Комментарии 148
Думаю все восстановят та и с почты думаю свистнуть нечего не смогут. Хотя Яндекс для меня и многих людей которые живут не в России это что-то страшное, мы считаем его незащищённых и не надёжным, правда это мнение сложилось у нас из-за такси в которых покойников возят, но это другая история...
А так на будущее советую использовать для важных вещей proton mail, он более защищён, как по мне °__°
Интересно кто "мы считаем его незащищённым"?
Мы считаем, я имею ввиду людей которые не живут в России. Просто услуги Яндекса не в России плоховатые, даже очень плохие... Насчёт почты тоже такая тема, ну возможно в России это компания очень хорошая.
Мы считаем, я имею ввиду людей которые не живут в России. Просто услуги Яндекса не в России плоховатые, даже очень плохие
Это какие-то другие услуги?
Вы который раз упомянули людей которые не живут в России что возникла мысль что мнение какое-то ангажированное
Говорите за себя, а не за всех, кто живёт не в России, пожалуйста.
А чем не угодил gmail?
Ну по поводу протона тут можно поспорить)
Ну по защищённее Яндекс почты будет я думаю. Конечно я считаю что Mailfence и Tutanota по защищённее будут, но пользуюсь протоном. И ещё мне интересны минусы протона по защите..
Минусы протона по защите:
"ProtonMail убрал пункт об отсутствии отслеживания IP после ареста экоактивиста" https://habr.com/ru/news/576708/
И ещё мне интересны минусы протона
по защите
Один из минусов - многие российские сервисы, в т.ч. и яндекс почту с протона не принимают.
Хотя Яндекс для меня и многих людей которые живут не в России это что-то страшное,
Извините, но это бред, выдаваемый за действительность. Почта от Яндекса одна из самых удобных.
А встраивать рекламу в почтовый клиент это нормально вообще? Заходишь без подписки и пол страницы в баннерах. Ещё и кастомизировать почти ничего бесплатно нельзя. У гугла может и нет всяких свистоперделок в виде YaGPT, зато всё бесплатно и не пихают рекламу на пол страницы, ещё и со внутренней рекламой своих сервисов.
Если ты не платил за товар (услугу) - ты есть товар. Заплати и не будет рекламы - логика, но тебя все равно почитают и посчитают, но об этом не уведомят контекстной рекламой )
Да естественно можно сделать что угодно. Но тогда не надо говорить что их почтовый сервис3 один из самых удобных, если его нужно допиливать/доплачивать/юзать альт клиенты и прочее.
А когда заплатил - всё равно приходится каждый раз смотреть рекламу.
Так что платить не за что.
А вы точно пользовались сервисами Яндекса? Там реклама есть даже в платных сервисах. Причём полноэкранная. Зашёл в Кинопоиск или Яндекс музыку — лови полноэкранный баннер и мелкую кнопку закрытия где-то в углу. Ни один сервис музыки больше такой наглостью не страдает.
Пользуйтесь альтернативными клиентами и рекламу наблюдать не будете, там ее нет.
Ну гугл не пихает рекламу в приложении почты. Он просто читает почту, чтобы на основании содержимого предлагать рекламу вне приложения почты)
Да неужели? В мобильный апп он очень даже успешно напихивал рекламу.
UPD:
Хотя, почему же напихивал... И сейчас напихивает :)
Никогда такое не видел, Gmail уже лет 10, если не больше, основной почтовик на телефоне. У Вас, может, какой-то кастомный клиент? Либо дело в цепочках писем (у меня они отключены)? А может, сам Гугл помечает так рекламные письма спамщиков?
Нет, у меня самый настоящий клиент. От самого гугла.
Надо просто вернуться на пару-тройку лет назад (или выбраться из РФ, например, с помощью чудесных сервисов), когда гугл крутил рекламу в РФ, тогда и появится :)
И нет, это не цепочки писем, это именно реклама от гугла, и в этом можно убедиться зайдя в свойства этой самой рекламы
У Вас включены категории на аккаунте (Соцсети, Промоакции, Оповещения). У меня лишь Входящие (Несортированные в терминах Gmail). В этом ключевая разница, как я сейчас нагуглил.
При отключении категорий отключается и реклама. Об этом сказано здесь. Как отключить категории - здесь. Я через VPN сижу иной раз и сутки - никакой рекламы. Да и не только "пару-тройку лет назад", но и гораздо больше назад никогда не видел рекламу.
