Комментарии 38
Маленькое уточнение, отсканировать на устройстве в приложении гугла, ютуба.. где осуществлён вход в учётную запись. Для самой, компании это конечно же в первую очередь, экономия и "избегание" работы с не дружественными странами, для пользователей это большие неудобства, начиная от необходимости следить за списком авторизированных устройств и их доступностью. И вроде это уже для нас с вами работает и не первый месяц.. например, если переустановил приложение ютуб, то единственный предлагаемый способ подтверждения - отсканировать qr код на другом авторизированном устройстве, если устройство недоступно, то только обращение в поддержку..
Чушь какая-то. А если нет смартфона, и сканировать нечем, то как зайти в почту с компьютера?
1) 2FA -- великое зло. Ибо ФСБ может клонировать или забочить вашу симку. Пароль тоже могут украсть или взломать. Но тут только вы хозяин. И не зависите от сотовых операторов.
2) Регистрация при помощи телефона -- это вообще зло, ибо не только нарушает принцип анонимности, но и привязывает вас к оператору.
Хорошо, что пока много сервисов не требуют телефон.
Например, каких? В РФ к примеру последний не требовавший привязки сервис в РФ Рамблер после покукпи Сбером прикрутил туда ожидаемо СберИД через номер телефона естественно. Что из запада не требует телефон даже не знаю. Кажется уже все.
1) Facebook, X, Tumblr, Flickr, Pinterest, Reddit, Linkedin.
2) Element, Zoom, Skype, Discord.
3) Yahoo, AOL, Proton.
Вот про дискорд не надо ляля.
И про линкдин
Они не требуют его при регистрации. Вы можете его потом привязать.
Это неправда. И один и второй мне вытрахали все мозги на моменте регистрации только через смс. Все остальные да, либо не требуют, потому что в прнципе за секьюрность, либо потом можно, но не нужно.
Я не буду с вами спорить. Мой личный опыт регистрации в обеих сетях. После бана телефона в лдискорде я ждал год анбана. Да у меня один был тогда номер. В линкдине же у меня забанены все учетки что с номером из рф, что из рб, что из юк тупо по геопринципу, хотя я тразался с вепежном по всякому. Каждый раз бан прилетал в течении суток перманентный. Без ввода телефона регистрация ни там ни там не проходила. Саппорт мягко и не очень мягко намекает на неудачную геолокацию. А в пейпале вообще при включении 2фа что по номеру что по коду из приложки также прилетел бан на две учетки где при обращении меня откровенно было озвучено что паспортом не вышел.
Дис просит телефон только если у вас статус модератора (или выше) на каком-нить сервере (хотя может быть есть и иные варианта 2FA). Если простой участник, то нет.
В дискорде владелец сервера может включить режим "не пускать тех, у кого не привязан телефон". И если вам нужно попасть на этот конкретный сервер, никуда вы не денетесь.
Хорошо, что пока много сервисов не требуют телефон.
Сейчас даже на несчастное стандуп-выступление неизвестных комиков или спортивный матч с на 90% пустыми трибунами без номера телефона билет не купишь.
1) 2FA -- великое зло. Ибо ФСБ может клонировать или забочить вашу симку. Пароль тоже могут украсть или взломать. Но тут только вы хозяин. И не зависите от сотовых операторов.
Только если идёт речь о 2FA по SMS. Если другими методами - TOTP, WebAuthn - то это хорошая тема, при условии, что пользователь сумеет восстановить доступ при потере устройства с генератором одноразовых ключей (например, хранит резервные коды надёжно, либо хранит сам общий секрет). Всегда по возможности избегаю 2FA по SMS и использую другие методы, к которым извне проблематично получить доступ.
2FA -- великое зло
Не надо подменять понятия. СМС тут вообще не обязательно. А некоторые и однофакторную аутентификацию по СМС делают. Без альтернатив. И вот это действительно зло.
Сначала убрали отправку кода на номер телефона по умолчанию (теперь для восстановления пароля нужно ввести (знать) номер телефона, хотя это не всегда и тяжело..). Дальше хотят совсем избавиться от номера телефона (Google Authenticator хоть не локально сохраняет свои данные, но лучше использовать что-то другое). Вот только зачем QR если можно просто подтверждать вход с помощью Уведомления Google на телефоне, в котором выполнен вход в аккаунт, не понятно. Удобство? Возможно.
В частности, вместо ввода номера и получения кода пользователи увидят QR-код, который будет нужно отсканировать при помощи камеры смартфона.
То есть теперь нужно 2 телефона?
На YouTube уже давно такой подход реализован. Яндекс, кстати, тоже по такому принципу аутенфицирует пользователей (Я+)
Но в яндексе наконец то можно использовать сторонний агрегатор паролей, а не только всратый яндекс ключ.
