• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • В этом разделе можно публиковать только уникальные статьи, которые имеют уникальность по сервису text.ru свыше 90% !
    За несоблюдений правил раздела будете оштрафованы или заблокированы.
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Акулы пера Пару слов о 2FA и U2F

Jess1e_James

Гардемарин
Местный
Регистрация
26.12.19
Сообщения
152
Онлайн
7д 10ч 45м
Сделки
0
Нарушения
0 / 1
Вы слышали это сто раз: используй надежный пароль! На Вашем ПК скорее всего установлен KeepassXС (если нет, то самое время), все ваши пароли состоят из 99 символов энтропийного совершенства, что позволяет вам чувствовать себя цифровым Халком. Но что, если ваш компьютер заражен вредоносным ПО? Что, если эта вредоносная программа отсылает все ваши пароли на какой-нибудь сервер, а далее они продются на каком-нибудь маркете? Что если сам KeepassXС уязвим, и приводит к утечке всех ваших паролей, или если служба, в которой вы зарегистрированы, недостаточно эффективно защищает ваш пароль? В каждом случае вы лишаетесь своих аккаунтов, если, конечно, вы не используете двухфакторную аутентификацию.



Действительно, сейчас двухфакторная аутентификация (2FA) - лучший практический способ защитить себя от всех этих угроз. Все, что влечет за собой 2FA, - это просто наличие второго фактора(слоя), отличного от пароля, который необходим для входа в определенную службу. Часто говорят, что эта комбинация состоит из того, что вы знаете (ваш пароль), и того, что у вас есть (второй фактор). Исходя из здравого смысла: взломать пароль и отдельный механизм аутентификации гораздо сложнее, чем один только пароль. Конечно, вторым фактором может быть сканирование отпечатков пальцев, секретный вопрос или смарт-карта, но сейчас наиболее популярным способом использования 2FA является временный код, который либо отправляется на ваш телефон в виде текстового сообщения, либо генерируется с помощью аутентификатора в приложении.



Включить ее не сложно. Как правило, все, что вам нужно сделать, это войти в любую используемую вами службу, которая поддерживает 2FA (список можно найти здесь) перейти к настройкам учетной записи и включить 2FA. Скорее всего, сайт запросит у вас номер телефона, на который будет отправлено текстовое сообщение, или предоставит вам QR-код для сканирования с помощью приложения для аутентификации, такого как Google Authenticator или Authy. Затем вам просто нужно подтвердить полученный код, который вы указали в тексте или в приложении, и все. Теперь каждый раз, когда вы входите в систему, вам будет предложено ввести код, который работает как одноразовый пароль (OTP), то есть он работает только один раз, и каждый раз, когда вы входите в систему, он будет другим.



Если оставить все как есть, мы можем в конечном итоге оказаться в неприятной ситуации, скажем, потеряв наш второй фактор (обычно наш телефон), мы потеряем возможность войти в наши аккаунты. К счастью, большинство веб-сайтов осознают этот риск и предоставляют альтернативный механизм входа на всякий случай. Например, Google и Github предоставят вам список одноразовых кодов, которые вы можете распечатать и хранить в надежном месте. Кроме того, сайт может позволить вам зарегистрировать резервный номер телефона, которому вы доверяете. Каждый метод позволяет вам восстановить свою учетную запись, чтобы вы могли либо отключить 2FA, либо установить новый второй фактор.



Однако, учитывая все сказанное, 2FA не является пуленепробиваемой. Все чаще используются такие схемы, которые могут перехватывать ваш СМС код или вы его введете самостоятельно на фишинговом сайте. В особо экзотичных случаях или если вы богатенький Буратино, вашу сим-карту могут скопировать (SIM-свопинг). Ну, а на банальный разводняк типа: «Здравствуйте! Меня зовут, Сергей! Я из Сбербанка, скажите мне код который пришел Вам на телефон.», думаю никто из обитателей форума не купится, а скорее сами такое могут исполнить. Значит ли это, что не стоит использовать 2FA? Нет! Даже с таким риском, 2FA все еще значительно повышает вашу защиту.