Заходишь без подписки и пол страницы в баннерах.
Включаешь легкую версию почты: никакой рекламы и страница грузится очень быстро.
Из минусов - "красивостей" в письмах не будет.
а как же "установите яндекс браузер" и т. п. ?
Да я же не про это. У меня хватает интеллекта включить адблок, спасибо. Не нужно писать мне способы обхода.
Я про сам факт - о каком удобстве коробочного клиента речь, если в нём реклама и прочий мусор?
По итогу все ответы мне в ветке можно свести к одному - сменить клиент. Либо всячески модифицировать. Либо платить.
Тот же гугл (не образец качества, просто один из примеров) меня устраивает из коробки. Минималистичный интерфейс, не пытаются впихнуть мне свои сервисы, не встраивают рекламу, поддерживают перевод писем с других языков, есть лёгкая кастомизация.
На почту обычно приходит рабочая переписка, коды подтверждения, важные нотификации, ну и промо рассылки. Я не хочу чтобы меня отвлекал там всякий мусор при попытке найти или прочитать письмо. Яндекс с этим не справляется.
Вообще нет. Это оди6 из самых убогих почтовых сервисов.
Есть ньюанс - например яндекс (их платный сервис который раньше был почта для домена - тоже) считают proton mail спамерами (судя по диагностике в отбивке), поддержка яндекса отвечает что роскомнадзор.
Ну и - история с Mail Bridge (который нужен для использования нормальных клиентов через IMAP) у Proton'а и как они на эту проблему реагировали.
Почему был? Я до сих пор использую, денег не берут...
Правда, в сам сервис не захожу, просто использую адрес на другом домене.
Мне как ламеру любопытно, а свой собственный сервер для почты — это реально ?
как пример https://habr.com/ru/articles/539736/
Установить и настроить - дело пары часов. Но бороться со спамом (и борцами со спамом) - нужен админ на полный рабочий день. Иначе будет проблема не только со спамом, но и с доставкой почты. Возможно сей-час есть готовые решения для установки и поддержки одной кнопкой, но что-то сомневаюсь.
Держу ящик(и) у среднего хостера. Не настолько крупного чтобы выворачивал мою почту наизнанку ради поиска ключевых слов для рекламы (надеюсь), но и не настолько мелкого, чтобы экономить на админе почтовых сервисов. Для подстраховки можно иметь свой домен, чтобы перенести при необходимости если хостер накроется. На оптимальность решения не претендую.
Всякие мейлру и янндексы это ужас-ужас. Бесплатный вариант это как китайский смартфон - продираться сквозь рекламу (и вообще азиатский стиль рекламы). Платно - неадекватно дорого за просто почту и не решает всех проблем.
Да, я делал. Делал себе маленький сервачок, который жил в ящике письменного стола, и чего там только не было)) Даже primary DNS сервер на себя. Ну, само собой веб-сервер, фтп, самба, и т.д и т.п...
Делал и почтовик. В общем, на прием вообще без проблем. А вот с отправкой заморочки. Если правильно понял, нужно, что бы этот сервер еще был прописан в reverse DNS. А это может сделать только владелец IP, то есть, провайдер. Без такой записи другие почтовики относились к нему очень недоверчиво, половина писем уходила в небытие. Возможно, обращение к провайдеру решило бы эту проблему. Но мне это уже было лень, это все была просто развлекуха...
Интересно представить, как многие, не живущие в России, периодически собираются вместе, и после непродолжительных дебатов, приходят к выводу, что сервисы Яндекс все-таки являются незащищенными и ненадежными. Звуки бокалов, смех, редкие аплодисменты.
Про яндекс ключ вы в курсе я надеюсь и по религиозным соображением не используете?
Наивно надеялся, что пароля+смс будет достаточно
Недаром гуглы, гитхабы и другие настоятельно рекомендуют через аутентификаторы вместо смс использовать., так как смс уже небезопасно.
У аутификатара есть минусы, при потере телефона или поломке аутификатор не восстановить. Возможно уже можно, по крайней мере с Гуглом так было.
p.s. для аутификатора у меня есть третий телефон °^°
Используйте аутентификатор, который позволяет создавать резервные копии секретов.