Некоторые сторонние генераторы имели поддержку яндексовского алгоритма. А сейчас можно и вообще стандартный TOTP, да.
Ух ты. А я и не знал! @hqqddy, @dartraidenА когда яндексоиды изменили архитектуру создания паролей? Я нигде не видел их официального заявления... Сейчас поискал и нигде не нашёл ничего об этом.
Они не меняли алгоритм. У них по-прежнему "Ключ" представляет собой нестандартный "TOTP с подмешанным пользовательским PIN". Но в настройках аккаунта теперь есть и вариант со стандартным TOTP.
"Одноразовый пароль" - это их велосипед (этот алгоритм поддерживает, например, аутентификатор Aegis, но, в целом, это нестандартно). "Пароль + одноразовый пароль" - классическая схема "логин/пароль + TOTP" (поддерживается любым уважающим себя аутентификатором). Объявлений я не видел, случайно сам заметил.
Дорогой Александр (@dartraiden), Вы просто удивительно наблюдательны и я даже не знаю как Вас отблагодарить🙏. Самое смешное, что в опциях, которые Вы привели выше, везде всё так же написано "Я.Ключ", подразумевая на ихний собственный уникальный алгоритм, то есть и как Вам вообще в голову пришло это проверить и узнать об этом "обновлении"? :):). Я только что провёл тест на левой почте (которую не жалко потерять) и действительно, выбирая пароль плюс одноразовый ключ -- прекрасно привязывается к любому TOTP приложению, то есть при выборе такой опции, в отличии от того что было все последние 7 лет (если память не изменяет), происходит генерация одноразового пароля стандартным способом, а не через ж**у. Александр, вы просто мой спаситель! У нас уйма корпоративных почт Яндекса и я много лет мучился в качестве безопасника..., потому что у Яндекса ихний "ключ" это невероятно глючное и недоработанное г.. А привязать все почты, тем более самые главные, к нормальному TOTP генератору было невозможно. Да, в последние годы был Aegis и где-то было и дополнение в keepass, но на моей памяти, лет 5 назад Яндекс просто тупо ИЗМЕНИЛ алгоритм в своём ключе и тогда был жуткий балаган. Войти было невозможно от слова никак, запасных кодов как в google у них не бывает, ихнее запасное копирование в я.ключе в облако тоже то ещё г., которое то работает, то нет... А общаться с ихней тех.поддержкой, это по моему мнению ад в десятой степени. При наличии всех данных, телефона, секретного вопроса, да даже при дачи им паспорта, даже это не всегда помогает вернуть аккаунт. Помнится тогда потеряли кучу рабочих почт и волосы немного поседели)), одним словом, жесть. На смс в качестве второго фактора полагаться недостаточно безопасно, тем более в корпоративной среде, да и сам Яндекс порой глючит и тупо не высылает смс, я уже не говорю про перехваты смс-ок и мошеннический выпуск симок...
Александр, то, что меня всё ещё удивляет и настораживает во всей этой "новости", так это всё же два момента:
1) Яндекс не объявил об этом обновлении. Я прошерстил поисковик, спросил даже их нейронику, везде всё по старому -- Я.ключ и уникальный велосипед самого Яндекса, а не то, что мы видим сейчас ("обычный мировой стандарт"). Хотя в их базе знаний я и вижу строку
"На любой сервис или в приложение Яндекса можно войти по картинке, с помощью QR-кода или по паролю + одноразовому паролю из приложения Яндекс Ключ или другого приложении на базе алгоритма TOTP RFC". Но у них и до этого было написано слово TOTP (когда работал только их личный, а не стандартный), поэтому всё ещё нет гарантии...
2) Яндекс известен своими "шалостями", то есть полагаться на них нельзя. Допустим я сейчас настрою сотню почт на стандартный TOTP генератор KeePassXC, а эти умники решат, например через год, вдруг в одностороннем порядке и без никаких объявлений (как они в 90% случаев и делают) просто снова УБИТЬ эту возможность, и откатить обратно к своему "уникальному" алгоритму создания одноразовых паролей. А значит в один прекрасный день, ты просто не сможешь войти в аккаунт и сотни почт повиснут в воздухе. А иметь дело с их тех.поддержкой, это примерно как общаться с неандертальцами, шаблонные ответы, тупизна и твердолобость до предела. Короче, можно не только потерять кучу нервов, но и остаться без почты со всеми вытекающими.
Как Вы считаете, Александр, можно положиться на благоразумность Яндекса, я в том смысле, что это действительно однозначное обновление, которое они выкатили для всех (хоть и "секретно"). А не просто, даже, допустим, тестирование с их стороны или ещё что? Одно дело личная почта, совсем другое сотни корпоративных почт завязать на это дело. Уже написал в их тех.поддержку в чате, получил ответ попуаса - расплывчатый, неоднозначный, да и сам чел видно о TOTP знает из каких-то сериалов о хакерах...
