идентификаторы устройства (связка user id, cookie, примерная геолокация, идентификатор установки, разрешение экрана, список контактов к которым вы дали доступ) и являются первым фактором - то чем ты владеешь, второй это как раз ответ на контрольный вопрос - то что знаешь. То есть первый фактор он как бы не явный, пусть это и не совсем корректно реализовывать 2FA таким образом. Такова модель рисков. Но как понимаю автор даже знать то, что требуется не очень желает.
Автор все знает. Теперь для входа в аккаунт не нужен ни пароль, ни ответ на контрольный вопрос, а только 1 QR код.
И дополнительно - я не владею разрешением экрана, списком контактов и т.д. - это то, на что никогда нельзя завязываться как на первый фактор
Вы живете в каком то странном мире, а я живу в реальном и занимаюсь реальной ИБ. Вот 2 сценария, которые я хочу избежать.
1. Я сдуру привязал телефон к аккаунту (и без 2fa). Это вроде должно повысить безопасноть, но сводит на почти 0 мою безопасность. Любой человек, который знает мой номер телефона идет к сотовому оператору, говорит, что украли симку, дайте мне новую, платит взятку 5к рублей (или 1к рублей где-нибудь в далекой области) получает симку и восстанавливает доступ к аккаунту (так наспиано в документации - по телефону можно восстановить доступ к аккаунту)
2. Достаточно взломать только 1 телефон и получить полный доступ к аккаунту. И пин код и QR код и т.д. все хранится на телефоне. Достаточно установить на 1 телефон вредоносное приложение и безопасность рушится.
Сравните это с ситуацией, когда я входу, например, в Тиньков и мне надо ввести пароль на компьютере, и дополнительно код из СМС с телефона.
Конечно это хейт на эмоциях. Ты отдаешь яндексу, а не гуглу свою основную почту; платишь деньги за сервисы и подписки и через 16 лет получаешь то, что в один прекрасный день не можешь войти в свой аккаунт, а вместе с ним в 500 связанных
Да, и все прям указывали правильные ответы, которые можно перебрать по словарю за несколько минут. Это можно считать, даже, стандарт забивать в ответ рандомные символы
Я регистрировал аккаунт 15 лет назад. Там было написано, что контрольный вопрос нужен, если я забуду свой пароль. Пароль я не забывал. Мне не нужно восстановление аккаунта.
Проблема сервиса - это спрашивать вопросы после ввода правильного пароля и не давать поменять вопрос без знания ответа на предыдущий, даже если ты прошел 2fa.
По поводу отладки. В rails есть такая вещь как WebConsole. Очень удобно. Отлаживать ошибки прямо в браузере. Сомневаюсь, что на PHP когда-нибудь это будет возможно.
Что за бред. Тут же просто перемножение матриц 3х3 по модулю 7. Первые 9 чисел — первая матрица, вторые 9 — вторая. После перемножения матриц должна получиться единичная, поэтому для создания ключа надо взять две обратные матрицы или просто единичные.
Ассемблер — это мнемоническая запись команд процессора. Первым реализуется перевод кода на С в байты ассемблера, тобишь что является самим компилятором С.
Где эта галочка? Пoкажи её?
Хотя не забывал пароль и привязан телефон
Автор все знает. Теперь для входа в аккаунт не нужен ни пароль, ни ответ на контрольный вопрос, а только 1 QR код.
И дополнительно - я не владею разрешением экрана, списком контактов и т.д. - это то, на что никогда нельзя завязываться как на первый фактор
DUBLICATE ?
Вы живете в каком то странном мире, а я живу в реальном и занимаюсь реальной ИБ. Вот 2 сценария, которые я хочу избежать.
1. Я сдуру привязал телефон к аккаунту (и без 2fa). Это вроде должно повысить безопасноть, но сводит на почти 0 мою безопасность. Любой человек, который знает мой номер телефона идет к сотовому оператору, говорит, что украли симку, дайте мне новую, платит взятку 5к рублей (или 1к рублей где-нибудь в далекой области) получает симку и восстанавливает доступ к аккаунту (так наспиано в документации - по телефону можно восстановить доступ к аккаунту)
2. Достаточно взломать только 1 телефон и получить полный доступ к аккаунту. И пин код и QR код и т.д. все хранится на телефоне. Достаточно установить на 1 телефон вредоносное приложение и безопасность рушится.
Сравните это с ситуацией, когда я входу, например, в Тиньков и мне надо ввести пароль на компьютере, и дополнительно код из СМС с телефона.
Конечно это хейт на эмоциях. Ты отдаешь яндексу, а не гуглу свою основную почту; платишь деньги за сервисы и подписки и через 16 лет получаешь то, что в один прекрасный день не можешь войти в свой аккаунт, а вместе с ним в 500 связанных
Конечно, но у них есть сall центр, куда ты звонишь и тебе за минуту все фиксят, если ты что забыл; да еще по голосу проверяют
Да, и все прям указывали правильные ответы, которые можно перебрать по словарю за несколько минут. Это можно считать, даже, стандарт забивать в ответ рандомные символы
Я регистрировал аккаунт 15 лет назад. Там было написано, что контрольный вопрос нужен, если я забуду свой пароль. Пароль я не забывал. Мне не нужно восстановление аккаунта.
Еще раз
как поменять контрольный вопрос без ответа на предыдущий, если ты залогинен по 2fa?
2fa с 1 фактором
Это называется UI/UX
2fa с одним фактором - это просто треш
В документации не слово, что тебя будут просить вводить ответ на контрольный вопрос после ввода правильного пароля, и как исправить эту ситуацию
Стоп, стоп.
Проблема сервиса - это спрашивать вопросы после ввода правильного пароля и не давать поменять вопрос без знания ответа на предыдущий, даже если ты прошел 2fa.
Проблема сервиса - это 2fa с 1 фактором.
Это же Яндекс. Он мог бы что-нибудь получше придумать, чем очередной название компании.ID