Комментарии 140
А среди альтернатив существует хоть одна альтернатива, которая позволяет обойтись имеющимися у пользователя девайсами, и при этом не требующая от пользователя установки какого-то специализированного софта?
Чипы под кожу вживлять пока не начали.
Исключение — только телефон, который получил повсеместное распространение. Но как мы уже выяснили он не годится для этой задачи.
А если у вас на телефоне стоит приложение, которое по зашифрованному каналу получает коды, то от подставы в подмене SMS получателя со стороны оператора вы защищены.
Смартфоны далеко не так рапспространены.
В бедной-бедной Индии классические телефоны — редкость.
Там смартфоны почти у всех, у кого вообще есть связь
Вообще, парадокс. С учётом того, что старые звонилки были продвинутыми (пусть и без камеры) и дорогими, но с годами технологии стремительно дешевеют, удивительно, что нынче за пару тысяч можно купить примитивное убожество, не умеющее даже с MMS работать, не поддерживающее цветовые темы оформления (размер шрифта и то обычно не регулируется, жри что дают), какие уж тут поддержки Java от такого ПО ждать, но зато с камерой для галочки и большим экраном (если повезёт — ещё и ёмким аккумулятором). Впрочем, это явление легко объясняется жаждой денег производителей, увы и ах.
нынче за пару тысяч можно купить примитивное убожество, не умеющее даже с MMS работать
MMS никому в современно мире уже не нужно.
Кому нужно нечто подобное — сидят на Вайбере, ВиЧате, Ватцапе, Телеграме.
Впрочем, это явление легко объясняется жаждой денег производителей, увы и ах.
Не объясняется. JavaME уже была разработана. И все для её интеграции в телефон — уже сделано. Самая дорогая часть — R&D здесь. А производство — это уже экономия на копейки.
Выкинули только потому, что она не нужна.
Была бы РЕАЛЬНО НУЖНА потребителям — никто бы не стал эти копейки экономить.
Я вот замечаю, что современные простые телефоны — существенно быстрее запускаются. Значит, железо там не то древнее слабое…
И все для её интеграции в телефон — уже сделано.Софтверная начинка другая, надо скрещивать ужа с ежом. Нужны более квалифицированные разработчики, чем наводчики макияжа на opensource-ные прошивки.
существенно быстрее запускаютсяНу это как раз можно объяснить и тем, что софт максимально упрощён. Не обязательно показатель эффективности его проектирования с точки зрения потребления процессора, памяти и энергии.
Лично я разницы в быстроте запуска не замечал, по-моему даже наоборот — махонькие соньки эриксовны и моторолки середины 2000-х запускаются шустрее, чем исчезает заставка на современных широкобоких тел-ах вроде Fly и проч.
никто бы не стал эти копейки экономить.Зачем потребителю предлагать дешёвый многофункциональный перочинный нож, когда можно развести его на покупку чемодана с инструментами? Нет экономического смысла продавать навороченные звонилки, когда выгоднее продавать смартфоны.
Чем еще можно объяснить, что производитель не дает синхронизировать контакты с компьютером, кроме желания продавать смартфоны?
Исходниками не поделитесь?
Там такая залипуха, что прямо даже неудобно.
for i := 1 to 270 do begin
fmain.Memo1.Lines.Add('BEGIN:VCARD');
fmain.Memo1.Lines.Add('VERSION:2.1');
fmain.Memo1.Lines.Add('N;CHARSET=UTF-8;ENCODING=QUOTED-PRINTABLE:' + imya[i]);
fmain.Memo1.Lines.Add('TEL;CELL:' + nomer[i]);
fmain.Memo1.Lines.Add('END:VCARD');
end;
Я вставил свои контакты в excel, сформировал сразу код для заполнения массива imya и nomer, скопировал код в тело программы.
Сам проект я сохранил только для того, чтобы в следующий раз формат vcard для своего телефона не искать.
у Вас есть возможность устанавливать мелодию на контакт?
Я зашел в контакт, при редактировании можно выбрать мелодию стандартную или с телефона. Менять не стал, я таким не занимаюсь.
Зачем вам разные мелодии на контакты? Лучше одну иметь и рингтоном. Привычно и понятно, что звонит телефон, а не радио в машине играет.
Нужны более квалифицированные разработчики, чем наводчики макияжа на opensource-ные прошивки
Покажите мне opensource прошивку GSM-модуля телефона.
Ну, пожалуйста, покажите.
Вы не в теме совершенно.
Зачем потребителю предлагать дешёвый многофункциональный перочинный нож, когда можно развести его на покупку чемодана с инструментами? Нет экономического смысла продавать навороченные звонилки, когда выгоднее продавать смартфоны.
