Почему большинство людей не используют двухфакторную аутентификацию?

[Alert123]

К сожалению SMS иногда очень подолгу ходят или вообще не приходят.
Потому это не удобно. У банков вот с такой проблемой не встречался, может потому что внутри России как то договорились и доставляют. А вот с SMS от акканта Макрософта — постоянно проблемы.

[Mur81]

И у банков тоже. Лично два раза сталкивался с тем, что SMS от Сбера не приходили более часа. Хотя я больше склонен грешить на проблемы у Сбера с их отправкой. Но кто знает?
И конечно же это происходит в самый не подходящий момент. Потому что в в принципе момент не может быть подходящим если тебе нужны твои деньги, а ты не можешь ими воспользоваться.
Нужно давать альтернативу. Те же банки некоторые дают и электронные генераторы, и карточки с одноразовыми ключами.

[leshakk]

У того же сбера раньше была альтернатива: листок с одноразовыми паролями,
который можно было распечатать в любом банкомате.
Гораздо удобнее, чем смс, но почему-то сбер убрал этот способ.

[Iv8]

Особенно если ты уехал куда-нибудь в Индию, а SMS шлют на московский номер. Труба.
Пришлось завести U2F token. И Яндекс-ключ в качестве резерва.

[Marwin]

потому что я активировал 2FA через гугл на криптобирже, имел неосторожность незабекапить ключ (заметьте — сверхнеочевидная задача для обычного человека), девайс сломался, и я потом месяц ждал ответа от техподдержки для подтверждения что я — это я, и нужно сбросить код

[shfghjsdgfh]

В Google Authenticator нельзя сделать back-up ключа, рекомендую обратить внимание на Authy. Его можно использовать в тех же местах, что и GA, но так же там есть back-up и возможность поделиться ключом с другими устройствами.

[Marwin]

ну как это нельзя… как минимум в расширении хрома можно. Только я не до конца разобрался как это работает, когда только начал пользоваться им.

[EminH]

Можно, сделайте скриншот QR кода и распечатайте

[isden]

Authy не безопасен по определению (т.к. данные уходят к ним на сервер и там лежат).
Есть же куча других реализаций, где можно бэкапить. Например Authenticator Plus.

[shfghjsdgfh]

Огромное спасибо за наводку! Странно, что в обсуждении на reddit его никто не упомянул. Теперь буду пользоваться Authenticator Plus!

[alekssamos]

>> В Google Authenticator нельзя сделать back-up ключа
Можно. Я нажал экспорт, сделал скриншот QR кода. Примерно через 6 месяцев понадобилось, я на другом устройстве открыл скриншот и QR код отсканировал. Всё получилось.
Если его декодировать, то он выглядит так: `otpauth-migration://offline?data=CiIKC`
Это base64, где есть имя сервиса, логин и не читаемый шифр из разных символов.

[EminH]

Можно

Это сейчас можно. Статья 2018 года. Функция экспорта появилась в мае 2020.

base64, где есть имя сервиса, логин и не читаемый шифр из разных символов.

Шифр на практике вполне себе читаемый.

[symbix]

Для меня основная проблема с 2FA — это то, что большинство реализаций завязаны на SMS, с доставкой которых проблемы вечно возникают в самый неудобный момент.

У гугла с этим все отлично, есть и totp, и phone prompt.

[EminH]

Восстановление профиля Totp все равно по телефону

[ildarz]

Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.

Угу, как будто раньше этого не знали. Просто таки сюрприз — люди не хотят пользоваться тем, что неудобно, ненадежно и неочевидно в плане практической пользы.

Вообще говоря, было бы интересно увидеть статистику по предотвращению угонов аккаунта благодаря 2FA.

[romxx]

Во-первых — уже было на GT.
Во-вторых, это просто свидетельство того, сколько ящиков на Gmail создано «одноразовых», ботами, технических, для которых обычно не нужна повышенная безопасность (у меня, например, несколько домашних девайсов, типа NAS-ов присылают таким образом алерты и репорты), и так далее.