Например, Aegis, который поддерживает и сервисы Яндекса.
Когда создаётся 2FA, на экране нередко показывается кукарекод, который нужно отсканировать телефоном. Ну так делаете скриншот и сохраняете его в безопасном месте; когда поломали телефон — берёте новый и создаёте на нём новый 2FA, наводя его на этот самый сохранённый скриншот.
Проще экспортировать всё чохом в JSON. Вдобавок, при этом он шифруется с паролем.
Насчет аутификатора буду знать.. флешку с паролями и листочек не выкидывают... Только вот проблема джсон переписывать долго надо будет...
Это да, но известные мне сайты JSON не показывают, да и 2FA-приложения — тоже.
JSON экспортирует сам аутентификатор. Когда в нём нажимают "экспорт секретов". Опционально он этот JSON ещё и пошифрует, чтобы можно было смело закинуть его в облако. Также аутентификатор умеет экспортировать и по команде, полученной, например, от Tasker, что позволяет организовать создание резервной копии секретов на регулярной основе.
Мне казалось, что QR-код одноразовый. Или по-разному бывает?
На не-андроидах пользуюсь Ente Auth, который вместе с Aegis есть в рекомендациях Privacy Guides
Увы, у RFC6238 есть фатальный недостаток... NIH
Яндекс никаких других аутентификаторов, кроме своего Яндекс.Ключа, не поддерживает. Выяснил это как раз когда из-за его убогой привязки бэкапа к номеру телефона пытался привязать другой аутентификатор.
Ну, пусть и дальше не поддерживает, а я успешно пользуюсь сторонним аутентификатором, разработчик которого реализовал поддержку алгоритма Яндекса.
Странно, я смог подключить Authy. Попробуйте его - его можно ставить на несколько устройств одновременно и синхронизировать.
Яндекс никаких других аутентификаторов, кроме своего Яндекс.Ключа, не поддерживает.
Вообще говоря, вроде как поддерживает. Тоже так думал, и поэтому недавно удивлением наткнулся. Включал двухфакторку там где не было и получил совершенно стандартный TOTP. Вот только совершенно не понял, что именно и где надо выбирать, что так получилось.
Но, вообще, - они сейчас Passkeys умеют, можно на них перейти.
Любопытно, Яндекс нигде не упоминает что есть поддержка стандарта и при попытке отсканировать QR-код обычным приложением для TOTP я получаю ошибку. Но, если отказаться от сканирования кода и ввести его вручную - сгенерированный код успешно принимается. Мдя, специфичные у Яши технические решения. Да и пользоваться этим "хаком" весьма стремно, заявленной поддержки нет - делай что хочешь, навернут очередных велосипедов и все что не в Ключе отвалится. И резервных кодов нет, как так вообще?
А Яшины passkeys, увы - профонация
Yubico Authenticator и FreeOTP не распознают. Закодированный в QR код URI выглядит как otpauth://yaotp/.... При нормальном TOTP вместо yaotp должно быть просто totp. А yaotp это вышеназванный велосипед. Ваш генератор, по всей видимости, занимается поддержкой различных "ноу-хау".
Закодированный в QR код URI выглядит как
otpauth://yaotp/...
У меня прямо сейчас из при переключении на "Пароль + одноразовый пароль" дало в QR именно "otpauth://totp/"
Так что непонятно, как оно выбирает. Возможно, если этот Я.Ключ где-то стоит как-то к учетке привязанный - тогда для него код создает. А если нет, то нет.
Яндекс ключ тоже позволяет резервные копии создавать.
Вот авторы таких "ключей" и "invented-here-аутентификаторов", они как полагают, у меня будет, условно, десяток сервисов, куда я вхожу, и десяток же мобильных приложений, чтобы в них входить? А, случись мне просто поменять телефон на новый, я будут думать, как этот десяток "ключей" (каждый из этого списка!) перенесет свои секреты на новое устройство - там ведь и механизм переноса будет для каждого приложения свой, "этакий"!
Понимаю, что к десяти ключам еще нужно 10 листов А4 носить с собой, а на них распечатка QR и одноразовых кодов, но... мы же берем не тепличный случай, когда два телефона под рукой, когда можно, на крайняк, зайти на каждый сервис, отключить 2FA, а затем с защитой через новый телефон уже заново его включить. Берем вариант, когда мы в отпуске в другой стране, телефон сперли, а надо на новом аппарате всё настроить по возможности более полно - хорошая тема для учений? И что Яндекс и ВК и прочие предложат, в офис с паспортом подъехать?
