бот не творит совсем уж прямых нарушений ToS. Легитимные задачи есть).
С приложением-аутентификатор не все так просто. Некоторые сайты крайне параноики. И если внезапно устройство вышло из строя(как в моем случае, просто аккум решил "все я ухожу") а скачать/записать одноразовые пароли при подключении данной опции, вы решили проигнорировать(зачем еще и это?) то снова авторизоваться не так просто. Вам при авторизации предложат ввести код, или "другой способ", перейти по спец ссылке, и на фоне открывшегося окна сделать своё селфи чтоб экран и ваше лицо было в одном снимке. Снимок отослать , чтоб админы смогли решить что вы это вы.
Если честно вот вообще не понял, как ЭТО должно решить вопрос 2FA моей с этим ресурсом(да, это ВК) при определении что я это я.
ВСЕ остальные ресурсы где у меня было также подключён этот способ альтернативно был преодолён без проблем. (стандартно, почта/смс)
Бедолаженька!
Я так лишился акка в яндексе, в один прекрасный момент меня выкинули и сказали что я ввожу пароль правильно, но этого не достаточно, а телефон не подключен, восстановить можно только если сообщить данные, а ты акк создал 10 лет назад и юзал на нём только ядиск, жаль, там был халявный диск на 120 гиг(
Ещё ТС забыл про сложность паролей. Больше всего доставляет это когда форум на 3 строчки, а там нужен пароль на 12 символов, обязательно без связных слов, с регистрами символами, а ты туда и заходить не будешь больше)
Кстати да, это ещё один ресурс от которого пришлось отказаться, который потребовал чрезмерные(по моему мнению) данные, для моей аутентификации(фото, где живу, и.т.д) Без вк 3 год, без яндекса 5, и если честно как то ещё жив. ) Оказалось "так можно было".
По последним новостям СМИ, в неком государстве, без авторизации на Госуслуг вообще никуда "нельзя" будет.
Представьте, что существуют люди с проблемами зрения. после долгих десятилетий пяленья в монитор, они вдруг осознают, что не могу разглядеть сюжет на картинке. И тут - "найди велосипеды" на мутнейших квадратиках... и это как бы передовой сайт... Желать ничего не буду, лишь напомню, что все там будем..
Для этого почти во всех капчах есть специальная кнопочка и там что-то голосом с помехами скажут и надо это ввести. Может где-то до этого не додумались, но в целом разработчики капч эту проблему предвидели и решили.
я могу других "решений" подобрать, например, пригласить коллегу по работе с хорошими глазами решить капчу за вас, использовать тачскрин для удобного масштабирования картинки, взять наушники у посетителя кафе (точно у кого-то найдутся, правда?) .. тп ... выход есть! только зачем эти заборы до сих пор стоят?
только зачем эти заборы до сих пор стоят?
По той же самой причине, почему очень многие хорошие вещи невозможны: в мире полно мудаков. Мудаки используют ботов, чтобы взламывать аккаунты, распространять спам, устраивать ддос атаки, а иногда и просто засирать все вокруг ради лулзов. Против этих мудаков и ставят эти заборы. Они плохо помогают, делают жизнь всем немного сложнее, но без них было бы еще хуже.
и я совсем не против защиты, если бы она в таком виде была де-факто стандартом везде. но ведь в 2025 это смахивает скорее на артефакт пройденного этапа.
Ну нет у этой проблемы идеальных решений. Всё кому-то не нравится. Есть гугловая reCapcha, где надо просто на галочку нажать. Но она сливает в гугл тонну телеметрии, чтобы какая-то модель что-то про вас решила. Это очень обижает адептов приватности. Есть привязка к телефонам. Это тоже обижает адептов приватности, недобно некоторым пользователям, и очень дорого компаниям. Есть всякие USB-ключи и аутентификаторы на телефоны, тоже не всем пользователям удобно.
Так ведь и нет везде стандартных требований.
Стим отлично сбрасывает пароль, если не заходишь каждый день.
p.s. в чём смысл статьи и уж тем более почему оно номинировано на технотекст, это просто констатация фактов даже исследованием не назовёшь. Не в обиду автору, но очень странное такое отправлять на конкурс, в обиду Habrтакое принимать на конкурс.
Я так устал вводить логин и пароль