Ага. Только этим занимаются разные заводы. И вовсе не заинтересованы в описываемым вами маркетинговом трюке.
Старого типа телефоны — одни заводы специализируются. Смартфоны — другие заводы. Совмещение — крайне редко, только у крупных производителей осталось, например, у Samsung.
Да и вы вообще понимаете что такое «сегменты рынка»???? Как это работает?
Вы всерьез полагаете, что отключив MMS, можно заманить покупателя, нацелевшегося на звонилку в 500 рублей на смартфон хотя бы за 3000 рублей?
Покажите мне opensource прошивку GSM-модуля телефона.Я про оболочку-ОС, в которой должен обсуждаемый OTP Calculator запускаться и работать, а не про GSM-модули.
Ну, пожалуйста, покажите.
Возможно правильнее было бы выразиться «с бесплатным открытым исходным кодом, с правом на присваивание прав на модифицированный код, иными нюансами» и т.п.
Из того, что могу вспомнить:
FreeRTOS,
ThreadX
Только этим занимаются разные заводыКакая разница какие заводы в каких частях света занимаются производством, под брендом вообще может скрываться зоопарк не находящихся друг с другом в родстве устройств, из совершенно разных электронных компонентов, как у того же Fly, работающей по принципу «увидели где-нибудь в Китае удачную модельку звонилки — и быстро адаптировали под массовые продажи в коробочках со своим логотипом в таких-то странах».
Собственно суть-то была не конкретно в MMS, суть в том, какие могут быть сюрпризы при покупке современных простых телефонов, на что обращать внимание. Слышал о более страшных вещах, вроде про Explay-и, в которых не поддерживались flash-SMS (используются некоторыми банками, это которые зажигаются на экране без добавления во «входящие») и даже USSD-запросы в режиме диалога. Про такие ущербности из технического описания товара на сайте производителя не узнать, только тестировать вживую…
Доказательства есть? А то держу своё смартфон в 2G, так как только он нормально ловит в моей квартире, а мобильный интернет дорог.
«Будут» — глагол будущего времени.
Первая ласточка: сейчас в столице сеть Tele2 в 2G не работает.
По мере выхода базовых станций из строя или замены на новые — операторы будут ставить только современные станции, где только 3G и выше…
Если не ошибаюсь, частоты для 3G/4G различаются в США и Европе (и России), что отражается на поддержке частот в телефонах. В результате, при отсутствии 2G, роуминг, в том числе и голосовой, для некоторых абонентов просто не будет работать. Не думаю, что все операторы пойдут на это.
Настройки MMS там тоже как-то странно реализованы.
Как отправить срочно фотографию с камеры телефона без MMS?
А какой смысл отправлять?
Ее получить мало кто может. Даже в ушедшию эпоху рассвета ММС с этим были большие проблемы. Потому, собственно, ММС и умерли.
суть в том, какие могут быть сюрпризы при покупке современных простых телефонов, на что обращать внимание.
Да я вам больше скажу — операторы в скором времени будут отключать станции, умеющие 2G. И если ваш простейший телефон не умеет голос через 3G, то все плохо…
И еще в бытность ч/б телефонов когда телефон не мог физически ММС-ки то приходит код-ссылка в СМС по которой можно в интернете посмотреть ММС-ку.
Чтобы они работали, нужно все равно как минимум профиль под них прописать. Чего практически никто не делает, т.к. на смартфонах есть куда более практичные заменители, от электронной почты до вайбера.
Никаких проблем… MMS работает через интернет вообще-то.
Сколь мне не отправляли MMS, я их НИ РАЗУ не получал.
Мне не надо было ничего настраивать, мне не нужны MMS, я и не настраивал.
А вот с появлением Telegram, Viber, WeChat, WathApp — стал получать фотографии. Там это не в пример проще — ничего и делать не нужно для настройки.
У меня на телефоне вайбер тупо не работает и не будет работать — нет постоянного интернета по идеологическим причинам. А принимать вайбер-сообщения только по вечерам с домашнего WiFi это изврат — его кроет по функциональности и удобству скайп, Gmail и jpegshare.
Суть в том чтобы нельзя было получать код автоматизированно — он должен пройти через руки человека.
А почта… ещё более небезопасна чем СМС — досихпор нет никаких стандартов по шифрованию содержимого, максимум SSH-обёртка которая никак не защищает от перехвата на системе жертвы.
Самым надёжным будет только девайс без возможности исполнения постороннего кода т.е. с жёстко вшитой прошивкой в OTP-чип. Но они пока ещё не нужны по принципу неуловимого Джо — пока есть более лёгкие способы взлома отдельные приложения взламывать будут с большой неохотой.