Только почему-то эта резервная копия в облаке только 1 год после последнего доступа к ней хранится... Почему интересно?...
Кстати - резервная копия это еще и "Облачный Яндекс ключ", можно получать коды из любого браузера, опять таки - по паролю и смс
Сейчас гугловый аутентификатор бекапит ключи в облако. С одной стороны - небезопасно, а с другой - потерять ключи стало сильно сложнее.
Знакомый был "приятно" удивлён этому нововведению, когда у него сняли со всех бирж криптосредства. У него увели гугл аккаунт через расширение браузера и перехват смс и подключили на другое устройство, где установленный гугловский аутентификатор любезно подтянул все ключи, в том числе и от криптобирж. Далее уже имея аккаунт, ключи и в некоторых случая используя всё тот же перехват смс, совершили обмен средств знакомого на незабываемый опыт по безопасности. Теперь он понимает, что даже если ты хранишь вытащенную симку где-то в надёжном месте под ковриком, не значит что смс не придёт или не будет прочитано. И что функция восстановления из облака без запроса дополнительной аутентификации — не всегда хорошая идея.
А что за расширение браузера?
Вообще, я иногда удивляюсь как народ хранит чувствительные суммы крипты на компе с кучей всякого хлама. Всё же кошелёк должен быть или аппаратный или на минималистичной отдельной системе.
А гуглаутентификатор да, стал в какой-то моментмолча бэкапить ключи. Да и на него даже пароль штатно не поставишь.
Иронично, что это было какое-то расширение для работы с криптой, но точно не знаю какое.
Лично я с гугл аутентификатора ушёл, так как помер смартфон с ним. У гугла ещё не было синхронизации, а про сохранение картинки кода я ещё не знал, поэтому мне пришлось знатно потрудиться, чтобы войти в некоторые места. Перешёл на одно из решений, которое делает резервную копию. И после случая со знакомым решил не возвращаться на гугловский.
TOTP алгоритм (RFC 6238) работает весьма просто, там всего два параметра, грубо говоря - это время и секрет. Всё, что вам нужно знать - это секрет. Любое приложение, которое поддерживает TOTP, сможет с ним работать. Всё, что вам нужно сделать - это сохранить секрет в надёжном месте. И коды восстановления на всякий случай. Совсем не обязательно пользоваться Google Authenticator.
У Яндекса не стандартный TOTP, они туда подмешивают третий параметр - пин, который пользователь хранит в голове. Получается эдакая двухфакторность: секрет, хранимый на устройстве + пин, хранимый в памяти человека, и всё это в привязке ко времени.
Поэтому, не все TOTP-аутентификаторы умеют работать с Яндексом.
Я это решил через бекап приложения и экспорт аккаунтов на второй телефон
Похоже в данном случае более защищенным был аккаунт только с паролем без СМС.
Проблема только в том, что похоже в Яндексе его нельзя использовать вместо SMS.
так как смс уже небезопасно
Никогда и не было
sms ВСЕГДА было не безопасно.
"гении" из Яндекса не позволяют привязывать 2fa без привязки по смс. То есть толку от такого - ноль.
del
Дело далеко не только в этом. Дело в том, что SMS по-умолчанию скомпрометирован.
Нет никакого способа определить был ли доступ к тексту SMS у третьих лиц, т.к. он в принципе пересылается в открытом виде. К нему без всяких уязвимостей имеет доступ практически неограниченный круг лиц. Включая службы деятельность которых вообще снаружи никак и никем не контролируется.
В рф при любых юридических тёрках вообще всё вешают на конечного пользователя - "сам сообщил код мошенникам". И нет никакого способа доказать что ты этого не делал. И никаких тебе zero liability policy.
Т.е. выбирает дебильный способ защиты сервис, а отвечает пользователь, что уже имеет логическое и юридическое противоречие.
Нет никакого способа определить был ли доступ к тексту SMS у третьих лиц
Но есть некая тонкость, по которой, я подозреваю, в некоторых случаях от них упорно не хотят отказываться. Эти SMS в логах оператора связи и разных СОРМ-ах оседают. Т.е. есть некое доказательство от третьих лиц, что SMS- было. Как и попытка логина.
