Комментарии 68
Двухфакторную аутентификацию по желанию давно нужно было ввести, не яблоками же торгуют
Интересно реально ли они сделают двухфакторную аутентификацию или так же как многи банки добавят картинку или доп. вопрос типа «ваша первая машина»?
А вот восемь последних цифр от кредитки — это уже помощь мошенникам, которые будут звонить и от имени godaddy собирать кредитки у их клиентов: первые 6 цифр — идентификатор эмитента, последние 8 известны — в том числе контрольная, несложная программа может лего сосвести количество вариантов до легко перебираемого вручную при покупке.
А вот восемь последних цифр от кредитки — это уже помощь мошенникам, которые будут звонить и от имени godaddy собирать кредитки у их клиентов: первые 6 цифр — идентификатор эмитента, последние 8 известны — в том числе контрольная, несложная программа может лего сосвести количество вариантов до легко перебираемого вручную при покупке.
Вы ничего не заподозрите, если Вам позвонят из техподдержки (с левого номера), и попросят назвать личные данные? Обычно либо звонят с номера, указанного на сайте, либо вообще не звонят, а высылают письмо вида «позвоните по телефону поддержки, указанному на нашем сайте».
Думаю, что заподозрю.
Но учитывая то, что:
1) Мошенники занимаются тем, что пытаются обмануть людей 8 часов в сутки, а я гораздо меньше об этом думаю — у них есть шанс и меня обмануть как-нибудь.
2) Мошенники работают с массами. Им не нужен, хоть и желателен 100% результат обзвона. А один я не являюсь достаточной выборкой. Даже мы с вами напару не являемся.
Но учитывая то, что:
1) Мошенники занимаются тем, что пытаются обмануть людей 8 часов в сутки, а я гораздо меньше об этом думаю — у них есть шанс и меня обмануть как-нибудь.
2) Мошенники работают с массами. Им не нужен, хоть и желателен 100% результат обзвона. А один я не являюсь достаточной выборкой. Даже мы с вами напару не являемся.
Меня другое смущает. С какой вообще стати использовать цифры кредитки для аутентификации??? Пароли солят так, чтобы их было не подобрать за сотню лет, а тут заранее открывают доступ всем, у кого клиент когда-то что-то купил по той же кредитке. Маразм.
Социальная инженерия для того и есть, что бы обходить технически установленные ограничения.
У меня как-то GoDaddy отдал примерно 80-90 моих домейнов одному моему старому клиенту только потому что он решил продлить один свой домейн, который я ему хостил. К счастью, человек оказался адекватным и помог мне вернуть всё обратно. В GoDaddy только развели руками и сказали, что они очень обеспокоены и будут принимать меры. Меры, конечно, не приняли.
Домейны я перевёл на другой регистрар.
У меня как-то GoDaddy отдал примерно 80-90 моих домейнов одному моему старому клиенту только потому что он решил продлить один свой домейн, который я ему хостил. К счастью, человек оказался адекватным и помог мне вернуть всё обратно. В GoDaddy только развели руками и сказали, что они очень обеспокоены и будут принимать меры. Меры, конечно, не приняли.
Домейны я перевёл на другой регистрар.
После трех звонков с неудачной попыткой аутентификации аккаунт будет залочен до выяснения обстоятельств.Т.е. при помощи трех звонков можно временно лишить владельца доступа к аккаунту?
В правильной стране достаточно одного звонка…
Тут не совсем понятно, блокируют/перестают рассматривать звонки относительно проблемного аккаунта, или же блокируют сам аккаунт, после трех звонков с ошибками при попытке аутентификации, до прояснения ситуации.
Так это же Дядя. Я не сомневаюсь что будут именно блокировать аккаунт, и потом вымогать денег у реального владельца за разблокировку. Причем не только аккаунт заблокирует но заодно и домены, а если выкуп не дадут, то потом продадут домены с аукциона. Гоудедди это одна из тех компаний которая если говорит что что-то пропатчила, то значит что стало еще хуже. И если из их уст прозвучало слово «блокировать» или что-то вроде, то зная их любовь к блокировкам доменов и вымогательствам денег они не упустят такой возможности. Это как постсоветские чиновники. Я не удивлюсь если они еще потребуют денег с потерявшего твиттер за то что они пострадали от него, или там за «быстрое и качественное обслуживание» или там «комиссия за подлое предательство и увод доменов к другому регистратору».
