Резюме: у ОС всё хорошо, а вот пользователи подобрались неправильные, не видят своего "счастья". И разработчики других программ - тоже не могут нормально написать софт, есть только идеальная ОС, написанная самыми лучшими разработчиками
Т.е. единственная разница в том, что мы вводим не пароль, а хеш от пароля, и в этом безопасность? И по факту, никто не запрещает форме авторизации самой проделать то же самое, что делает тотп генератор и передавать хеш?
(изначальный разговор был про то, что TOTP не второй фактор, он безопаснее тем что в отличие от парольных менедежеров TOTP менеджеров развелось как собак нерезаных и каждый со своими заморочками, что, наверное, чем-то безопаснее для обычного пользователя с паролем qwerty, но технически разницы с паролем никакой нет)
Если пароль хранить также правильно как TOTP, то у него будет такая же безопасность. Но почему-то все рассказывают, что именно нужно отдельное устройство для TOTP, а пароль - ну напиши его на заборе дома напротив, чтобы из окна было видно, когда набираешь. Одинаковые пароли - это именно про это. Хотите, чтобы пароли были разные - выдавайте пользователю пароли сами... Ой, TOTP получился, так его и назовём :)
Да, безопасность щас сломана везде. Миллион способов входа, так что добросовестный пользователь не может войти. а злоумышленник подберёт для себя самый пподходящий.
Один из банков мне в качестве подтверждения входа в приложение прислал PUSH в это же самое приложение и заботливо подставил его, только нажми кнопку Войти
Да, тут согласен. Если отобрали телефон, в котором сохранён пароль, то можно обойти всё. Но подобная атака всё-таки достаточно активная и владелец телефона в это время или сидит на стуле связанный и готов и так всё рассказать, или в лучшем случае бежит блокировать сим.карту и выпускать новую. А телефон ещё обычно под отпечатком, пин кодом, паролем.
Поэтому парольный менеджер и генератор TOTP должны быть в разных железках.
Должны, но мало кто так делает. А кто делает вполне может разделить собственный пароль на две части и хранить в разных железках :) Будет тот же уровень безопасности
Это плохой фактор, но тем не менее, в отличие от TOTP это именно другой честный фактор. И угнав SMS, но не зная пароль - взлома не будет, также как если угнать пароль, но не иметь доступа к SMS - тоже взлома не будет. А вот угнав парольный менеджер с паролем и TOTP - уже можно всё получить
Так обычные пароли можно посолить, заюзать какой-нибудь scrypt. А вот с TOTP хуже. Серверу нужно знать исходный пароль для TOTP, чтобы аналогичным алгоритмом сгенерить число и сверить с тем, что выдал пользователь. Так что шифрование должно быть обратимое
Я понимаю о чём вы, но всё-таки SMS - владение конкретным устройством (SIM картой) и кроме варианта её украсть/сделать дубль обойти это нельзя, заранее узнать код нельзя. А биометрия - в целом да, тот же пароль, сгенерированный по вашему лицу/голосу, это очень плохой фактор.
Однако, если TOTP генерируется в том же парольном менеджере, что пароль хранит - то фактор один (сломав парольный менеджер получаем доступ).
Т.к. с TOTP мне никто не запрещает хранить в одном парольном менеджере всё, получается один фактор. При этом пароль можно банально запомнить и нигде не хранить, т.е. угнать его становится даже сложнее и TOTP не добавляет безопасности.
Идём дальше - пароль можно угнать с вашего устройства, во время передачи человеком посередине и слить базу самого сервиса. И ни в одном случае TOTP не добавляет дополнительной безопасности (в базе сервиса рядом с вашим паролем будет пароль TOTP, руткит на вашем устройстве также достанет TOTP, человек посередине - да ему проще куки забрать и дальше под вами ходить).
Один пароль мы знаем, вторым владеем? Вам не кажется это какой-то игрой слов? SMS реально проверяет владение в данный момент, а один TOTP я могу установить на 10 устройств одновременно, записать в блокнотик его пароль и генерить по запросу каждый раз.
А в каком месте TOTP - второй фактор? Это такой же пароль, просто ещё один. А то, что вы пытаетесь его защитить, используя аппаратное хранилище - так вы и обычный пароль можете также безопасно хранить
Вот как раз не уверен. В документе написали cookies, значит cookies. Здравый смысл подсказывает, что любые технологии, но ищут где светло и cookies легко отследить автоматически, а вот sessionStorage - и как оно используется (кеширование данных, например), это уже серьёзная задача
Скорее всего сверху лежит какая-то кеширующая прокся, анализирующая текст (например, ссылки править или искать ключевые слова). Она получает на вход блок байт, декодирует в строку, анализирует и посылает дальше. С некоторой вероятностью есть шанс попасть на разрыв Code Point и получить квадратик. В своё время Microsoft этим страдал и ещё много кто. Хороший пример "удобства" UTF-8
Резюме: у ОС всё хорошо, а вот пользователи подобрались неправильные, не видят своего "счастья". И разработчики других программ - тоже не могут нормально написать софт, есть только идеальная ОС, написанная самыми лучшими разработчиками
А не могли бы вы уточнить. Реально есть OLIVIYA стриминг, или гениальные разработчики из сбера нашли в строке OLIVIYA слово IVI и им этого хватило?