Средства защиты — это компромисс между стоимостью защиты и стоимостью взлома защиты, таков расклад на сегодняшний день и сложность защит не будут повышать до тех пор пока стоимость взлома достаточно высока.
Перехват СМС — не зависит от конечного пользователя.
Но есть более интересный способ: я буквально час назад делал платеж банковской картой. И знаете, что произошло? Мне не пришла привычная СМС. Мне пришел звонок на телефон, и робот продиктовал код доступа для 3D-secure аутентификации. По-моему, это самый универсальный и в то же время достаточно безопасный способ.
Все кто ходит с телефонами — осознанно покупали телефоны.
Все кто ходит со смартами — осознанно смарт покупали.
Как правило смарт сразу покупают под 2ГИС, Навител, вконтакте.
Конечно, это выборка маленькая. Но я что-то с трудом представляю, что кто-то будет переплачивать за устройств не понимаю зачем оно ему(если это не iPhone, конечно).
Телефоны как раз покупаются обычно осознанно. Их берут люди, которым или нужны большие аппаратные кнопки, или большое время работы от батареи, или просто нужна недорогая звонилка. А смартфоны покупают все остальные — и те, кому нужны смарт-функции, и те, кому просто хочется современный девайс, чтобы с него звонить и писать смски. Ка вы верно заметили про iPhone, но то же самое касается и любого раскрученного смарта, будь-то Galaxy S7 или LG Bello в беленьком корпусе.
Код, продиктованный голосом, от перевыпуска сим-карты, увы, не спасёт. Звонок с кодом примет уже злоумышленник.
Как по мне, вот такую ситуацию можно смело ставить в один ряд с «дали битой по голове, украли кошелек». Если вы настолько интересуете злоумышленника, что он ради этого методами социальной инженерии ворует ваш телефонный номер, то борьба с ним уже лежит за пределами технических средств.
Всё это работает только в случае крайней сложности автоматизации процесса получения и использования кода — в случае с СМС автоматизация при помощи трояна на смартфоне или перехвата мобильного трафика просто просится.
Голосовая передача кода будет ещё работать некоторое время, пока не подтянутся трояны перехватывающие голосовой канал и распознающие несложный алгоритм генерации голосовых кодов…
Но это может оказаться технически неосуществимым — большинство нерутованых смартов просто не имеют программного доступа к голосовым каналам.
Может наконец закончится эра тупых привязок к телефонам и смс-кодам из них
или для привязки физического потребителя к аккаунту?
Идентификация по СМС — да, аутентификация — нет.
То есть, СМС пойдет для "- Ты кто? — Я Вася".
Но не пойдет для "- Докажи, что ты Вася".
То есть рассуждая по твой логике идентификация "-Я Вася, хочу зайти."
Аутентификация "-докажи что ты Вася"
Да, из СМС сделали средство аутентификации. Но учитывая дырявость каналов доставки СМС, такой способ не годится в качестве надежного. Это все равно, что делать пароли из 3 символов. И это не просто слова "все на свете можно сломать", а статистика.
Поэтому да, может быть удобно узнавать человека по номеру телефона. Но это все, на что хватает доверия к номеру и СМС. Для каких-то более серьёзных подтверждений СМС использовать небезопасно.
Думаю расписывать что есть что, не критично в данной ситуации.
Идентификация по СМС — да, аутентификация — нет.
Под этим я имел в виду, для чего оно годится. С терминами-то все не сложно:
- Идентификация — узнать имя юзера.
- Аутентификация — убедиться, что он тот, за кого себя выдает (спросить и проверить пароль).
- Авторизация — разрешить доступ (дать права этого юзера).
Возлагать на СМС роль аутентификации и на основании такой аутентификации приступать к авторизации — открывать ооочень большой список рисков для пользователя. Телефон могут тупо украсть. А ещё могут "потерять" и выдать новую симкарту в салоне оператора (с чем сейчас борются банки, отслеживая смену сим карты). А ещё кто угодно может вклиниться в ваш канал сотовой связи и перехватывать ваши смс.
В такой ситуации идентификация по номеру телефона — максимум, на что можно полагаться. И то, с оглядкой.
>Аутентификация — убедиться, что он тот, за кого себя выдает (спросить и проверить пароль).
>Авторизация — разрешить доступ (дать права этого юзера).
Почти
Идентификация — авторизация пользователя по ID акаунта, логин и пароль.
Аутентификация — авторизация идентификаци с запросом кодового слова через иной источник связи, маил, телефон и иные средства брелки устройства и ПО.
>Возлагать на СМС роль аутентификации и на основании такой аутентификации приступать к авторизации — открывать ооочень большой список рисков для пользователя.