[Marwin]

а еще больше их от регистраций в маркете андроид телефонов, где тоже никому не нужна безопасность. Вообще я не представляю как там можно хоть что-то посчитать, когда существуют огромное количество сайтов, продающих почты от бот регистраций тысячами…

[DSLow]

При смене номера будет геморрой 200тыщ аккаунтов переносить на новый номер.
Не практично, и 2FA — это рак.

[Djeux]

Хватает сервисов которые не привязывают 2FA к девайсу.

[apapacy]

Двухфакторная аутенфикация конкретно от гугла и хайп который они пытаются поднять это просто способ получить номер телефона и координату не только для андроидов а и для всех абсолютно. Так что я если что против такой псевдобезопасности

[apapacy]

И все равно это так

[rogoz]

И я продублирую свой комментарий к посту на ГТ (2FA на TOTP, а не на СМС):

Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.

как выглядит в настройках

Телефона нигде нет, специально проверил.

[apapacy]

За totp не знал включу себе на одном из эккаунтов. Но это не снимает вопросов с смс. Т.к. 1 при логине предлагается защититься все же телефоном и для большинства к которому я отношу себя это смс и только и 2 если установить Аутентификатор на ios то не за требует ли он повышенного доступа? Что касается андроид то вопрос от разработчиков ОС разрешение ли вы определить свою координатузвучит риторически

[apapacy]

Я пытаюсь с totp но гугл мне не позволяет это сделать без телефона. Возможно если это делать с другого девайса или же если уже было раньше активировано то можно. Сейчас только телефон. Даже если это можно сделать зайдя в какой-то режим через лабиринт меню этоне меняет основного. Гугл хочет мой телефонный номер.

Картинка

Аттракцион невиланной щедрости (в смысле что он готов заплатить)

[IGR2014]

Вам тогда нужно переехать в тайгу и жить там без технологий вообще. Ибо любой аккаунт — это по факту осознанная (видимо не для всех) делёжка личной информацией с третьими лицами (корпорациями и т.д.)
И даже если они говорят что ваши данные зашифрованы, что они в безопасности, что даже сама корпорация их не может расшифровать и даже если это правда — в любом случае эти данные у них есть. Не важно в каком виде, но вы ими поделились.
И да, ой сюрприз, но даже налоговая, паспортный стол и военкомат кое-что о вас знают. И у многих ваш номер и адрес проживания, данные паспорта и т.д.
Ну что, вы там ещё не против вообще существовать??

[apapacy]

Не совсем уместный сарказм. Я как раз не призываю «усиливать» безопасность предоставлением гуглу свою координату и номер телефона (заодно и образец голоса).
Я всего лишь говорю что 2-х факторная это хорошо там где это нужно. Но не стоит отдавать больше контроля над своими личными данными (координата, голос, номер телефона) там где это не нужно.

[Taciturn]

Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.

Получается, что большинство пользователей просто не готовы жертвовать удобством ради чувства ложной безопасности. Вы же сами об этом пишете.

[Djeux]

Безопасность все же не ложная. Я как минимум знаю несколько десятков случаев когда взлом аккаунта был остановлен лишь благодаря 2FA.

[nikolajbezcelovecnyj]

мой телефон (honor 8) попросил раз в 3 дня вводить пароль хотя я пользуюсь отпечатком пальца… улетел в помойку. Безопасность не критичных данных должна быть разумной и комфортной, на то они и не критичные данные. Иногда кажется что мы живем в некой цифровой диктатуре, где нам приказывают что мы должны видеть слышать как жить и как себя обезопасить. БЕСИТ. Недавно на mail.ru заблокировали мою почту из которой я регистрировался на всяких фан сайтах типа джоя и фишек, потребовали от меня номер телефона и второй запасной ящик… были посланы. Иногда кажется что миром пытаются править кучка параноиков.

[evnuh]

Да, в этом плане программисты действительно ведут себя не логично.
Аналогия с рамками в метро, аля защита от террористов. Все понимают, что это бесполезно, направлено, дабы отловить пару человек в год, а страдают каждый день все. И всем очевидно, что реальный террорист всё равно найдёт способ пронести бомбу.
Так же и с 2FA — может быть спасёт от пары случаев взлома, страдают все, но кому надо всё равно найдёт способ угнать данные.

[Marwin]

Боюсь, проблема глубже… даже если вам самим не очень важны какие-то учетные записи, то они могут быть важны злоумышленникам, чтобы пользоваться ваши учётками с хорошей репутацией для спама и прочих действий. Может и не у вас, так у кого-то еще, кто запамятовал, что установил эту почту с легким паролем второй для восстановления пароля от уже более ценной почты… ситуаций может быть много. Сервисы защищают не именно ваши данные, они защищают свою систему в целом, так как часть людей не понимают последствий своих решений, а страдать из-за них могут все. Лёгкого решения этой проблемы нет. Поэтому выбирают меньшее из зол

[DarkByte2015]

А чего не упомянули всякие приложения — генераторы кодов входа типа Google Authentificator? Самое оно для замены смс. Я лично редко пользуюсь двухфакторной аутентификацией, потому что это действительно не слишком удобно — лишний раз искать какой-то код в смс или приложении. Но зато с удовольствием пользуюсь гугловским способом с уведомлениями на смартфоне. Это куда быстрее. Надо лишь тыкнуть по кнопке в уведомлении на главном экране, а не копировать код который еще надо найти перед этим. И не понимаю паранои насчет номеров телефона. Ну что с того что у гугла будет мой номер? Гугл не будет же заниматься каким-то мелким хакерством типа снять деньги со счета или присылать фишинговые смс… А то что все мы у них под колпаком — это и так понятно. Захотят — и без моего номера найдут как взломать. Другое дело что ввожу телефон я только на проверенных сайтах типа гугла, яндекса, соцсетей… Плюс конечно менеджер паролей. Без него никуда!

[runalsh]

Одна из проблем конкретно с GA то, что его нельзя запаролить…
Только доп программами. Ну и пользоваться альтернативами с поддержкой ключа\пароля на вход.

[Daniyar94]

Да гугловский GA довольно слабо выглядит, хотя если подумать, запоролить сам телефон будет вполне достаточно.

Так же пользуюсь Authy, более продвинутый в этом плане, и запоролить самое приложение можно

[Barlog]

После того как 1Password добавили поддержку одноразовых паролей использовать 2FA стало очень удобно.

[daneyeah]

Отказался от 2fa, прожил с ним год, самое неудобное, что случается нет заряда на телефоне а зайти куда-то надо особенно в отпуске, как-то разбил дисплей и потом морока с восстановлением аккаунта обернулась блоком учетки на оутлуке на 3 дгя. А там надо было срочно войти и получить пароль от другой учетки. Так что 2fa в нынешнем виде больше усложняет жизнь чем обнзопашивает мои аккаунты, чтоб восстановить доступ тратится слишком много времени возможно стоит пересмотреть саму концепцию

[vsespb]

Тут что с 2FA, что без него, сегодня из-за 2FA что-то залочилось, завтра что-то где-то взломали и опять у вас что-то сломается и виноваты опять все кроме вас. Вспоминается goo.gl/Z9NpwV

[divanikus]

Для себя отметил два момента, почему в данный момент не хочу использовать 2FA
1) Лишние действия. Ожидание смсок при каждом входе в банк-клиент надоедает, еще и для почты такого же не хочется.
2) Боязнь самозалочиться. Телефон конечно всегда под рукой и в этом плане очень удобен, однако телефон может разрядиться, повредиться, быть украден. И что тогда делать? Забыть про свои старые учетки? Или с бОльшим гемором их восстанавливать. Недавно столкнулся с ноутбуком брата: чтобы войти в учетку Google, введите код из смс, только вот номера больше нет такого, а другие варианты — отказ. И чего делать?

[takezi]

Та же история. Пользовался, пока не потерял телефон. Сделал для себя вывод, что вероятность потерять телефон все же на порядки выше, чем то, что меня взломают и 2FA это неоправданное усложнение своей жизни.