> Кроме того, ввели и двухфакторную аутентификацию.
А где её включить то? Вот только что излазил все настройки — не нашел.
А где её включить то? Вот только что излазил все настройки — не нашел.
Писал им уже несколько дней назад — двухфакторная аутентификация только по телефону и только для США. Я сказал, что у них крупная компания, попросил поговорить с IT отделом об сроках реализации автономной системы, например, Google Authenticator — обещали подумать.
Dear Nazar, Thank you for contacting Online Support in regard to 2 step authentication. We do not currently have this option available, although we can assure that the account is secure. I have submitted your feedback as an offer for us to consider as I find it to be a valuable recommendation.
Да уж, и это крупнейшая хостинг-контора и регистратор…
Эх, жаль что .ws домены никуда особо больше перевести нельзя. Либо трансфер не поддерживают, либо цены очень конские :(
Эх, жаль что .ws домены никуда особо больше перевести нельзя. Либо трансфер не поддерживают, либо цены очень конские :(
Так у них цены такие же конские как и везде.
Нет, 9 баксов + промо-коды до 50%.
А у других регистраторов — от, емнип, 14 (но даже и эти товарищи трансфер не поддерживают, только регистрацию) до 35 баксов, и без скидок.
А у других регистраторов — от, емнип, 14 (но даже и эти товарищи трансфер не поддерживают, только регистрацию) до 35 баксов, и без скидок.
Так это регистрация. А продление — 30.
В ноябре продлевал на 5 лет — те же 9 было, плюс промо-код на 30% скидку нашел.
Внезапно блин :(
А зачем вам именно .ws домен?
Они и раньше такое практиковали, для других доменов. Да и не только они, но и другие регистраторы.
В этом-то и минус крупных контор. В крупных конторах исполнители настолько отдалены от клиентов, что им глубочайше фиолетово на то, что клиентам нужно. И любой чих тонет в куче бюрократии и политики.
Никогда не доверял GoDaddy и сразу покупал все домены на Namecheap, оказывается не зря.
«Кроме того, ввели и двухфакторную аутентификацию».
Т.е. без хорошего петуха лишних телодвижений, направленных на усиление безопасности делать было просто лень что ли? Как это типично для «настоящего» бизнеса — экономить на всем что только можно. И на чем нельзя тоже! Причем заниматься проблемами безопасности их заставила даже не широкая огласка единичного случая, а массовый «исход» пользователей получается?
Т.е. без хорошего петуха лишних телодвижений, направленных на усиление безопасности делать было просто лень что ли? Как это типично для «настоящего» бизнеса — экономить на всем что только можно. И на чем нельзя тоже! Причем заниматься проблемами безопасности их заставила даже не широкая огласка единичного случая, а массовый «исход» пользователей получается?
двухфакторная аутентификация??? Глазам своим не верю! Ну хоть один сделал! Хотелось бы подробностей. Хотя доверия godaddy нет никакого. :( Может кто-то еще из регистраторов додумался сделать?
Не очень хороший вариант. А есть ли у кого-то из регистраторов TFA c time-based кодами, чтобы google authenticator поддерживал?
У меня есть подозрение что нет и не будет, по крайней мере я не встречал у тех пяти-шести регистраторов с которыми имел дело.
Во первых это достаточно не просто в рамках корпорации.
Во вторых не имеет большого смысла с точки зрения спроса и окупаемости. Это нужно нескольким гикам и(или) параноикам.
Это из разряда прикрутить OpenID или вход через FB, twitter, etc. Прикольно, даже кто то будет пользоваться, но для большинства нафиг не надо.
Во первых это достаточно не просто в рамках корпорации.
Во вторых не имеет большого смысла с точки зрения спроса и окупаемости. Это нужно нескольким гикам и(или) параноикам.
Это из разряда прикрутить OpenID или вход через FB, twitter, etc. Прикольно, даже кто то будет пользоваться, но для большинства нафиг не надо.
У domainsite.com (ныне name.com) TFA с кодами, но через какое-то странное приложение от Verisign (ныне Symantec).
name.com
давно, через железный токен Verisign ( тот же токен палка использует, там правда только для белых людей можно его прикрутить).
давно, через железный токен Verisign ( тот же токен палка использует, там правда только для белых людей можно его прикрутить).
Только по телефону и для США, смотрите мой коммент выше, так что пока мы все в пролете.