Тут я с вами не спорю. Телефон в прицепе не лучшее средство подтверждения. Самое топовое это брелок с подтверждением генетического ДНК код индивида, такую байду замучаются подделывать.
Идентификация — авторизация пользователя по ID акаунта, логин и пароль.
Аутентификация — авторизация идентификаци с запросом кодового слова через иной источник связи, маил, телефон и иные средства брелки устройства и ПО.
На самом деле нет. Эти три понятия часто путают, хотя они означают три раздельные вещи.
Из википедии, идентификация в информационных системах — присвоение идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов. Например, идентификация по штрихкоду. От лат. identifico — отождествлять.
На этом этапе от пользователя ещё не попросили пароль. Это достаточно быстрый этап, после ввода логина, но до ввода пароля. Иногда система по логину определяет, из какой базы брать пароль. Например, когда есть почтовый сервер с кучей доменов.
Так же, из википедии, Аутентификация (англ. authentication; от греч. αὐθεντικός [authentikos] – реальный, подлинный; от αὐθέντης [authentes] – автор) — процедура проверки подлинности.
На этом этапе пользователь должен доказать, что он действительно является тем идентификатором, который он указал ранее. Вот здесь уже идет проверка подлинности пользователя, например путём сравнения введённого им пароля с паролем в базе.
А Авторизация (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Опять-таки, из википедии
На этом этапе система смотрит, куда она дает доступ юзеру. Например, СУБД смотрит, в какие базы пользователь может зайти.
Таким образом. авторизация — это просто предоставление прав (от англ authorization — разрешение).
А вот госуслуги, кстати, вполне себе внеполосную аутентификацию реализовали — приходит тётя, приносит конверт с кодом, кидает его в почтовый ящик. Не всегда в нужный ящик, и вообще не всегда в ящик, но стойкость к атакам на SS7 очевидна.
Злоумышленник зайдет и от вашего имени налоги заплатит?
Так это же благо.
А все остальное что можно там узнать — все это можно получить и более простыми способами за коробку конфет соотвествующим госслужащим и даже проще.
Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений.
Как внутри сайта или приложения можно реализовать аутентификацию?
У меня параноя? ;)
Как уже писали рядом — хорошая будет статья для Хабра.
В стиме например сейчас такая-же фигня — если зайти с нового устройства он ругнется и затребует подтверждение
Не с другого устройства, а с другой системы. Комп может быть один и тот же.
И правильно. У гигантов типа Гугла или Эпла авторизация по смс уже ниже по приоритету, чем подтверждение кодом с устройства. У Гугла это приложение "Google Authenticator", у Эппла код загорается прямо на айфоне без установки софта.
Фтопку привязку мобиллак к интернет ресурсам, не эстетична это дело!
Таким образом стоимость взлома сильно возрастает, и имеет смысл если вы собрались красть миллиардами — а это как правило делается совершенно на другом уровне и вполне официально.
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
Код из SMS — 2-ой фактор — то, что пользователь имеет. Правильно введенный код из SMS подтверждает владение SIM картой с номером телефона, зарегистрированного на пользователя.
Полагаю, что вопрос в терминологии «двухфакторная» или «двухэтапная» не в самом методе аутентификации, а в реализации. Если второй фактор у вас спрашивается только после успешно введенного первого, то это двухэтапная, а если оба фактора проверяются одновременно, то двухфакторная.
Если второй фактор у вас спрашивается только после успешно введенного первого, то это двухэтапная
То это двухэтапная двухфакторная. Ещё может быть двухэтапапная однофакторная, когда, например, один и тот же фактор запрашивается дважды, например запрашивается пароль при логине, а потом запрашивается он же для смены пароля на новый.
Но ничто не мешает добавить соль к СМС коду. Тогда обычный перехват уже не поможет. А подобрать соль за малое количество переборов будет проблематично.
Предложение программ от гугла и других подобных, всего-навсего упрощение для неких структур по изъятию кодов использующих механизмы аутентификации. Тут даже думать не надо, что за СМС, все идет по протоколам и складывается куда следует.
Т.е. в системе ставишь соль к примеру «прибавить 111» или «умножить на 11», а тебе пришла смс 123, вот и сиди складывай (234) и умножай (1353) в уме или локальным спецприложением. Хотя это дело пользователя и надо дать право выбора.
Но другая проблема, что смартфоны дают полный доступ кому ни поподя, и для СМС надо использовать телефоны десятилетней давности.
Тогда перехват платежной СМС-ки ничего не даст (в ней почти случайный набор знаков типа base64), а установленное приложение (знающее ключ или пароль) покажет нормальный код подтверждения.
NIST: SMS нельзя использовать в качестве средства аутентификации