[takezi]

Хаха, от меня из будущего, использующего u2f ключ XD

[bro-dev]

Потому что акк не несет цены, зачем на нем повышенный уровень безопасности. Если б было че-то ценное то да юзал бы

[Acuna]

Акк-то понятно не несет, так ведь почта же. Если так пароль можно каким-либо образом узнать, то в случае двухфакторки нужно только мобилу отжимать либо эсмски перехватывать, но в данном случае скорее всего тобой будут интересоваться уже совсем другие структуры, коли почта представляет для кого-то такую ценность, что кому-то выгодно нанимать хацкеров, которые как в американских фильмах перехватывают твой траф на скамейке у кафе с открытым вайфаем. Поэтому для простого обывателя это защита 100%, даже если бабушка растрезвонит всем твой же пароль.

[slonm]

Я, как и многие жители Украины, пользуюсь телефонным номером с авансовой оплатой без привязки к персональным данным потому что он банально дешевле контрактного. Такой номер при желании совсем несложно угнать, но для телефонной связи такой безопасности достаточно, потому что профита от его угона почти никакого. А вот когда номер становится (промежуточным) фактором аутентификации, то угон такого номера уже гораздо опаснее и привлекательнее для злоумышленника.

[apapacy]

Не знаю как но в большинстве случаев те кому нужно знают и персональные данные для всех абонентов. Вспоминте хоя бы скорость раскрытие преступлений с телефонными «шутниками» (пару часов и челеовек под следствием)

[Acuna]

А все очень просто, настраивал родственнице почту во встроенном клиенте на киткате, постоянно получал ошибку авторизации, перепробовал все что мог, а оказалось что все дело в банальной включенной двухфакторной авторизации, которую я подключил незадолго до этого, ибо модно-молодежно плюс безопасно. И это не какой-то сторонний клиент, это дефолтный e-mail клиент для Андройда! Как сейчас обстоят дела с этим не знаю, у самого зефир, но почтой на мобиле не пользуюсь, ибо всегда под рукой стационарка, может и поправили, так что отзовитесь плиз если у кого работает почта в дефолтном клиенте с аккаунтом с ней, буду знать…

[maverick_mike]

Почему-то у всех 2FA ассоциируется с СМС, если немного дальше -аутентификатор от Google. Уже давно есть множество различных аутентификаторов на любой вкус и цвет и на любой случай жизни. Для критической инфраструктуры — аппаратный токен с защитой pin кодом и технологией запрос-ответ, для обычного пользователя токен push otp (например, MobilePass+), который и в оффлайн режиме работает. Для тех, кто боится потерять, утопить или рассинхронизировать токен есть графические генераторы otp
(например, GridSure). Просто у нас пока нет гигиены безопасности. Почистить зубы — тоже лишние действие для пользователя… Так и с 2FA.

[apapacy]

Не думаю что кто-то против двухфакторной аутентификации. Я например обсуждал тут повышенную активност гугла начиная с начала этого года. Мои знакомые зная что я работаю в ИТ обратились недавно с вопросом и со ссылкой на статью. Если в двух сорвах о содержании статьи — Вы должны защитить почту gmail иначе будут пропадать деньги с Вашей платежной карточки и т.п. Ко мне самому не далее чем сегодня пришло письмо от гугла в лучших традициях писем счастья такого вот содержания.

В Вашем аккаунте обнаружено 2 проблемы с безопасностью
apapacy@gmail.com
В новой версии Проверки безопасности доступны рекомендации по защите данных, подобранные специально для Вас.
Узнайте, что Вы можете сделать для безопасности аккаунта уже сегодня. Это займет всего одну-две минуты.

Фейсбук номер четыре. По раскрытию ссылки пролемы была всего одна и заключалась в том что я вошел в свой эккаунт с другого устройства.

При этом как я уже сообщал Выше сейчас, именно сейчас (не год назад и не месяц назад) включить 2-ю авторизацию на гугле можно только и исключительно через СМС.

То есть позиция довольно однозначно показывает что гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты. И это ведет не к увеличению безопасности а к ослаблению безопасности. (не почты а личной безопасности).

[isden]

> гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты

Я вам открою страшную тайну. Если у вас есть телефон с андроид, и вы с него заходили в свою гуглоучетку, например чтобы поставить софт из маркета (и на телефоне есть постоянно или бывает периодически интернет), то ваши координаты с номером уже там. И подобное происходит уже достаточно давно.

[Happy_dayZ]

Согласен, проблема в удобности. Не всегда работает.