Comments 32
Замечу что двухфакторка таки хорошее дело, и вместо Google authenticator можно использовать сторонние приложения, например andOTP+
Автор, я бы сделал коррекцию в тексте, а то по смыслу вы приносите негатив на технологию в общем.
Автор, я бы сделал коррекцию в тексте, а то по смыслу вы приносите негатив на технологию в общем.
Я по итогам размышлений на эту тему для себя пришёл к выводу, что SIMке для 2FA (там, где оно без вариантов по SIMке) ещё очень неплохо быть не российской. Что и реализовал.
Правда, сценарий закрытия границ из-за карантина, что воспрепятствует замене этой SIMки в случае утери/порчи, не учёл, по ходу :(
Правда, сценарий закрытия границ из-за карантина, что воспрепятствует замене этой SIMки в случае утери/порчи, не учёл, по ходу :(
Вы решили брать иностранную SIM, чтобы выйти из зоны влияния отечественных операторов? Как к такому выводу пришли? Просто в оригинальной статье упоминают, что и у заграничных операторов есть свои проблемы.
Если атака не политического характера с перехватом смс на уровне оператора, то хороший сценарий замены сим карты реализован у ёты при смене / блокировке / перевыпуске сим карты ровно 24 часа не приходят любые смс сообщения.
«Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом. Запретите перевыпуск симки по доверенности. „
Удобство vs безопасность.
Нужно теперь два телефона носить, заряжать, пополнять?
Забыл взять/зарядить “редко нужный телефон, на который никогда никто не звонит» — именно в этот момент очередной сервис вдруг включит параноика и попросит код подтверждения. А он дома лежит в сейфе.
Я пробовал заводить для таких целей отдельный телефон-звонилку с отдельным номером, но это добавляет столько головной боли, что пришлось от схемы отказаться, и ограничиться включением двухфакторки через приложение andOTP везде, где можно (~20 сервисов в списке), и регулярно делать шифрованный бэкап приложения в офлайн-хранилище дома.
Удобство vs безопасность.
Нужно теперь два телефона носить, заряжать, пополнять?
Забыл взять/зарядить “редко нужный телефон, на который никогда никто не звонит» — именно в этот момент очередной сервис вдруг включит параноика и попросит код подтверждения. А он дома лежит в сейфе.
Я пробовал заводить для таких целей отдельный телефон-звонилку с отдельным номером, но это добавляет столько головной боли, что пришлось от схемы отказаться, и ограничиться включением двухфакторки через приложение andOTP везде, где можно (~20 сервисов в списке), и регулярно делать шифрованный бэкап приложения в офлайн-хранилище дома.
Старались дать рекомендации как приблизиться к максимальной защите от угона SIM. А в жизни каждый сам ищет баланс удобство-функциональность-безопасность, как лично, так и в бизнесе.
Двухсимочный телефон неплохо помогает. Ну или носить вторую СИМку в кошельке и переставлять при острой необходимости.
От сценария кражи/утери телефона/кошелька, конечно, не спасает (ну так и второй телефон, если он не в сейфе, — тоже), но если защищаемся в основном от риска перевыпуска карты — вполне.
От сценария кражи/утери телефона/кошелька, конечно, не спасает (ну так и второй телефон, если он не в сейфе, — тоже), но если защищаемся в основном от риска перевыпуска карты — вполне.
Очень бесит, что в Яндекс только деньги умеют работать по Google Authenticator-совместимому приложению, для остальных сервисов нужно ставить их фирменный Яндекс.ключ. Который жуть какой неудобный, особенно со своими однаразовыми кодами из 8 случайных букв, заколебёшься вводить. Плюс во многих интерфейсах яндекса внятно не сказано, какой пароль нужно вводить — то ли одноразовый, то ли обычный.
UFO just landed and posted this here
Основная проблема — банки. Кто знает возможен ли в Сбере способ подтверждения кроме СМС?
Купите google voice — там можно смс принимать, а его защитите посильнее
Ни из предыдущей статьи, ни из этой не становится понятно, чем же именно плоха смс аутентификация как второй фактор. Это именно второй фактор, что предполагает, что он бесполезен, если нет первого. То есть даже если вы угнали симку, то вы не получите доступ, если не знаете логин и пароль. И вся схема работает только совместно с социальной инженерией, например.
Ну или приведите, пожалуйста, пример, как можно похитить эккаунт, только завладев симкой, без применения социальной инженерии или троянов.
приведите, пожалуйста, пример, как можно похитить эккаунт, только завладев симкойwhatsapp
К переписке доступ не получишь, но акк — пожалуйста.
приведите, пожалуйста, пример, как можно похитить аккаунт, только завладев симкойНапример, vk.com (Восстановление пароля через СМС)
Есть много сервисов, которые используют СМС как единственный фактор. Среди них есть банковские приложения и ритейл. Это, на мой взгляд, основная проблема.
А если рассматривать СМС в формате второго фактора: да, это лишь часть системы аутентификации, но, как мне кажется, возникает вопрос надежности этого фактора. Перехват СМС, потеря телефона, недобросовестный сотрудник оператора, подделка доверенности на SIM — довольно много точек отказа. Конечно, любой фактор может быть скомпрометирован, и тот же OTP, а о классических паролях даже говорить не стоит. Но для уменьшения рисков, на мой взгляд, вполне резонно заменить СМС на другой фактор или хотя бы сделать отдельный номер под эти нужды.
А если рассматривать СМС в формате второго фактора: да, это лишь часть системы аутентификации, но, как мне кажется, возникает вопрос надежности этого фактора. Перехват СМС, потеря телефона, недобросовестный сотрудник оператора, подделка доверенности на SIM — довольно много точек отказа. Конечно, любой фактор может быть скомпрометирован, и тот же OTP, а о классических паролях даже говорить не стоит. Но для уменьшения рисков, на мой взгляд, вполне резонно заменить СМС на другой фактор или хотя бы сделать отдельный номер под эти нужды.
если не знаете логин и пароль
А теперь коронный вопрос: как восстановить пароль, если его забыли? Многие сервисы при включенной 2FA шлют SMS для восстановления пароля на этот же номер
Попробуйте побыть с другой стороны экрана: откройте приватный режим и попытайтесь зайти например в гуглоаккаунт, зная логин.
Хм. А вы сами сейчас можете пройти по шагам подключение TOTP (Google Authenticator) для учётки гугла? Потому что у меня предлагают или физический токен, или уведомление на телефон, или СМС. Добавить код из приложения нельзя.
ЕМНИП, большинство сервисов все равно предлагает выслать код через SMS, если по какой-то причине недоступен TOTP (потеряно устройство или список резервных ключей). Так что совет с "секретным" номером телефона будет более актуальным
Достаточно ли подключить «Запрет обслуживания по доверенности» и продолжать использовать двухфакторную аутентификацию на основе SMS?
Sign up to leave a comment.
Чем плоха СМС-аутентификация и как защититься от угона SIM-карты