Как стать автором
Обновить

Комментарии 32

Замечу что двухфакторка таки хорошее дело, и вместо Google authenticator можно использовать сторонние приложения, например andOTP+
Автор, я бы сделал коррекцию в тексте, а то по смыслу вы приносите негатив на технологию в общем.
Исправили, спасибо за замечание.
Конечно, не было цели переносить проблемы нескольких приложений на всю технологию.
Я по итогам размышлений на эту тему для себя пришёл к выводу, что SIMке для 2FA (там, где оно без вариантов по SIMке) ещё очень неплохо быть не российской. Что и реализовал.
Правда, сценарий закрытия границ из-за карантина, что воспрепятствует замене этой SIMки в случае утери/порчи, не учёл, по ходу :(
Вы решили брать иностранную SIM, чтобы выйти из зоны влияния отечественных операторов? Как к такому выводу пришли? Просто в оригинальной статье упоминают, что и у заграничных операторов есть свои проблемы.
Просто сценарий «по поддельным документам / копиям / сговору с оператором выпустили дубликат СИМки» сильно сложнее реализовать, если для этого надо ехать в другую страну. Даже если там у операторов работают такие же продажные раздолбаи :)
Если атака не политического характера с перехватом смс на уровне оператора, то хороший сценарий замены сим карты реализован у ёты при смене / блокировке / перевыпуске сим карты ровно 24 часа не приходят любые смс сообщения.
По моему это сейчас у всех операторов так.
Недавно перевыпускал сим карту МТС, пришло оповещение о том что в течение 24 часов смс от банков приходить не будут. Однако как показала практика они спокойно приходили все 24 часа.
Может быть имелось в виду не любые смс, а только с кодами?
На ёта при перевыпуске любые смс не приходят, проверял в декабре 2019
Привет! Действительно, по техническим причинам SMS не доставляются после замены SIM-карты в течении 24 часов.
Сообщение было:
В течение 24 часов может быть ограничено поступление SMS от банков

возможно ключевое слово здесь может.
«Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом. Запретите перевыпуск симки по доверенности. „

Удобство vs безопасность.
Нужно теперь два телефона носить, заряжать, пополнять?
Забыл взять/зарядить “редко нужный телефон, на который никогда никто не звонит» — именно в этот момент очередной сервис вдруг включит параноика и попросит код подтверждения. А он дома лежит в сейфе.

Я пробовал заводить для таких целей отдельный телефон-звонилку с отдельным номером, но это добавляет столько головной боли, что пришлось от схемы отказаться, и ограничиться включением двухфакторки через приложение andOTP везде, где можно (~20 сервисов в списке), и регулярно делать шифрованный бэкап приложения в офлайн-хранилище дома.
Старались дать рекомендации как приблизиться к максимальной защите от угона SIM. А в жизни каждый сам ищет баланс удобство-функциональность-безопасность, как лично, так и в бизнесе.
Двухсимочный телефон неплохо помогает. Ну или носить вторую СИМку в кошельке и переставлять при острой необходимости.
От сценария кражи/утери телефона/кошелька, конечно, не спасает (ну так и второй телефон, если он не в сейфе, — тоже), но если защищаемся в основном от риска перевыпуска карты — вполне.
Очень бесит, что в Яндекс только деньги умеют работать по Google Authenticator-совместимому приложению, для остальных сервисов нужно ставить их фирменный Яндекс.ключ. Который жуть какой неудобный, особенно со своими однаразовыми кодами из 8 случайных букв, заколебёшься вводить. Плюс во многих интерфейсах яндекса внятно не сказано, какой пароль нужно вводить — то ли одноразовый, то ли обычный.

В качестве решения проблемы они предлагали "отличный" способ — использовать только их приложение, Яндекс.Ключ умеет в том числе и в TOTP.

НЛО прилетело и опубликовало эту надпись здесь

Основная проблема — банки. Кто знает возможен ли в Сбере способ подтверждения кроме СМС?

Купите google voice — там можно смс принимать, а его защитите посильнее
В случае google voice, достаточно украсть куки из браузера, чтобы попасть в аккаунт google и получить доступ к смс-кам.

Ни из предыдущей статьи, ни из этой не становится понятно, чем же именно плоха смс аутентификация как второй фактор. Это именно второй фактор, что предполагает, что он бесполезен, если нет первого. То есть даже если вы угнали симку, то вы не получите доступ, если не знаете логин и пароль. И вся схема работает только совместно с социальной инженерией, например.


Ну или приведите, пожалуйста, пример, как можно похитить эккаунт, только завладев симкой, без применения социальной инженерии или троянов.

приведите, пожалуйста, пример, как можно похитить эккаунт, только завладев симкой
whatsapp
К переписке доступ не получишь, но акк — пожалуйста.
Только что попробовал.
ВК тотчас же отправил письмо-подтверждение на привязанную почту.
Вот только этой почты не существует :D
А дальше только через фото.
Есть много сервисов, которые используют СМС как единственный фактор. Среди них есть банковские приложения и ритейл. Это, на мой взгляд, основная проблема.

А если рассматривать СМС в формате второго фактора: да, это лишь часть системы аутентификации, но, как мне кажется, возникает вопрос надежности этого фактора. Перехват СМС, потеря телефона, недобросовестный сотрудник оператора, подделка доверенности на SIM — довольно много точек отказа. Конечно, любой фактор может быть скомпрометирован, и тот же OTP, а о классических паролях даже говорить не стоит. Но для уменьшения рисков, на мой взгляд, вполне резонно заменить СМС на другой фактор или хотя бы сделать отдельный номер под эти нужды.
если не знаете логин и пароль

А теперь коронный вопрос: как восстановить пароль, если его забыли? Многие сервисы при включенной 2FA шлют SMS для восстановления пароля на этот же номер
Попробуйте побыть с другой стороны экрана: откройте приватный режим и попытайтесь зайти например в гуглоаккаунт, зная логин.
Хм. А вы сами сейчас можете пройти по шагам подключение TOTP (Google Authenticator) для учётки гугла? Потому что у меня предлагают или физический токен, или уведомление на телефон, или СМС. Добавить код из приложения нельзя.

Да, вполне успешно проходит c нуля
image

ЕМНИП, большинство сервисов все равно предлагает выслать код через SMS, если по какой-то причине недоступен TOTP (потеряно устройство или список резервных ключей). Так что совет с "секретным" номером телефона будет более актуальным

Достаточно ли подключить «Запрет обслуживания по доверенности» и продолжать использовать двухфакторную аутентификацию на основе SMS?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий