У меня Альфа банк каким то образом зарегистрировал биометрию и передал ее в гос услуги. Согласия я не давал. На вопрос как так они сказали ну вы же пользуетесь биометрией для входа в приложение (в айфоне распознавание по лицу для входа в приложение) - значит вы дали согласие. Гениально. Такое ощущение что им сверху сказали собрать биометрию (выполнить план). Вопрос для чего?
Проект "Free2FAPlus" предлагает решение для двухфакторной аутентификации (2FA), интегрированное с Telegram и одноразовыми паролями (OTP). Работает это следующим образом:
Логика работы:
Если активирован только OTP, вход в систему без него невозможен.
Если активированы только уведомления через Telegram, вход без подтверждения через пуш-уведомление невозможен.
При активации и OTP, и уведомлений через Telegram: ввод пароля без OTP автоматически отправляет пуш-уведомление через Telegram. Если же к паролю добавлен OTP (разделённые заданным разделителем, по умолчанию "::"), вход в систему осуществляется напрямую, без пуш-уведомления.
Обработка новых пользователей: В случае, если 2FA не активирована и пользователь не зарегистрирован в базе данных, поведение системы зависит от настроек приложения. При активации авторегистрации и разрешении входа новым пользователям без 2FA, создаются учётные записи с Telegram ID, равным нулю. Эти пользователи могут входить в систему без 2FA(если стоит разрешение FREE2FA_BYPASS_ENABLED ) до тех пор, пока администратор не зарегистрирует их вручную (указав ID Telegram) или не разрешит им самостоятельную регистрацию через OTP.
Это решение позволяет гибко настраивать методы аутентификации, обеспечивая удобный и безопасный доступ к системам.
Да вы правы. Пуш рассылается на вашу учетную запись телеграмма и следовательно на те устройства где вы его установили.
Так что злоумышленнику надо знать ваш логин пароль и иметь доступ к одному из ваших устройств. Никакие исключения в free2fa не отменяют ввод логина и пароля.
Обновил сегодня логику обходного пути: вот краткое описание:
Если при запуске приложения не удаётся подключиться к API Telegram, система может продолжать работать в обходном режиме, при условии что опция ALLOW_API_FAILURE_PASS активирована. Это означает, что бот будет автоматически запущен, как только подключение к API восстановится. Если же после запуска бота связь снова прервётся, обходной механизм будет срабатывать автоматически, при условии что он включен. Кроме того, для пользователей, у которых в панели управления отмечен чекбокс Bypass, обходной режим будет активирован постоянно независимо от настройки ALLOW_API_FAILURE_PASS и связи с api telegram.
Я использую библиотеку aiogram и при попытке отправить сообщение если связи с апи нет, то будет ошибка, я ее перехватываю и обрабатываю. Далее пишем в лог warning что связь была потерянна и мы пустили без 2fa пользователя при условии если эта опция ALLOW_API_FAILURE_PASS включена . Если связь налаживается то пуш уведомление отправляется. С вашей стороны никаких действий не требуется. Единственное надо убедится что когда стартует приложение оно подключилось к боту. А иначе не поднимутся слушатели ответов от пользователя. Ну и в случаях блокировки или тотального сбоя всегда можно переключить на виндовый радиус(NPS). Я еще подумаю как можно обыграть эту ситуацию и улучшить этот сценарий с потерей связи с api. Может добавлю OPT как аварийный вариант.
except aiogram_exceptions.TelegramNetworkError as network_err:
logger.warning("Error when sending message: %s", network_err)
if Config.ALLOW_API_FAILURE_PASS:
auth_requests[normalized_username] = True
logger.warning("Allow access [%s] by API failure ClientConnectorError",
normalized_username)
У меня Альфа банк каким то образом зарегистрировал биометрию и передал ее в гос услуги. Согласия я не давал. На вопрос как так они сказали ну вы же пользуетесь биометрией для входа в приложение (в айфоне распознавание по лицу для входа в приложение) - значит вы дали согласие. Гениально. Такое ощущение что им сверху сказали собрать биометрию (выполнить план). Вопрос для чего?
Я сделал версию с интеграцией OTP https://github.com/CLLlAgOB/free2faplus
Проект "Free2FAPlus" предлагает решение для двухфакторной аутентификации (2FA), интегрированное с Telegram и одноразовыми паролями (OTP). Работает это следующим образом:
Логика работы:
Если активирован только OTP, вход в систему без него невозможен.
Если активированы только уведомления через Telegram, вход без подтверждения через пуш-уведомление невозможен.
При активации и OTP, и уведомлений через Telegram: ввод пароля без OTP автоматически отправляет пуш-уведомление через Telegram. Если же к паролю добавлен OTP (разделённые заданным разделителем, по умолчанию "::"), вход в систему осуществляется напрямую, без пуш-уведомления.
Обработка новых пользователей: В случае, если 2FA не активирована и пользователь не зарегистрирован в базе данных, поведение системы зависит от настроек приложения. При активации авторегистрации и разрешении входа новым пользователям без 2FA, создаются учётные записи с Telegram ID, равным нулю. Эти пользователи могут входить в систему без 2FA(если стоит разрешение
FREE2FA_BYPASS_ENABLED) до тех пор, пока администратор не зарегистрирует их вручную (указав ID Telegram) или не разрешит им самостоятельную регистрацию через OTP.Это решение позволяет гибко настраивать методы аутентификации, обеспечивая удобный и безопасный доступ к системам.
Да вы правы. Пуш рассылается на вашу учетную запись телеграмма и следовательно на те устройства где вы его установили.
Так что злоумышленнику надо знать ваш логин пароль и иметь доступ к одному из ваших устройств. Никакие исключения в free2fa не отменяют ввод логина и пароля.
Обновил сегодня логику обходного пути: вот краткое описание:
Если при запуске приложения не удаётся подключиться к API Telegram, система может продолжать работать в обходном режиме, при условии что опция ALLOW_API_FAILURE_PASS активирована. Это означает, что бот будет автоматически запущен, как только подключение к API восстановится.
Если же после запуска бота связь снова прервётся, обходной механизм будет срабатывать автоматически, при условии что он включен. Кроме того, для пользователей, у которых в панели управления отмечен чекбокс Bypass, обходной режим будет активирован постоянно независимо от настройки ALLOW_API_FAILURE_PASS и связи с api telegram.
Я использую библиотеку aiogram и при попытке отправить сообщение если связи с апи нет, то будет ошибка, я ее перехватываю и обрабатываю. Далее пишем в лог warning что связь была потерянна и мы пустили без 2fa пользователя при условии если эта опция
ALLOW_API_FAILURE_PASSвключена . Если связь налаживается то пуш уведомление отправляется. С вашей стороны никаких действий не требуется. Единственное надо убедится что когда стартует приложение оно подключилось к боту. А иначе не поднимутся слушатели ответов от пользователя. Ну и в случаях блокировки или тотального сбоя всегда можно переключить на виндовый радиус(NPS). Я еще подумаю как можно обыграть эту ситуацию и улучшить этот сценарий с потерей связи с api. Может добавлю OPT как аварийный вариант.