Moniker на моей памяти поддерживает двухфакторную уж лет пять, у них эта фича называется Portfolio MaxLock. Требуют за это дополнительную денюшку, хотя и разовую. После подключения услуги при значимых операциях с доменами нужно будет ответить на 2 вопроса. Насколько помню вопросы можно кастомизировать.
Еще бы Moniker поддерживал newGLTD, цены бы ему не было.
Еще бы Moniker поддерживал newGLTD, цены бы ему не было.
OFF. Изменения в политике гоудэдди твиттер-аккаунт не вернут, это ясно, но почему администрации твиттера не вмешивается, не пойму…
Хороший вопрос. Может быть стоит им написать?
Я как-то пытался написать им чтобы удалить старый твиттер-аккаунт, которым не пользовался. При этом пароль и почту, на которую регал аккаунт — давно позабыл. Их робот не пустил меня дальше письма о том, в котором мне сообщалось, что почта с которой я пишу не связана с аккаунтом, по которому я требую помощи. Все. Любая попытка достучаться до поддержки и сообщить им любую информацию, чтобы вернуть аккаунт и удалить самостоятельно оканчивалась ничем.
Насколько я понимаю, эта история может быть в том числе и выдумкой. Мало ли, может, предыдущий владелец всё-таки продал аккаунт за пятьдесят штук, а потом ещё и написал такую статью. Помочь мог бы анализ логов изменения настроек GoDaddy, но, как ни странно, похоже, что логов они не ведут.
Однако, бяда.
Я-то и не помню какая из моих шести кредиток у них записана…
Я-то и не помню какая из моих шести кредиток у них записана…
А почему ему не может помочь сам Twitter?
Тоже не понимаю, но у них еще есть время как-то отреагировать на случившееся.
Откуда Twitter'у знать что аккаунт небыл добровольно продан?
Selling usernames: You may not buy or sell Twitter usernames.
support.twitter.com/articles/18311-the-twitter-rules
support.twitter.com/articles/18311-the-twitter-rules
Странно, что они ему 50000$ не вернули…
У годади есть очень необычная фича — домены можно забрать практически мгновенно к любому регистратору обычным трансфером, если они старше 60 дней. Т.е. злоумышленнику достаточно получить доступ к аккаунту на 10 минут чтобы украсть домены и после этого их уже невозможно будет вернуть на аккаунт. Godaddy никаким образом не помогает в решении подобных вопросов.
Есть у годади и другие не очень-то приятные «фичи». Например, домен нельзя перенести если после его регистрации или даже смены контактной информации прошло менее 60 дней.
Ну и, конечно же, стоит сказать о политике Godaddy в отношении так называемых доменов под подозрением. В отношении доменов всегда действует презумпция веновности и Godaddy не задумываясь лочит домен. Другими словами, Godaddy неадекватен.
Но у Godaddy есть и плюсы, я думаю во многом из за них он все еще популярен — его аукцион. Там можно найти действительно неплохие домены. Правда лучше по прошествии 60 дней их сразу же переносить на другого регистратора.
Что касается безопасности — с моей точки зрения есть 2 вещи, которые можно было бы сделать:
1) Блокировка по айпи с возможностью изменить в случае необходимости через звонок к сапорту.
2) Двухфакторная аутентификация.
Есть у годади и другие не очень-то приятные «фичи». Например, домен нельзя перенести если после его регистрации или даже смены контактной информации прошло менее 60 дней.
Ну и, конечно же, стоит сказать о политике Godaddy в отношении так называемых доменов под подозрением. В отношении доменов всегда действует презумпция веновности и Godaddy не задумываясь лочит домен. Другими словами, Godaddy неадекватен.
Но у Godaddy есть и плюсы, я думаю во многом из за них он все еще популярен — его аукцион. Там можно найти действительно неплохие домены. Правда лучше по прошествии 60 дней их сразу же переносить на другого регистратора.
Что касается безопасности — с моей точки зрения есть 2 вещи, которые можно было бы сделать:
1) Блокировка по айпи с возможностью изменить в случае необходимости через звонок к сапорту.
2) Двухфакторная аутентификация.
Инициализация переноса домена к другому регистратору начинается со специального письма на email администратора домена (после того как домен разлочен). То есть, чтобы увести домен к другому регистратору нужен ещё и доступ к почте. Но пушнуть внутри GoDaddy вроде бы можно и без почты.
