Как стать автором
Обновить

Комментарии 15

Написать заявление сотовому оператору на запрет обслуживания по доверенности

Статья состоит из смеси трюизмов типа "phishing существует" и бессмысленных с практической точки зрения советов вида "не попадайтесь на мошенничество".

Угоняли аккаунт ради переписки как я понял, облачный пароль не стоял. Угоняли кто-то из ФСБ или СК (сами не признались).

Симуа МТС , судя по всему сделали дубль и выбили меня из сети, но я был через wi-fi calling в том числе, но блин в 2 часа ночи, на смски о перехвате телеги (ввод кода доступа в телегу) отреагировал через 30 минут только , телегу(историю) уже скачали. Восстановил доступ , выбил сессии вражеские, сменил пароль, поставил облачный . Аналогично пробивали коллег в эту же ночь по проекту, ещё минимум одного вынесли.

Через 6 месяцев прилетел арест сидами фсб, допрос в СК с цитатами из телеги, коллеги по проекту 2 год под арестом.

Вообщем облачный пароль не дал вынести остальных коллег. Ну и зелёные чаты на критичные для вас истории.

Требуйте у разработчиков долива после отстоя пены аппаратную двухфакторную авторизацию, а не основанную на SMS имитацию таковой.

Аппаратная авторизация? Зачем так сурово? Достаточно какого-нибудь Google Authentificator.

В чем "суровость" поддержки FIDO2 по сравнению с TOTP?
И в соответствии с какими критериями этого "достаточно"?

Аппаратная необходима по определению МFA, потому что телефон с приложением, в котором хранится содержимое Key URI (otpauth://totp/ACME%20Co:john.doe@email.com?secret=HXDMVJECJJWSRB3HWIZR4IFUGFTMXBOZ&issuer=ACME%20Co&algorithm=SHA1&digits=6&period=30) - это не "нечто, что есть у пользователя", а просто очень усложненное "нечто, что пользователь знает" (близкий аналог пароля на бумажке).

И хотя TOTP-авторизацию можно, если есть на то желание, превратить в аппаратную путем записи секрета на ключ, это во многом (кроме его открытой передачи) эквивалентно идее использовать обычный пароль (который, к слову, тоже можно записать на ключ, при желании) и "твердо решить его никому не сообщать".

Вы инженерные меры информационной безопасности от административных, в принципе, отличаете? Не похоже.

Сурово — это значит оверкилл. Ты не получаешь такой же прибавки в безопасности, насколько теряешь в удобстве. Против аппаратных ключей я ничего против не имею.

Удобство не является критерием информационной безопасности. Если вам лично что-то не нравится, это не имеет отношения к тому, какие возможные векторы перекрывает та или иная мера.

Вы просто безграмотны в этом вопросе, потому что даже апеллировать к чему-нибудь менее невнятному и куда более конкретному вроде "для моей оценки модели угроз, несанкционированный доступ к телефону маловероятен" не додумались.

Malware и phishing остаются проблемой в общем случае программного второго фактора с TOTP.

Ок, давайте на заумном: «для моей оценки модели угроз, несанкционированный доступ к телефону столь же вероятен, как и несанкционированный доступ к аппаратному ключу».

То есть вы бросаете аппаратный ключ где попало, так что возможность его кражи становится также велика, как возможность того, что вы попадетесь на phishing и через это словите или самостоятельно установите malware, способное спереть секрет из приложения для TOTP.

Так и запишем.

Второй вопрос - какое отношение ваша модель угроз имеет к общему случаю? Вопрос риторический, потому что никакого. Вы продолжаете спорить о том, что вам лично удобнее.

Злоумышленники не смогу оформить сим-карту? Ну ну, сколько уже таких случаев, когда с помощью переоформленной сим карты крадут данные.

Злоумышленники действительно могут переоформить сим-карту, мы пишем об этом в материале. В таких случаях поможет двухфакторная аутентификация: при вводе с нового устройства потребуется ввести пароль. Это вариант защиты, который может помочь защитить ваши данные.

И причем тут телеграмм? Это общие, причем базовые, так сказать "для родителей" принципы безопасности.
Вам на курсы не аудитория хабра нужна, а тиктока или вк. Судя по всему еще надо поменять вашего маркетолога, раз он на базовые курсы тут аудиторию ищет.

И да, если там прям бизнес бизнес, то сим карта аккаунта будет оформлена в другом государстве, которому до ру аудитории дела не будет, а соответственно не будет смысла уводить канал.

Опишите, пожалуйста, модель защиты от нежелательных действий путём "оформления иностранной сим-карты". Интересно, какие векторы это, в вашем представлении, перекрывает.

Курс будет полезен даже девопсерам. Статья не на них нацелена, в этом вы правы, однако при этом у нее не так мало сохранений, значит кому-то она все-же пригодилась.

Хорошо, что вы знаете базовые принципы безопасности, получается не забывать о них и применять? У меня, честно, не особо. Но мне и терять нечего, каналы и опасные переписки не веду. Зато читала кейс от IT-рекрутера, которая лишилась своего канала в Телеграм. Казалось бы, IT-рекрутер вроде как должна знать эти принципы и, наверняка, знала, просто или забыла или пренебрегла.

Насчет аудитории вы, может быть, удивитесь, но например на наш вебинар «Как войти в IT», большая часть аудитории пришла с Хабра (не с ВК и телеграм) и совершенно разношерстная, судя по профессиям. Хотя мне говорили, что на Хабре лучше публиковать только чисто айтишные статьи.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий