На HG8245T конфиг скачивается из-под telecomadmin (System Tools > Configuration File > Download Configuration File), но имеет бинарный формат — и этот самый telecomadmin / admintelecom в нём, разумеется, не находится…
Очевидно, сервер не может сказать в ответ «у вас неправильный пин», тогда бы очень легко было бы их перебирать. Да и не знает он, что неправильное — пин или еще что-то
Давай ненадолго притворимся, что ничего не знаем о том, как оно устроено внутри — посмотрим как это выглядит для пользователя (а также для злоумышленника). Для начала ограничившись сценарием сканирования QR-кода.
1. Пользователь: вот он вводит PIN, сканирует QR, запрос уходит на десктоп — и тот внезапно говорит «неверная пара логин-пароль». Помогает ли такое сообщение понять пользователю, что он сделал не так, и что нужно исправить? Есть ли хотя бы список для пользователя «что попробовать сделать, чтобы исправить ошибку» — в числе которых будет «проверьте что вы ввели верный PIN»? Кажется, нет => для пользователя всё крайне неинтуитивно.
2. Злоумышленник: вот он решил брутфорсом подобрать PIN-код, и получает ответ «неправильный логин-пароль». Как это мешает ему продолжать перебор? Разве это не «security by obscurity», который уже самим нашим здесь обсуждением сводится на нет? => Злоумышленнику текущая невнятность диагностики практически никак не мешает.
Таким образом, конкретно для QR-кода невнятность не несёт никакой пользы, но явно вредит. Честный пользователь может ошибиться только с вводом PINа (ну и ещё, в теории, тем что взял ключ от другого аккаунта). А ему никак не помогают понять, что он сделал не так.
Для одноразовых паролей всё не настолько однозначно (там честный пользователь может ошибиться и при вводе одноразового пароля), но тоже смысла прятать истинную причину проблемы как-то не видно.
Разобрался с «неверной парой» — это было следствием неверно введённого PINа. Который успешно «принимается» приложением, но затем из-за на вебе него получается «неверная пара». Очень не хватает для таких случаев внятной диагностики — в чём всё-таки проблема, что с такой ситуацией делать.
Всё остальное из моего предыдущего комментария остаётся актуальным, увы.
Сегодня весь вечер не могу залогиниться с 2FA: пробую браузер на iPad (iOS 8.1.1, Safari) и на OS X (Mavericks, Chrome stable); приложение на том же iPad и на iPhone 4 (iOS 7.x); результат за несколько раз стабильный (для всех вариантов):
1) первая попытка: «неверная пара логин-пароль»
2) вторая попытка: QR-сканнер просто не распознаёт код
Ответ «неверная пара» выдаётся и для QR-кода, и для одноразового пароля.
Отдельное неудобство — что при каждом возврате в приложение «ключ» PIN спрашивается заново, даже если я в нём был 10 секунд назад. Второе неудобство — что при переключении между одноразовым паролем и QR-кодом время от времени (не всегда?) переспрашивается PIN-код (зачем?).
В общем, пока я почти готов отключить 2FA как недостаточно надёжную на данный момент.
… а также было бы круто совместить показ одноразового пароля и видоискатель камеры для QR-кода. Чтобы переключение между этими режимами не требовало лишних тапов: один режим не подошёл — другим воспользовался.
> настройку приложения Ключ нужно осуществлять на всех устройствах параллельно, чтобы одновременно ввести коды.
Так и сделал. Теперь одним устройством успешно вхожу; второе же при попытке считать QR-код для авторизации приводит к тому, что на вебе перекидывает на «Войти по одноразовому паролю», а в нём при попытке ввести логин и сгенерированный этим вторым устройством пароль — странное для данного контекста «Неправильная пара логин-пароль! Авторизоваться не удалось.»
1 — это очень неочевидно из всех интерфейсов. А чем вызвано, что нельзя позже добавить второе устройство? Ведь дб нередким сценарием…
2 — с позиций Яндекса приоритеты ясны. Но с моих личных позиций и в моих конкретных условиях — мои риски существенно другие, и вопрос именно исходя из них. Длина пин-кода — вариант, хотя не совсем понял, почему вместо пина не сделать просто произвольный пароль?
Спасибо, интересное решение! Два вопроса и одно пожелание:
1) Как два iOS-устройства сделать доверенными способами авторизации? Сейчас после настройки одного не удаётся добавить аккаунт на другом: на oauth.yandex.ru/access не найти QR-код для этого.
2) Как я могу повысить секьюрность для входа в мобильные приложения на самом iOS-устройстве? Раньше я сам определял, насколько длинным будет пароль (единый, но значит и для iOS-приложений тоже). Сейчас безопасность мобильного приложения снизилась до «завладеть устройством» + узнать «4 цифры» [+разлочить устройство]. Причём эти 4 цифры я ввожу для каждой авторизации на любом устройстве — то есть «свечу» их не реже, чем единый пароль раньше.
Пожелание: окно для считывания QR-кода очень маленькое, например iPad Mini приходится весьма ощутимо отдалять от экрана ноутбука, чтобы «попасть». Можно сделать его практически совпадающим с полным размером экрана?