В любом случае вообще было бы неплохо отдельную новость на Хабре запилить, чтоб народ просто хотя бы увидел и узнал об этом (потенциальном?) ПРАЗДНИКЕ😃😅
Я аппаратные ключи ещё Рутокен MFA и Yubikey Security Key использую для входа в Яндекс ID и VK ID, не говоря уже о Google, Microsoft и GitHub. Вполне работает тоже. Периодически публикую в комментариях, даже на Дзене небольшую статью написал, но, похоже, мало кто пользуется.
Здравствуйте, Константин@kvk-2019!
Я нашёл Вашу статью, но то-ли я дурак, то ли Вы заблуждаетесь, но к Yandex-ID нет возможности привязать сам ключ Yubikey. А есть возможность скачать стороннее приложение генерации кодов TOTP (https://www.yubico.com/support/download/yubikey-manager/) для юбики, но смысл тогда в чём? Чем это конкретно отличается от обычного TOTP приложения в том же KeePassXC, если нет привязки к железу юбики? Получается не привязка к самому ключу, а просто обычный TOTP. А сам Яндекс не позволяет привязать ключи в качестве "passkey", хотя тот же Вконтакте и даже mail.ru позволяют это сделать по моим последним тестам год назад. Кстати, yubikey прекращают поддержку своего отдельного компьютерного приложения для генерации кодов -- цитата с их сайта
""We have officially announced the End of Life of YubiKey Manager GUI on February 19, 2025, in line with Yubico’s End-of-Life policy. YubiKey Manager GUI will reach its End of Life on February 19, 2026.""
То есть, в итоге получается, что Вы привязываете не сам Юбики в качестве passkey (т.е. с привязкой к уникальному ЖЕЛЕЗУ), а создаёте обычный TOTP по секретному ключу "seed", который выдаёт Вам яндекс-id. Но это же можно делать (теперь после этого таинственного "обновления" со стороны Яндекса) и в любом другом totp аутентификаторе! Безусловно, это тоже прекрасно, кто бы спорил. Тут проблема в том, что у Яндекса семь пятниц на неделе и они со своей непоследовательностью, могут просто прихлопнуть эту опцию или изменить (снова) способ генерации одноразовых паролей как было пару лет назад, и все мы, кто генерирует не через их алгоритм в Яндекс-Ключе, останемся в глубокой попе (писал об этом в своём предыдущем комментарии). Вот о чём я беспокоюсь. Плюс ко всему, я тестировал в конце 2023 года привязку Yandex-ID к обычному TOTP генератору и получил хренушки. Только Aegis (кроме их собственного Yandex-Ключа) справился, да и то, его разработчики в гитхабе на мой вопрос им предупредили, что Яндекс порой односторонне меняет алгоритм создания и они НЕ гарантируют работоспособность в будущем. Вот о чём я советовался с Александром (@dartraiden) выше и что лично меня пугает. Тем более, что никаких официальных заявлений яндексоиды не делали и об этом нигде ничего не упоминается... Поэтому слова Александра были для меня невероятной (и приятной:-)) неожиданностью. И да, теперь привязывать любое приложение можно (они просто делают по мировому стандарту, а не по "собственному"), но надолго ли? И почему везде об этом тишина. Если бы не случайно прочтённый комментарий Александра, я бы в жизни не узнал об этом... :(
Там не моя статья. Моя вот :) А это результат:
С телефона... только с телефона даёт такое провернуть. Цитата из Вашей статьи
"Начнём с того, что аппаратный ключ для Яндекс ID полноценно мне не удалось подключить на компьютера с Windows (10). Удаётся только на смартфоне Андроид"
Ну вот и разгадка.
Нет, такое не подходит (долго расписывать почему).
Тот же вконтакте и мэйл.ру, да и любой достойный сервис (гугл, гитхаб..) дают на компьютере привязать ключи под любой операционкой (проверял на винде, маке и линуксе). А эти яндексоиды, ну всё у них не как у людей.
Кхм кхм.
Статья кстати хорошая. Плюсанул и подписался на Ваш блог, интересно пишете :).
Я не очень понимаю. Если я потерял телефон и купил новый. Я смогу отсканировать код на новом?
Это ужас. Я вчера пытался зайти на сайт через гугловский OpenID, и сдался. Оно после подтверждение через приложение Gmail вывалило QR-код. Ближайшее второе устройство с этим аккаунтом и камерой в 3000 км от меня. При попытке сделать скриншот шторка с кодом сначала заботливо уезжает вниз, и только потом делается скриншот (Apple iOS). Придётся TOTP включать. Надеюсь, такая возможность есть.
Google откажется от SMS-аутентификации в Gmail и внедрит QR-коды