Если вам не спокойно и хочется получить максимальный уровень безопасности, то можете приобрести аппаратное устройство аутентификации (например, специализированный USB-ключ), которое поддерживает относительно новый протокол, называемый универсальным вторым фактором (U2F), например: Ключ безопасности Yubikey. По сути, U2F предлагает наилучшую защиту от кражи аккаунта. Его также проще использовать, чем одноразовые пароли. Все, что вам нужно делать при каждом входе в систему - это нажать кнопку на ключе, а не вводить код вручную. К сожалению, не многие сайты и браузеры в настоящее время поддерживают U2F, поскольку это все еще довольно новый протокол. Список сервисов, которые его поддерживают, можете также найти здесь. Если вы хотите, чтобы другие службы начали его поддерживать, можете связаться ними и попросить внедрить данную технологию.
 

Andrey1233

Незнакомец
Читатель
Регистрация
09.09.17
Сообщения
10
Онлайн
41м
Сделки
0
Нарушения
0 / 0
Потерять пароль можно в любом случае
 

Flo_Master

Пират
Читатель
Регистрация
25.07.20
Сообщения
83
Онлайн
6д 4ч 24м
Сделки
0
Нарушения
1 / 1
у меня вечно головняк с этими паролями, постоянно забываю куда их засовываю, недавно понаскребал всё, кинул на флешку и удалил с компа. Но эт не выход
слышал про проги типа KeepassXС, но впадлу до сих пор
 

Kolyaska

Незнакомец
Читатель
Регистрация
25.07.20
Сообщения
11
Онлайн
2д 1ч 23м
Сделки
0
Нарушения
0 / 0
Пароли это хорошая тема !
 

PanZerA

Боцман
Писатель
Регистрация
26.12.19
Сообщения
298
Онлайн
16д 14ч 54м
Сделки
0
Нарушения
5 / 3
По итогу прочтения, можно сказать следующее:
1) Если Вы нахрен никому не нужны, но являетесь полным дибилом, то все пароли, при любых защитах будут слиты.
2) Если Вы нахрен никому не нужны, но НЕ являетесь дибилом, то вируса сливающего пароли у Вас нет, а значит - всё безопасно!
3) Если Вы засветились и теперь кому-то ОЧЕНЬ сильно нужны, то и 2FA, и U2F, не только защитить не смогут, но и сами станут дополнительной уязвимостью в защите.
Вывод: Станьте нахрен никому не нужным! Анонимность предоставит больше гарантий безопасности.
 

Jess1e_James

Гардемарин
Местный
Регистрация
26.12.19
Сообщения
152
Онлайн
7д 10ч 45м
Сделки
0
Нарушения
0 / 1
По итогу прочтения, можно сказать следующее:
1) Если Вы нахрен никому не нужны, но являетесь полным дибилом, то все пароли, при любых защитах будут слиты.
2) Если Вы нахрен никому не нужны, но НЕ являетесь дибилом, то вируса сливающего пароли у Вас нет, а значит - всё безопасно!
3) Если Вы засветились и теперь кому-то ОЧЕНЬ сильно нужны, то и 2FA, и U2F, не только защитить не смогут, но и сами станут дополнительной уязвимостью в защите.
Вывод: Станьте нахрен никому не нужным! Анонимность предоставит больше гарантий безопасности.
1) u2f именно от этой проблемы
2) 2fa помогает как раз в том случае если сам пароль слит
3) Смотря кого имеете ввиду. В случае если Вы известный инвестор в криптовалюту и ключ украден БЕЗ Вас(в комплекте так сказать), то Ваше утверждение сомнительно. Если под кем-то Вы подразумеваете "людей" в погонах, то статья не об этом.
Вывод: Думать о безопасности, нужно ДО того как что-то случилось! Стать назрен никому ненужным и НЕ являться дебилом НЕ даст Вам гарантии безопасности.
 

PanZerA

Боцман
Писатель
Регистрация
26.12.19
Сообщения
298
Онлайн
16д 14ч 54м
Сделки
0
Нарушения
5 / 3
В случае если Вы известный инвестор в криптовалюту и ключ украден БЕЗ Вас(в комплекте так сказать),
Ну.. Если без меня, то - некомплект :)
Если я известный инвестор, это значит что мой "белый" бизнес защищен существеннее чем 2FA или U2F. Эта защита выстроена на уровне документов, страховок и службы безопасности, а не призрачных хранилищ паролей и смс-ок.
А вот если у меня "чёрный" бизнес, то все эти 2FA и U2F - прямой указатель на конкретное железо, по отпечатку которого меня и будут искать. Иными словами, это маячок который приведёт ко мне, а значит не защита, а проблема!
Удобны эти защиты, в том случае, когда у меня есть пара-тройка аккаунтов, которые приносят мне стабильно пару-тройку сотен долларов в месяц (сумма условна, не стОит к ней придираться), и я очень боюсь потерять этот источник дохода.
P.S. Чтобы красть у меня ключи и пароли, нужно знать что у меня они есть, а это значит - анонимность на нуле. Какие б я защиты не ставил, если мной серьёзно заинтересуются серьёзные люди - не поможет ни 2FA ни U2F.
 

