How to become an author
Search
Write a publication
Pull to refresh

Comments 20

UFO just landed and posted this here
двухфакторная аутентификация часто используется не для безопасности а чтобы собрать по больше инфы о юзере

У того же Гугла, какая информация будет собираться если вы активируюте двухфакторку с использованием приложения?
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
Необязательно гуглаутентикатор, таких приложений вагон и тележка

Но и толку с него не так чтобы много.

много, как минимум одного «уведенного» пароля будет недостаточно
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
минус в карму за Андройд и нежелание думать головой.
аутентификатор гугелю нужен чтобы:
  1. хомяки чувствовали себя в безопасности
  2. не разбегались по конкурентам когда ящик уведут (раз ящик всё равно надо создавать...)
  3. проще было их отслеживать: меньше уводят ящики — меньше действий по корреляции новых с имеющимися.



Во-первых предлагаю не коверкать названия сервисов и компаний.
  1. Хомякам фиолетово. Абсолютно. Они об этом просто не думают.
  2. Хомякам фиолетово есть у них ящик или нет, они о нём вспоминают раз в месяц. Или в полгода.
  3. Хомякам фиолетово даже если ящик увели, Гуглу и другим почти фиолетово. Например, ФБ вас отслеживает на каждой странице, где есть кнопка Like. И им фиолетово что вы думаете по этому поводу.
Total votes 2: ↑2 and ↓0+2
Андройд сам уже в гугель всё сливает, а аутентификатор гугелю нужен


Смешались в кучу Google Services, Android и Google Authentificator…

Чистый Android (тот же AOSP) ничего не сливает. Сливают Google Services, которые либо предустановлены производителем телефона, либо установлены пользователем. Без них жить сложно, но можно, есть свободные «эмуляторы», предоставляющие софту, ожидающему наличие этих сервисов, требуемые API. То есть, вместо Google Maps прозрачно будут использоваться OpenStreetMaps.

Google Authentificator это лишь частная реализация хорошо известного TOTP. С тем же успехом можно пользоваться открытым и свободным редхатовским FreeOTP. У меня, например, для двухфакторной авторизации вообще приложение под названием «OTP» на Maemo Linux. Никакими «сливами» в Google там и не пахнет.
Total votes 2: ↑2 and ↓0+2
Разрешения Google Authenticator:

Управление функцией вибросигнала
Неограниченный доступ к Интернету
Использование аккаунтов на устройстве
Создание аккаунтов и установка паролей
Управление NFC-модулем

Использование аккаунта на устройстве что подразумевает? геоданных не увидел. Да они и отключаются
This comment wasn’t rated yet0
Скорее всего, ничего из этого для выполнения своей основной функции (генерирования кода) ему вообще не нужно.
Например, приложению аналогичного назначения (FreeOTP) я обрезал абсолютно все запрошенные разрешения, кроме доступа к камере (чтобы оно могло сканировать QR-коды). И оно работает.
This comment wasn’t rated yet0
Ну какая может быть ценность у бесплатной почты / форума / онлайн магазина / хабра / торентрекера? — около нулевая

Вы явно целевая аудитория хакеров :) Один из возможых вариантов развития событий:
Получив доступ к вашей почте, через которую вы подтверждали тот же пейпал аккаунт, злоумышленник сможет сменить пароль и получить доступ к вашему пейпалу, на который вы не включили двухфакторную аутентификацию, но подключили пластиковую карточку Сбербанка для оплаты/пополнения пейпал счёта. В результате через ваш аккаунт осуществляется оплата товара и вы теряете свои средства на карточке, без взлома Сбербанка.
Total votes 2: ↑2 and ↓0+2
UFO just landed and posted this here
а что с продукцией adobe?
This comment wasn’t rated yet0
UFO just landed and posted this here
Ну какая может быть ценность у бесплатной почты / форума / онлайн магазина / хабра / торентрекера? — около нулевая, стоит ли утруждать себя выдумыванием паролей или того хуже их генерацией?


Менеджеры паролей?
(про дроп боксы, скайдрайвы не пишу, ибо их использование для хранения чего то ценного — клиника, и даже просто использование уже повод для беспокойства)


зашифрованный контейнер?
Тем более, какой вообще смысл регулярно менять в таких местах?


"Вас взломали и вы об этом еще не знаете"
ИМХО, двухфакторная авторизация через мобилу имеет смысл при выполнении следующих двух условий:
  1. сервис через который проходят деньги
  2. этот сервис локальный (про юрисдикцию)



То есть управление DNS, аккаунтами у хостеров, почта, соцсети, любимый бложек — всё нафиг не надо? Окей.
Вообще, двухфакторная аутентификация часто используется не для безопасности а чтобы собрать по больше инфы о юзере (а потом продаться по дороже) и по сильнее привязать юзера к сервису.
В ряде случаев, как с телеграмом, оно было лишним и слабым местом.


Amazon AWS, DigitalOcean, Hetzner, Steam. Продолжать?

Вы реально глупости несете.
This comment wasn’t rated yet0
UFO just landed and posted this here
А уж как раз кипасс обосрался за поледний год и вспоминать не охота.


Пруфы?
This comment wasn’t rated yet0
UFO just landed and posted this here

Это называется не "обосрался", а "компрометированная машина". С тем же успехом можно было сказать, что keepass "обосрался", если на машине пользователся стоял кейлоггер.

This comment wasn’t rated yet0
UFO just landed and posted this here

Окей, у вас скомпрометирована машина — у вас утащат все пароли и ключи. Или не утащат, если вы нафиг никому не сдались.
Но это не повод бегать по городу с голой задницей.

This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr