Комментарии 32
Да даже не в сложных люди отжигают.
Долго ломал голову над просьбой записать пожилому пользователю диск с «ЭмЭрЗэ» — речь шла об MP3.
Долго ломал голову над просьбой записать пожилому пользователю диск с «ЭмЭрЗэ» — речь шла об MP3.
В практике было такое слово «Индификация»… Из контекста понял, что все-таки речь шла про идентификацию.
Индификация – процесс в гейм-девелопменте, который заключается в намеренном придании разрабатываемой игре отличительных характеристик инди-игр (простая графика, необычный геймплей, низкое качество).
Конечно, я только что это «определение» из головы взяла, но описанный феномен вполне может существовать.
Конечно, я только что это «определение» из головы взяла, но описанный феномен вполне может существовать.
Недавно Виталий Кличко рассказал про таинственные артефаки, найденные в ходе раскопок.
двухтактовая индефекация
Это вам сообщили биологические особенности организма. Не думаю, что это связано с аутентификацией.
Можно не париться и менять местами аутенфикацию с авторизацией в большинстве случаев. Потому что любой запрос сначала делает аутенфикацию (кто вы) а потом можете ли вы это делать. В рус. языке лучше везде использовать слово авторизация, оно более знакомо нашему уху.
Кстати, двух факторной у вас нет. У вас двух шаговая (2 step verification). Пароль посланный через SMS не считается за второй фактор, тк SMS провайдер и много других персонажей имеют к нему доступ, а не только юзер.
Кстати, двух факторной у вас нет. У вас двух шаговая (2 step verification). Пароль посланный через SMS не считается за второй фактор, тк SMS провайдер и много других персонажей имеют к нему доступ, а не только юзер.
Пароль посланный через SMS не считается за второй фактор
Считается, если он «одноразовый». Насколько безопасный, это уже другой вопрос.
Why isn't an OTP via SMS a 2nd factor?
paul.reviews/the-difference-between-two-factor-and-two-step-authentication
«Одноразовость» ничего не меняет.
paul.reviews/the-difference-between-two-factor-and-two-step-authentication
«Одноразовость» ничего не меняет.
Сколько людей столько мнений, но двухэтапность SMS в статье обосновывается именно соображениями недостаточной безопасности:
Представьте что OTP присылается не открытым текстом а зашифрованным с ключом который может расшифровать только ваш телефон, и в этом случае «перехват» ничего не даст… получится что только это переведет метод с SMS их двухэтапного в двухфакторный? что то нелогично получается
If it were truly a 2nd factor, it would be impossible to authenticate without the device. If an attacker ports your mobile number to another provider or manages to intercept your SMS
Представьте что OTP присылается не открытым текстом а зашифрованным с ключом который может расшифровать только ваш телефон, и в этом случае «перехват» ничего не даст… получится что только это переведет метод с SMS их двухэтапного в двухфакторный? что то нелогично получается
Кстати исходя из той же логики, двухфакторной аутентификацией не могут считаться:
— Мобильное приложение, так как телефон может быть инфицирован вирусом который будет перехватывать OTP с экрана (иногда это легче чем перехватывать СМС)
— Аппаратный ключ, так как код можно подглядеть через плечо или скрытую камеру
— далее в том же духе
нет ничего идеального
— Мобильное приложение, так как телефон может быть инфицирован вирусом который будет перехватывать OTP с экрана (иногда это легче чем перехватывать СМС)
— Аппаратный ключ, так как код можно подглядеть через плечо или скрытую камеру
— далее в том же духе
нет ничего идеального
Приведенные атаки не являются пассивным наблюдателем и куда менее реальны. Бэкдор в опен сорс продукт тяжело внести, скрытые камеры есть не везде, а какой нибудь Билайн сейчас видит тысячи кодов от банков и приложений.
Если ключ хранить на телефоне то это станет вторым фактором, end to end.
Если ключ хранить на телефоне то это станет вторым фактором, end to end.
ключ хранить на телефоне то это станет вторым фактором
получается что дело не в канале передачи OTP (SMS)
кстати аналогом OTP с шифрованием можно считать delivery via push notifications (например как у Duosecurity) там коды передаются с end-to-end шифрованием (Https)
Я и не говорил что дело в канале, я говорил кто имеет доступ к кодам.
Duo как и дырявый authy не end 2 end. Они central authority который может вернуть status=ok на запрос своих клиентов. End to end это когда сам банк проверяет валидность кода. Пример того что я разрабатываю — e2e truefactor.io/info
Duo как и дырявый authy не end 2 end. Они central authority который может вернуть status=ok на запрос своих клиентов. End to end это когда сам банк проверяет валидность кода. Пример того что я разрабатываю — e2e truefactor.io/info
Второй фактор — обладание СИМ-картой.
Без обладания СИМ-картой с конкретным номером получить одноразовый пароль легально невозможно.
Название «двухэтапная» объясняется тем, что для того, чтобы отправить СМС/email нужно сначала узнать кому ее отправить. То есть первый этап — аутентификация по логину-паролю нужна, чтобы определить номер телефона получателя СМС.
Почему некоторые называют это «верификацией» непонятно. Возможно есть мнение, что слово менее серьезное, чем аутентификация. По сути вы можете всегда «аутентификацию» называть «верификацией пользователя».
Без обладания СИМ-картой с конкретным номером получить одноразовый пароль легально невозможно.