Jess1e_James

Гардемарин
Местный
Регистрация
26.12.19
Сообщения
152
Онлайн
7д 10ч 45м
Сделки
0
Нарушения
0 / 1
Если я известный инвестор, это значит что мой "белый" бизнес защищен существеннее чем 2FA или U2F. Эта защита выстроена на уровне документов, страховок и службы безопасности, а не призрачных хранилищ паролей и смс-ок.
И так бывает, вот ему бы помог u2f ключ или 2fa настроенная с помощью Google Authenticator
Россиянина тоже таким способом кинули на 700k
 

PanZerA

Боцман
Писатель
Регистрация
26.12.19
Сообщения
298
Онлайн
16д 14ч 54м
Сделки
0
Нарушения
5 / 3
И так бывает, вот ему бы помог u2f ключ или 2fa настроенная с помощью Google Authenticator
Россиянина тоже таким способом кинули на 700k
"Пострадавший предполагает, что хакер, не представив идентификационные данные или требуемый пароль, получил его телефонный номер от сотрудника AT&T. Используя номер, злоумышленник смог получить доступ к онлайн-кошелькам и украсть криптовалюту почти на $24 млн. "(с)
У хакера был номер, а значит - он не взламывал, а восстанавливал доступ. Если подкинуть клиенту в соседний дом глушилку GSM (в идеале его SIM должна быть не заблочена), то ночью можно быть уверенным что клиент спит, и смс его не потревожит. А если вспомнить что потеряв 24 ляма, мамонт требует компенсировать 24 ляма и сверху поиметь штрафа на 200 лямов, то тут очень интересные перспективы проявляются. Плюс к этому - "Напомним, что это уже не первый случай, когда с помощью замены SIM-карты злоумышленники похищают крупные суммы в криптовалюте." (с)
Это самая откровенная АНТИреклама 2FA и U2F!
 

Jess1e_James

Гардемарин
Местный
Регистрация
26.12.19
Сообщения
152
Онлайн
7д 10ч 45м
Сделки
0
Нарушения
0 / 1
Это самая откровенная АНТИреклама 2FA и U2F!
Вы вообще понимаете о чем пишете?
Причем тут U2F и сим карта??? У таких ключей в большинстве своем всегда есть коды восстановления доступа лежащие за 10-ю замками на экстренный случай.
Как приложение Authenticator связано с сим картой???
Вот пример сброса 2FA пароля, как видно после данной процедуры аккаунт замораживается от 5 до 15 дней. Пример сброса U2F не нашел.
 

PanZerA

Боцман
Писатель
Регистрация
26.12.19
Сообщения
298
Онлайн
16д 14ч 54м
Сделки
0
Нарушения
5 / 3
Вы вообще понимаете о чем пишете?
Как приложение Authenticator связано с сим картой???
Вот пример сброса 2FA пароля, как видно после данной процедуры аккаунт замораживается от 5 до 15 дней. Пример сброса U2F не нашел.
Я-то как раз понимаю.
1) Сим карта нужна для получения смс и восстановления доступа к аккаунту Google, который хранит логины и пароли от всего остального.
2) Переходим в Гугл плей и читаем:
Приложения в Google Play – Google Authenticator -
Что нового: * Добавлена возможность переноса аккаунтов на другое устройство, например при смене телефона. Т.е. имея симку и доступ к аккаунту гугл, можно просто перенести аутентификатор. А ведь глупо думать, что хакер, собравшийся увести 24 ляма баксов не имел телефона, на который посадил аккаунт жертвы.
3) Вы делаете ошибку всех новичков! Не нужно сбрасывать и менять пароли! Нужно ВОССТАНАВЛИВАТЬ доступ!
И последнее: изучайте, хотя бы, теории взломов, и Вам многое станет понятнее.
На этом, полемику прекращаем, потому что никакие общедоступные защиты не помогут, если Вами уже занимаются хакеры или органы.
 
Сверху