Отказываться от них не хотят потому, что имея доступ к СМС через сорм ты имеешь доступ ко всему вообще. И это как раз ни в каких логах оператора не оседает.
Но проблема еще в том, что сормом дело не ограничивается.
А то, что есть доказательство отправки СМС это скорее плохо и будет работать против добросовестного клиента. И да, это тоже удобно всем, кроме клиента.
Вот с одной стороны Яндекс умеет в TOTP (да - Яндекс Ключ это TOTP), с другой стороны при попытке его включить на аккаунте, который не привязан к номеру мобильного телефона, он категорично потребовал сначала привязать номер, а уже только потом он позволит включить TOPT.
При этом если привязываешь номер, то он по умолчанию становится "способом восстановления" доступа к аккаунту и отключить это нельзя.
Т.е. я так понимаю, что при получении доступа к SMS этот TOTP идёт по бороде? Или это я тупой?
Господа из Я. до сих пор ни нормальный TOTP, ни WebAuthn не сделали. Только всра свой велосипед с преферансом и Алисой выкатили. Только СМС и остается. Безопасность пользователей у Яши, увы, не в приоритете.
Нефиг пользоваться их приложением — гугловый аутентификатор (приложение totp) таки отлично работает в том числе и с яндексовым аккаунтом, как и стандартный totp в keepassxc.
Господа из Я. до сих пор ни нормальный TOTP, ни WebAuthn не сделали.
В смылсе WebAuthn не сделали? Вот у них на странице входа 'По лицу или отпечатку' - это оно и есть в вариации Passkeys. А дальше - уж как базовая система и браузер это все умеют.
В реализации Яндекса, passkeys не имеет отношения к безопасности. Это просто быстрый вход на доверенном устройстве, вход по паролю и смс (Я.Ключу) при этом не отключается. Под WebAuthn я имел в виду использование Fido2 ключа в качестве второго фактора, как это сделано у GitHub и других адекватных сервисов.
Под WebAuthn я имел в виду использование Fido2 ключа в качестве второго фактора, как это сделано у GitHub и других адекватных сервисов.
При использовании аппаратного токена (TPM или внешнего) (а браузер+система предлагает такое выбрать, если все что надо поддерживается, при генерации Passkey-я) вторым фактором будет PIN, которым я эту железку открываю.
'Ключ безопасности' - это в терминологии винды USB ключ и есть, вроде как должно работать.
А по поводу полного отключения входа по паролю - это вообще мало кто делает. Тот же github, кажется. не дает полностью пароль выкинуть, если я правильно понимаю соответствующий диалог. Их оставляют на случай восстановления доступа.
EDIT: Сейчас посмотрел на этом самом github. При настроенных 2FA и Passkeys если сразу выбрать 'Sign in with a passkey' - оно работает точно так же. Спрашивает разблокировку кейстора/токена и сразу по выранному passkey пускает, не вспоминая о приложениях 2FA. Так что аргумент еще более непонятен.
В реализации Яндекса, passkeys не имеет отношения к безопасности.
Ну почему не имеет.. Только по SMS войти при включенной 2FA вроде бы нельзя. Я.Ключ тоже подразумевает, что кроме самого ключа я еще как-то устройство с ним открываю.
вторым фактором будет PIN, которым я эту железку открываю.
Я знаю. Просто Яндекс, как уже было сказано, использует passkeys исключительно как облегченную альтернативу для входа, которая не заменяет вход по СМС или Я.Ключ.
А по поводу полного отключения входа по паролю - это вообще мало кто делает.
Я имел в виду не сколько отказ от пароля, сколько отказ от использования СМС и Ключа в пользу webauthn.
Тот же github, кажется. не дает полностью пароль выкинуть, если я правильно понимаю соответствующий диалог. Их оставляют на случай восстановления доступа.
У гитхаба сейчас два варианта использования webauthn.
(новый) Вход по одному passkeys. Не использую, не уверен как восстанавливается доступ при использовании только passkeys.
(старый) Вход по паролю + ключ(и). Для восстановления доступа требует использовать пароль + recovery code.
Я.Ключ тоже подразумевает, что кроме самого ключа я еще как-то устройство с ним открываю.