Название «двухэтапная» объясняется тем, что для того, чтобы отправить СМС/email нужно сначала узнать кому ее отправить. То есть первый этап — аутентификация по логину-паролю нужна, чтобы определить номер телефона получателя СМС.
Почему некоторые называют это «верификацией» непонятно. Возможно есть мнение, что слово менее серьезное, чем аутентификация. По сути вы можете всегда «аутентификацию» называть «верификацией пользователя».
Потому что любой запрос сначала делает аутенфикацию
О чем статья была… не, не читал.
По такой логике, если вход в приложение осуществляется только по паролю, присланному по СМС (а это почти то же самое, что и пароль присланный по email), то это и не вход вовсе. То есть нет фактора -> нет пароля -> нет аутентификации.
Пароль не перестает быть паролем от того, что он может быть скомпрометирован. Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Пожалуйста, не призывайте менять местами аутентификацию и авторизацию. «Двухфакторная авторизация» — это что-то за гранью моего понимания. Может кому-то все равно, но мне слух очень режет. Для меня это как звонит и звонит.
Пароль не перестает быть паролем от того, что он может быть скомпрометирован. Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Пожалуйста, не призывайте менять местами аутентификацию и авторизацию. «Двухфакторная авторизация» — это что-то за гранью моего понимания. Может кому-то все равно, но мне слух очень режет. Для меня это как звонит и звонит.
Термин 2FA не включает в себя SMS OTP в классическом понимании. Второй фактор должен быть end 2 end. Зашифрован или сгенерирован локально например.
>Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Разница огромная. Для вас разница терминов большая, для обычных пользователей разницы нет, так же как им не важна разница между хешированием и шифрованием паролей. Безопасность должна быть в первую очередь дружелюбной к обычным людям.
>Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Разница огромная. Для вас разница терминов большая, для обычных пользователей разницы нет, так же как им не важна разница между хешированием и шифрованием паролей. Безопасность должна быть в первую очередь дружелюбной к обычным людям.
Привет!
Чтобы спорить о терминах, нужно выбрать авторитетное определение этого термина :)
На какой источник определения термина 2FA Вы ссылаетесь?
Чтобы спорить о терминах, нужно выбрать авторитетное определение этого термина :)
На какой источник определения термина 2FA Вы ссылаетесь?
Ладно, вы меня поймали. Я не хочу ссылаться на 2FA статью в вики так как меня от нее уже подташнивает (и я писал статью почему их определение фигня). Это в первую очередь маркетинговое слово, и каждый имеет неотъемлемое право говорить что у них 2FA даже если они код пошлют на тот же email.
Проблема тут не только в том, что Ваша статья менее известна, а в том, что 2FA по SMS со всеми ее недостатками — на сегодняшний день индустриальный стандарт.
Предлагайте миру новые безопасные решения, продвигайте их, и может через 5-10 лет в вики будет другое определение :)
У SMS есть важное преимущество перед ключами и токенами — при утере симки ее можно восстановить по паспорту. Для широких масс пользователей это важнее, чем опасность перехвата смски
Предлагайте миру новые безопасные решения, продвигайте их, и может через 5-10 лет в вики будет другое определение :)
У SMS есть важное преимущество перед ключами и токенами — при утере симки ее можно восстановить по паспорту. Для широких масс пользователей это важнее, чем опасность перехвата смски
В решении которое разрабатываю я все еще проще — email+пароль дают доступ к зашифрованному бэкапу. Симку получить займет дольше времени, и требуется развиртуализация человека. Проблема не в том какое решение «лучше» а с какого можно поиметь больше денег. Токены для банков стоят десятки долларов, я же делаю бесплатный софт. Им это не выгодно (
Я так понимаю Chikey имеет в виду случай когда «я такой дурак, что раньше отправлял свой логин\пароль к банку в СМС и теперь мобильный оператор, имея их из истории моей переписки и СМС с кодом — может залогиниться». Но, извините, если вы логины и пароли пересылаете открытым текстом в СМС — то вам тут уже ничего не поможет, с таким успехом вы и фотки криптотокенов с временными ключами можете в инстаграм постить.
Вы перегибаете. СМС с одноразовым паролем попадает на телефон пользователя, проходя тернистый путь через инфраструктуру банка и оператора.
Сам пользователь СМС с паролем никому не отправляет и никуда не выкладывает (кроме поля ввода пароля, конечно).
Делать фото значений аппаратных генераторов OTP и выкладывать в инстаграмме — не каждому придет в голову.
Сам пользователь СМС с паролем никому не отправляет и никуда не выкладывает (кроме поля ввода пароля, конечно).
Делать фото значений аппаратных генераторов OTP и выкладывать в инстаграмме — не каждому придет в голову.
«Двухфакторная авторизация» — это что-то за гранью моего понимания.
Использую в продакшене. Первый фактор — обычная система прав на индивидуальных и групповых разрешениях по логину/паролю, вторая по IP-адресу. Ну или банальное «Извините, юзернейм, в вашем регионе сервис не доступен».
Теперь эту статью можно будет найти по любому из указанных вариантов)
Ирония ещё в том, что в слово аутентификация изначально закралась ошибка: никакого «фи» там нет в оригинале, но уже поздно, термин в широком обиходе.
А вообще, КМК, проще было бы называть это «двухэтапной проверкой подлинности» — Dropbox, например, так и делает.
А вообще, КМК, проще было бы называть это «двухэтапной проверкой подлинности» — Dropbox, например, так и делает.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Аутентификация: что общего между холодильником и ружьем?