Открыть банковский счет и получить карту сравнительно легко, но очень дорого. У многих банков есть специальные типы счетов для нерезидентов. Можно даже сделать это по почте, без поездки в бананово-лимонный.
Можете попросить вас привести ещё несколько примеров, кроме Сити? (пусть и с подобными мин. остатками)
К примеру, это позволяет Ситибанк: нужно заполнить форму для открытия аккаунта, после чего менеджер пришлет информацию по дальнейшим шагам. Только минимальный остаток на счёте должен быть не менее $5 000, при этом если сумма меньше $20 000, то добавляется ежемесячный платёж в $30. Так что счёт в Сингапуре — это для богатых.
Вы знаете о чьём-либо реальном опыте открытия в Сити Синг резиденту РФ без посещения офиса? По состоянию на 1.5 месяца назад московский Сити утверждал, что Сингапурский IPB не открывает счета россиянам.
пардон за некропост.
1. Пользователь: вот он вводит PIN, сканирует QR, запрос уходит на десктоп — и тот внезапно говорит «неверная пара логин-пароль». Помогает ли такое сообщение понять пользователю, что он сделал не так, и что нужно исправить? Есть ли хотя бы список для пользователя «что попробовать сделать, чтобы исправить ошибку» — в числе которых будет «проверьте что вы ввели верный PIN»? Кажется, нет => для пользователя всё крайне неинтуитивно.
2. Злоумышленник: вот он решил брутфорсом подобрать PIN-код, и получает ответ «неправильный логин-пароль». Как это мешает ему продолжать перебор? Разве это не «security by obscurity», который уже самим нашим здесь обсуждением сводится на нет? => Злоумышленнику текущая невнятность диагностики практически никак не мешает.
Таким образом, конкретно для QR-кода невнятность не несёт никакой пользы, но явно вредит. Честный пользователь может ошибиться только с вводом PINа (ну и ещё, в теории, тем что взял ключ от другого аккаунта). А ему никак не помогают понять, что он сделал не так.
Для одноразовых паролей всё не настолько однозначно (там честный пользователь может ошибиться и при вводе одноразового пароля), но тоже смысла прятать истинную причину проблемы как-то не видно.
А по остальным пунктам моего предыдущего комментария кто-то из специалистов сможет ответить?
Всё остальное из моего предыдущего комментария остаётся актуальным, увы.
1) первая попытка: «неверная пара логин-пароль»
2) вторая попытка: QR-сканнер просто не распознаёт код
Ответ «неверная пара» выдаётся и для QR-кода, и для одноразового пароля.
Отдельное неудобство — что при каждом возврате в приложение «ключ» PIN спрашивается заново, даже если я в нём был 10 секунд назад. Второе неудобство — что при переключении между одноразовым паролем и QR-кодом время от времени (не всегда?) переспрашивается PIN-код (зачем?).
В общем, пока я почти готов отключить 2FA как недостаточно надёжную на данный момент.
Это несмотря на то, что я пытался «снести» приложение Я.Ключ и установить его заново.
В любом случае, при попытке добавить уже существующий аккаунт с новыми credentials стОит автоматически «убивать» старый, за ненадобностью.
Так и сделал. Теперь одним устройством успешно вхожу; второе же при попытке считать QR-код для авторизации приводит к тому, что на вебе перекидывает на «Войти по одноразовому паролю», а в нём при попытке ввести логин и сгенерированный этим вторым устройством пароль — странное для данного контекста «Неправильная пара логин-пароль! Авторизоваться не удалось.»
2 — с позиций Яндекса приоритеты ясны. Но с моих личных позиций и в моих конкретных условиях — мои риски существенно другие, и вопрос именно исходя из них. Длина пин-кода — вариант, хотя не совсем понял, почему вместо пина не сделать просто произвольный пароль?
Пожелание — вам спасибо!
1) Как два iOS-устройства сделать доверенными способами авторизации? Сейчас после настройки одного не удаётся добавить аккаунт на другом: на oauth.yandex.ru/access не найти QR-код для этого.
2) Как я могу повысить секьюрность для входа в мобильные приложения на самом iOS-устройстве? Раньше я сам определял, насколько длинным будет пароль (единый, но значит и для iOS-приложений тоже). Сейчас безопасность мобильного приложения снизилась до «завладеть устройством» + узнать «4 цифры» [+разлочить устройство]. Причём эти 4 цифры я ввожу для каждой авторизации на любом устройстве — то есть «свечу» их не реже, чем единый пароль раньше.
Пожелание: окно для считывания QR-кода очень маленькое, например iPad Mini приходится весьма ощутимо отдалять от экрана ноутбука, чтобы «попасть». Можно сделать его практически совпадающим с полным размером экрана?
Не обязательно чтобы банк был гонконгским?
> Письмо обязательно должно содержать ваш адрес проживания
Адрес не обязательно в Гонконге?
Вы знаете о чьём-либо реальном опыте открытия в Сити Синг резиденту РФ без посещения офиса? По состоянию на 1.5 месяца назад московский Сити утверждал, что Сингапурский IPB не открывает счета россиянам.
И вдвойне круто, что этот профессионал теперь работает в Яндексе ;-)
Снимаю шляпу!