Т.е. единственная разница в том, что мы вводим не пароль, а хеш от пароля, и в этом безопасность? И по факту, никто не запрещает форме авторизации самой проделать то же самое, что делает тотп генератор и передавать хеш?
(изначальный разговор был про то, что TOTP не второй фактор, он безопаснее тем что в отличие от парольных менедежеров TOTP менеджеров развелось как собак нерезаных и каждый со своими заморочками, что, наверное, чем-то безопаснее для обычного пользователя с паролем qwerty, но технически разницы с паролем никакой нет)
Если пароль хранить также правильно как TOTP, то у него будет такая же безопасность. Но почему-то все рассказывают, что именно нужно отдельное устройство для TOTP, а пароль - ну напиши его на заборе дома напротив, чтобы из окна было видно, когда набираешь. Одинаковые пароли - это именно про это. Хотите, чтобы пароли были разные - выдавайте пользователю пароли сами... Ой, TOTP получился, так его и назовём :)
Там был именно Push. Судя по всему, разработчики сделали вначале SMS, потом для экономии сделали Push и всё продолжило красиво работать.
Да, безопасность щас сломана везде. Миллион способов входа, так что добросовестный пользователь не может войти. а злоумышленник подберёт для себя самый пподходящий.
Один из банков мне в качестве подтверждения входа в приложение прислал PUSH в это же самое приложение и заботливо подставил его, только нажми кнопку Войти
Да, тут согласен. Если отобрали телефон, в котором сохранён пароль, то можно обойти всё. Но подобная атака всё-таки достаточно активная и владелец телефона в это время или сидит на стуле связанный и готов и так всё рассказать, или в лучшем случае бежит блокировать сим.карту и выпускать новую. А телефон ещё обычно под отпечатком, пин кодом, паролем.
Должны, но мало кто так делает. А кто делает вполне может разделить собственный пароль на две части и хранить в разных железках :) Будет тот же уровень безопасности
Это плохой фактор, но тем не менее, в отличие от TOTP это именно другой честный фактор. И угнав SMS, но не зная пароль - взлома не будет, также как если угнать пароль, но не иметь доступа к SMS - тоже взлома не будет. А вот угнав парольный менеджер с паролем и TOTP - уже можно всё получить
Так обычные пароли можно посолить, заюзать какой-нибудь scrypt. А вот с TOTP хуже. Серверу нужно знать исходный пароль для TOTP, чтобы аналогичным алгоритмом сгенерить число и сверить с тем, что выдал пользователь. Так что шифрование должно быть обратимое
Я понимаю о чём вы, но всё-таки SMS - владение конкретным устройством (SIM картой) и кроме варианта её украсть/сделать дубль обойти это нельзя, заранее узнать код нельзя. А биометрия - в целом да, тот же пароль, сгенерированный по вашему лицу/голосу, это очень плохой фактор.
Т.к. с TOTP мне никто не запрещает хранить в одном парольном менеджере всё, получается один фактор. При этом пароль можно банально запомнить и нигде не хранить, т.е. угнать его становится даже сложнее и TOTP не добавляет безопасности.
Идём дальше - пароль можно угнать с вашего устройства, во время передачи человеком посередине и слить базу самого сервиса. И ни в одном случае TOTP не добавляет дополнительной безопасности (в базе сервиса рядом с вашим паролем будет пароль TOTP, руткит на вашем устройстве также достанет TOTP, человек посередине - да ему проще куки забрать и дальше под вами ходить).
Один пароль мы знаем, вторым владеем? Вам не кажется это какой-то игрой слов? SMS реально проверяет владение в данный момент, а один TOTP я могу установить на 10 устройств одновременно, записать в блокнотик его пароль и генерить по запросу каждый раз.
А в каком месте TOTP - второй фактор? Это такой же пароль, просто ещё один. А то, что вы пытаетесь его защитить, используя аппаратное хранилище - так вы и обычный пароль можете также безопасно хранить
Вот как раз не уверен. В документе написали cookies, значит cookies. Здравый смысл подсказывает, что любые технологии, но ищут где светло и cookies легко отследить автоматически, а вот sessionStorage - и как оно используется (кеширование данных, например), это уже серьёзная задача
Чисто технически - session/local storage и API запросы к беку где гоняется этот параметр в заголовках/теле/урле запроса (главное, что не в куках)
Заметьте, Meta - не содержит строчки bot, чтобы не завернули как раз. А все приличные как раз указывают
А я считал, что от усталости и задолбанности революционный матрос Железняк впал в рекурсию. О данном моменте никогда не думал
Это понятно, но уже сложнее (причём может быть сильно). Условно, у вас есть код вида:
И всё кое-как работает. А тут придётся делать ещё буфер, клеить его, следить.
И да, этот подход неправильный, но, судя по всему им активно пользуются, иначе бы квадратики не появлялись
Так AMOLED же с избытком зелёных пикселей и недостатком остальных. При хорошем зрении экран на низком разрешении становится в клеточку
Скорее всего сверху лежит какая-то кеширующая прокся, анализирующая текст (например, ссылки править или искать ключевые слова). Она получает на вход блок байт, декодирует в строку, анализирует и посылает дальше. С некоторой вероятностью есть шанс попасть на разрыв Code Point и получить квадратик. В своё время Microsoft этим страдал и ещё много кто. Хороший пример "удобства" UTF-8