Увы, в видении Яндекса, 2FA не СМСкой - это только их приложение (которое нафиг не нужно). Есть конечно хак c обычным TOTP, но...
Чтобы включить 2FA в яндекс-аккаунте через этот их велосипед "Яндекс Ключ", который на самом деле внутри всё тот же TOTP, но с попыткой в вендорлок, они требуют привязать номер телефона. Без телефона оно не включается никак вообще. "Очень удобно и безопасно". Всё это безобразие вместо того, чтобы сделать нормальную поддержку современных стандартных методов мультифакторной аутентификации.
Даже на Госуслугах уже есть поддержка обычного TOTP без всяких кривых велосипедов! Но не у яндекса.
к, они требуют привязать номер телефона.
какая-то логика в этом есть - потому что что потом делать, когда человек свой генератор кодов таки ухитрился потерять. Другое дело, что хорошо бы явно спрашивать "При использовании 2FA нужно иметь три способа подтверждения, чтобы использовать запасной, когда один потеряется" и далее предлагать список, чего еще настроить можно.
яндекс ключ дает много секаса при проблеме с телефоном, особенно если прошел год с последнего резервного копирования средствами самого яндекс ключа.
Я со своей первой почтой на яндексе так и встрял. Для продолжения работы с, тогда еще, Яндекс.Деньгами, потребовалось привязать этот Яндекс.Ключ.
Возможности сделать резервную копию, на тот момент, в этом приложении не было, только перенести на другой смартфон, что и было пару раз успешно выполнено.
В один "прекрасный" момент, после открытия Яндекс.Ключа, для выполнения входа в почту, я получил предложение залогиниться в аккаунт ключа, вместо ввода пина. В какой аккаунт логиниться - не ясно, т.к. на момент настройки ключа в нем не было никаких аккаунтов.
Попробовал восстановить доступ к аккаунту почты через ТП, они предложили мне ответить на вопрос "Какой был e-mail отправителя первого полученного вами на этом ящике сообщения?".
Занавес. Они мне предлагают вспомнить кто мне писал 20 лет назад! Серьезно? Улетели в трубу куча сервисов привязанные к этой почте и PDD со всеми ящиками, созданными на нем. После этого перешел на регистрацию в сервисах исключительно на почту со своим доменом. Так хоть, в случае проблем, можно сервис почты сменить/поднять.
P.S.: со слов ТП, вариант приехать в офис Яндекса с паспортом для восстановления доступа не поможет - нет такой услуги.
Как пользователь платного яндекс 360 столкнулся с тем что с некоторого времени пользователи забывшие пароль не могут войти в доменную учетку через смс (у учеток установлено пароль+смс), а через сброс пароля администратором домена можно кое-что потерять.
"Установлено пароль+смс" - с одной стороны понятно почему доменные не могут сбросить пароль через СМС. Но тогда возникает вопрос почему для обычных учеток есть возможность смены через смс.
А что можно потерять? Регулярно сбрасываю , пароли приложений по моему не исчезают
Оп-па, а у меня исчезали. Или надо было заново принять лицензионное соглашение через web-доступ, без этого точно не работал доступ IMAP. В любом случае версию ПО сервера, к которому подключена компания как узнаешь, CI/CD ...
Обманул. Исчезают пароли приложений, сейчас проверил.
Я не имел в виду пароли приложений, после сброса нельзя получить доступ к другим данным связанных с учеткой и паролем от учетки.
Но в тоже время другое личное не связанное с работой не исчезает хотя для пользователя эти данные являются критическим на утечку и не требуют сохранения для пользователя при сбросе (пользователь легко введет эти данные), но эти данные важны для яндекса.
На последний вопрос ответ - потому-что нет администратора, точнее его роль пытается играть государство через симки
мне остаётся лишь гадать почему взломали меня, и что в итоге свистнули с моей почты
За 5 часов свистнуть из ящика они могли все. Хотя в логах вроде нет информации, что выкачивали. Но стоит проверить фильтры и пересылки — может чего добавили.
Зато всех нагибают на обязательную регистрацию номера телефона в учетке..
что в итоге свистнули с моей почты
Скорее всего, "восстанавливали" на нее пароли от сервисов, где была указана эта почта. Так что я бы на Вашем месте спешно пробежался по ним и сменил пароли там.