Требование подождать 60 дней после регистрации или предыдущего трансфера, это правило ICANN, а не GoDaddy.
Требование подождать 60 дней после регистрации или предыдущего трансфера, это правило ICANN, а не GoDaddy.
Похоже гоудеди сделал неплохую рекламную кампанию нэймчипу, причём оплатил её своими клиентами.
Кажется благодаря этим событиям я нашел себе нового регистратора (-:
Я только одного не понимаю — почему твиттер не вернул аккаунт @ N владельцу. Они ж ничем не торгуют, договорами не связаны, по их ПС могут в любой момент у кого угодно забрать аккаунт без объяснения причин.
А кто-нибудь может поделиться инфой по регистратору dynadot.com, у кого какой опыт, можно ли связываться?
Я, как пользователь, тоже поменял, по отношению к ним. Тем более что общение с ними и ранее имело оттенок классического «дэнги давай!»
Меня вот больше интересуют вопросы безопасности у Российских регистраторов.
Если на ошибках учатся, то это хороший пример для всех.
Если на ошибках учатся, то это хороший пример для всех.
НЛО прилетело и опубликовало эту надпись здесь
Теоретически, в базе можно хранить и хеш пароля, и хеш первых четырех символов.
Это уменьшает стойкость пароля, поскольку по хешу узнать первые 4 символа пароля в таком случае довольно простая задача. Проще наверно было бы хранить независимый пин-код для общения с техподдержкой, или то же самое кодовое слово… но не часть пароля же!
В 1Gb запрос восстановления пароля присылал мне его не зашифрованным на почту. Так что они его вообще не шифруют.
А у нас, у белорусского регистратора hoster разрешение проблем с потерей доступа к аккаунту с доменами — личный визит с паспортом, может многим это не нравится, но очень надежно.
Здравствуйте.
Подобная история у нас невозможна.
Аккаунты записываются на конкретных лиц вплоть до номера паспорта, изменить эти данные юзеры (и злоумышленники) самостоятельно не могут.
В случае угона аккаунта владельцу аккаунта достаточно лично с паспортом явиться в любой из наших офисов и написать там заявление на восстановление доступа. Также возможен вариант с нотариально заверенной бумагой по почте.
По телефону мы только консультируем клиентов. Совершить какое-либо действие с доменом или изменить какую-то настройку по телефону невозможно.
Вообще, авторизация по телефону — большое зло.
Весь набор информации для авторизации во-первых: произносится вслух и может быть снят из помещения, где он произносится.
Во-вторых: он передается по телефону — это канал очень сомнительной надежности.
И в-третьих: сотрудники регистратора видят глазами всю информацию для авторизации, т.е. есть отличная от нуля вероятность утечки данных через сотрудников колл-центра.
Кстати, у нас еще есть настройки безопасности для аккаунтов.
Можно, например, разрешить доступ только с определенного IP или диапазона IP.
Webnames.ru
Подобная история у нас невозможна.
Аккаунты записываются на конкретных лиц вплоть до номера паспорта, изменить эти данные юзеры (и злоумышленники) самостоятельно не могут.
В случае угона аккаунта владельцу аккаунта достаточно лично с паспортом явиться в любой из наших офисов и написать там заявление на восстановление доступа. Также возможен вариант с нотариально заверенной бумагой по почте.
По телефону мы только консультируем клиентов. Совершить какое-либо действие с доменом или изменить какую-то настройку по телефону невозможно.
Вообще, авторизация по телефону — большое зло.
Весь набор информации для авторизации во-первых: произносится вслух и может быть снят из помещения, где он произносится.
Во-вторых: он передается по телефону — это канал очень сомнительной надежности.
И в-третьих: сотрудники регистратора видят глазами всю информацию для авторизации, т.е. есть отличная от нуля вероятность утечки данных через сотрудников колл-центра.
Кстати, у нас еще есть настройки безопасности для аккаунтов.
Можно, например, разрешить доступ только с определенного IP или диапазона IP.
Webnames.ru
НЛО прилетело и опубликовало эту надпись здесь
И инструкция как это сделать именно с гоудадди: www.namecheap.com/support/knowledgebase/article.aspx/876
Какой рейтинг зарубежных доменных регистраторов считается адекватным?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
GoDaddy изменили политику безопасности после случая с «Twitter аккаунтом ценой в $50 000»