Интересно, кто нибудь использует свой терминальный аутентификатор типа Golang CLI authenticator for Multi Factor Authentication (в гитхабе как jtbonhomme/gotp)? Интересен опыт использования и проблемы. Уже давно думаю начать использовать для себя в связке с pass/gopass.
я использую oathtool в связке с encfs и самописным скриптом на bash. Опыт использования положительный (не надо каждый раз вставать телефон искать), проблемы с синхронизацией изменений в файлике с ключами между разными компьютерами (приходится делать это вручную) и отсутствие клиента для телефона. Ещё немного смущает, что и обычные пароли, и ключи для TOTP лежат на одном компьютере... Какая же это "двухфакторность" тогда получается?
Спасибо за рассказ. С синхронизацией между множества устройств в gopass нет проблем. Для смарта с линукс тоже не проблема свое поставить если надо, а вот что в 1 месте все находится, это да, проблема.
А если... ну, держать скриптец этот на VPS в интернетах, а для второго варианта доступа приделать к нему телеграм-бот? Т.е. если сидишь за компом, во втором окне открыл консоль этой VPS, и оттуда код элементарно скопировал мышкой. Если же не у компа, либо неудобно по ssh лезть, кидаешь своему боту сообщение, он в ответ с VPS берет код и шлет в телеге, оттуда тоже копируется элементарно.
Вроде телега не самый секурный, по нынешним временам, транспорт, но: 1) не хуже СМС, 2) код через полминуты уже будет никому не нужен, так что в переписке он может висеть сколько угодно, 3) сервер в интернете - это всё же не локальный комп, т.е. кража компа - не даст украсть и генератор, ну и 4) и сервер для скрипта, и бот можно задублировать (сделать два места хранения генератора, и боты запилить через Телегу и (прости Господи) VK-мессанджер (там API есть).
Ну как-то не менее безопасно, чем хранить всё в телефоне, который, в силу экономических причин, сам порой может быть похищения. Ну и телефон ни разу не задублирован, т.е. через N часов работы он имеет право просто умереть.
Позавчера через Яндекс.Музыку прилетело несколько пушей о попытке входа в аккаунт Яндекса. Поменял пароль, пуши приходить перестали. Старый пароль от Яндекса был отдельный и довольно сложный. Получается, или утек (как?) или сменили? Если сменили, то почему после того, как я его сменил сам, попытки входа прекратились? Загадка.
Яндекс: "да привяжите уже номер телефона для повышения безопасности аккаунта!"
Повышенная безопасность аккаунта: полный взлом через сервис рассылки СМС
Прелесть конечно.
Вот буквально - "голый" пароль оказался в разы надёжнее "двухфакторной" авторизации.
Здравствуйте! Я из Яндекса. Пожалуйста, пришлите мне в личные сообщения почту, с которой вы писали в поддержку. Всё проверю.
Чтобы защитить Ваш Яндекс аккаунт вы должны быть не старше 40 лет и не работать в Госорганах, на фрилансе и на фуллстеке
6 октября (воскресенье) утром я обнаружил
«Раппорто» атаковали в ноябре. Какая связь?
В результате атаки злоумышленники получили доступ к таким сообщениям, чем воспользовались для входа в ваш аккаунт. Всего было 496 подобных учетных записей.
Письмо точно от Яндекса? Зачем Яндексу давать подробности о "496 подобных учетных записей" частному лицу? Ненужная для пользователя информация. Техподдержка такое не сообщает.
Почтовые ящики «Яндекса» взломали через платформу рассылки SMS
Вы уверены что у вас достаточно оснований для таких утверждений? Если это не правда, то вы подставляете Habr.
UPD2. Понял, что за 21 лишнее удалённое письмо. Похоже, что если нажать "Отписаться" от рассылки в UI Яндекса, то он просто сразу начинает пересылать письма в папку "Удалённые".
То есть часть ложечек все-таки нашлась.
«Раппорто» атаковали в ноябре. Какая связь?
Хм, я почему-то решил, что атаковали раньше, а опубликоваться они решили только сейчас. Добавлю коммент, спасибо.
Письмо точно от Яндекса? Зачем Яндексу давать подробности о "496 подобных учетных записей" частному лицу? Ненужная для пользователя информация. Техподдержка такое не сообщает.
Вы уверены что у вас достаточно оснований для таких утверждений? Если это не правда, то вы подставляете Habr.
А разве не это они прямо написали в своём письме? Кроме того, администрация Habr имеет полное право поправить меня, если я подобрал неверную формулировку.
То есть часть ложечек все-таки нашлась.
Только в той части, что на мою почту не приходило других писем типа восстановления пароля от других сервисов. Это меня сильно радует, конечно, но ситуацию в целом не меняет.
Хм, я почему-то решил, что атаковали раньше, а опубликоваться они решили только сейчас.
Интересный штрих, что ради одного этого случая был заведён целый новый раздел "пресс-релизы" на сайте :) В прошлый раз, когда потрешили половину инфраструктуры, ничего подобного не было - просто менеджмент носился с криками чайки и принуждал всех подряд пройти полиграф.
Вы уверены что у вас достаточно оснований для таких утверждений? Если это не правда, то вы подставляете Habr.
У меня была точно такая же "симптоматика", только не с утра, а уже вечером 6.10, примерно в 21 час по Мск. Пришла СМСка от Яндекса с кодом доступа, а затем - пуш с уведомлением о том, что в мой аккаунт зашли. Также двухфакторка, пароль сложный, нигде не был засвечен. Я даже долго терзал техподдержку оператора связи на предмет незаконного перевыпуска симки, но там клались и божились, что такого уже быть не может(текущая симка в этом случае блокируется, по их словам).
Ну и письмо я также получил.
Привет!
Я работаю в одном из смс агрегаторов (не раппорто) и тоже попал под взлом. Что интересно, после взлома мне начали названивать "из службы безопасности" или "по поводу замены полиса ОМС", и прочие, хотя ранее таких звонков не было вообще. Видимо попал в какую-то базу, где была связка - номер + почта, и таргетированно решили ломануть.
Краткая история - произошло это ещё 5 сентября, пуш пришёл в моменте, когда я был "в телефоне", по этому между приходом пуша о том, что пасс сброшен и моей реакцией (выход на всех устройствах, смена пароля, установка двухфакторки через google auth) прошло мне 5 минут.
До яндекс банка и прочих не добрались, каких-то "левых" писем или удаления старых тоже не заметил.
Так, как сразу было понятно, что произошло, я накатал обращение в яндекс, они дали номер тикета, но реакции на тикет до сих пор нет, хотя письмо о взломе уже пришло)
Что можно точно сказать - незадолго до взлома, яндекс перешёл к другому агрегатору (переход от одного к другому, это нормально, играются тендеры, демпингуются цены, конкуренция между компаниями, переход может происходить часто), и спустя некоторое время произошёл взлом моей почты (5 сентября), плюс текущая новость - взлом 6 октября, те как минимум месяц, как минимум часть смс ходили через компрометирующий канал.
На сколько я слышал, ЯД долго работали с раппорто, они были основным агрегатором (агрегаторов у ЯДа несколько, как и у всех жирных на рынке) много лет, но на кого ЯД перешёл в момент взлома инфы нет, Исходя из практически единовременного выброса в паблик новости об атаке на раппорто и письма о взломе от Яда, я тоже предположил, что эти события напрямую, что теоретически возможно.
В целом, это не первый случай на рынке, подобные случаи бывают, когда не добросовестные агрегаторы пускают через трафик через третьих лиц, особенно, если это международный трафик
А вот интересно, при взломе агрегатора пострадал один только Яндекс?.. В Яндексе-то еще можно 2фа организовать худо-бедно (чтобы пароль по смс не сбрасывался), а в большинстве банков, например, нет...
Тут есть вариант, что "в дырку" лился трафик только Яда, в таком случае пострадал только он. Если же компрометация была со стороны сотрудника / что-то вредоносное в инфраструктуре сидело / в дырку сливался трафик не только Яда, то пострадать могли все клиенты, что шли через "не безопасную" точку. Тут только предполагать можно, точную инфу может дать только агрегатор, через который трафки шёл тк. только он видит, куда трафик пошёл, но вряд ли это кто-то когда то раскроет на официальном уровне. Разве что какое-нибудь уголовное дело и суд всплывёт,
Думаю, что пострадали все кто пользуется этой платформой. Просто никто про это не рассказывает
Я работаю в одном из смс агрегаторов
Бегите! Сейчас Вас будут бить...
Почтовые ящики «Яндекса» взломали через платформу рассылки SMS