Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях».
Документ не является обязательным, но в соответствии со стандартами NIST строят свою инфраструктуру многие государственные учреждения и компании США, поэтому такое решение может серьезно изменить подходы к обеспечению информационной безопасности уже в ближайшем будущем.
Под внеполосной аутентификацией здесь подразумевается использование второго устройства для идентификации личности пользователя.
Почему SMS нельзя использовать для аутентификации
В документе NIST напрямую не указаны причины того, почему SMS не следует использовать в качестве элементов двухфакторной системы аутентификации. Тем не менее, очевидно, что представители Института учли в черновике многочисленные сообщения о взломах и перехватах SMS.
В частности, широкую огласку получила история с взломом Telegram-аккаунтов российских оппозиционеров. О том, что система авторизации по SMS в мессенджере возможно скомпрометирована заявил Павел Дуров. По мнению создателя Telegram, атака не могла быть осуществлена без вмешательства спецслужб. Однако эксперты Positive Technologies провели собственное исследование, в результате которого им удалось перехватить коды аутентификации Telegram и WhatsApp с помощью уязвимостей сетей SS7.
В результате был получен полный доступ к учетным записям в мессенджере — осуществивший подобную атаку злоумышленник сможет не только перехватывать данные, но и вести переписку от имени жертвы.
Кроме того, ранее мы публиковали результаты исследования защищенности сетей SS7. Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2015 году в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).
Популярность этой темы легко проверить. Соответствующие запросы в поисковых системах выдают ссылки на специализированные ресурсы в закрытом интернете:
В закрытом сегменте сети можно найти массу сервисов для взлома SS7:
Заказы на подобные взломы также размещаются вполне открыто:
Кроме того, уязвимостям подвержены не только технологические сети SS7, но и алгоритмы шифрования радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и злоумышленникам, никак не связанным с государством.
Что теперь будет
Лучшие практики, публикуемые NIST не являются юридически обязывающими стандартами. Однако многие государственные ведомства и агентства США следуют им, что также делают и многие компании, представляющие ИТ-отрасль. Поэтому многие из них после столь однозначеного вердикта Института стандартов и технологий начнут присматриваться к альтернативным способам аутентификации, помимо SMS.
Среди таких альтернатив, к примеру, приложения, доставляющие пользователям двухфакторные коды, обновляющиеся каждые 30 секунд — среди них такие, как Google Authenticator, Authy, Duo. Крупные корпорации разрабатывают инструменты, которые работают на основе похожих принципов (RSA SecureID).
Тем не менее, полного и повсеместного отказа от систем аутентификации, основанных на применении SMS в ближайшем будущем не произойдет. Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений. И именно такие системы будут показывать лучшие результаты в деле обеспечения безопасности пользователей.
Комментарии (132)
molnij
05.08.2016 11:24+13Спасибо тебе, господи! Свершилось!!!
Может наконец закончится эра тупых привязок к телефонам и смс-кодам из нихdmx102
05.08.2016 12:40+6К сожалению привязывают аккаунт к номеру не для обеспечения вашей безопасности, а для идентификации. Определить человека по номеру телефона стало намного проще, нежели по ip, cookies или другим косвенным признакам.
lexore
05.08.2016 15:38+1Идентификация по СМС — да, аутентификация — нет.
То есть, СМС пойдет для "- Ты кто? — Я Вася".
Но не пойдет для "- Докажи, что ты Вася".
AzureSeraphim
05.08.2016 15:50СМС это аутентификация, а не идентификация. При идентификации обычна водится логин пароль(на любом ресурсе), а по смс ты получаешь код подтверждения.
То есть рассуждая по твой логике идентификация "-Я Вася, хочу зайти."
Аутентификация "-докажи что ты Вася"lexore
05.08.2016 15:56Да, из СМС сделали средство аутентификации. Но учитывая дырявость каналов доставки СМС, такой способ не годится в качестве надежного. Это все равно, что делать пароли из 3 символов. И это не просто слова "все на свете можно сломать", а статистика.
Поэтому да, может быть удобно узнавать человека по номеру телефона. Но это все, на что хватает доверия к номеру и СМС. Для каких-то более серьёзных подтверждений СМС использовать небезопасно.AzureSeraphim
05.08.2016 16:04Эээ… Ну я видимо не понял тебя. Проста в твоем месседже явно написана что СМС это идентификация, а не аутентификация. Идентификация и аутентификация это очень разные вещи.
Думаю расписывать что есть что, не критично в данной ситуации.lexore
05.08.2016 16:15Идентификация по СМС — да, аутентификация — нет.
Под этим я имел в виду, для чего оно годится. С терминами-то все не сложно:
- Идентификация — узнать имя юзера.
- Аутентификация — убедиться, что он тот, за кого себя выдает (спросить и проверить пароль).
- Авторизация — разрешить доступ (дать права этого юзера).
Возлагать на СМС роль аутентификации и на основании такой аутентификации приступать к авторизации — открывать ооочень большой список рисков для пользователя. Телефон могут тупо украсть. А ещё могут "потерять" и выдать новую симкарту в салоне оператора (с чем сейчас борются банки, отслеживая смену сим карты). А ещё кто угодно может вклиниться в ваш канал сотовой связи и перехватывать ваши смс.
В такой ситуации идентификация по номеру телефона — максимум, на что можно полагаться. И то, с оглядкой.AzureSeraphim
05.08.2016 16:34>Идентификация — узнать имя юзера.
>Аутентификация — убедиться, что он тот, за кого себя выдает (спросить и проверить пароль).
>Авторизация — разрешить доступ (дать права этого юзера).
Почти
Идентификация — авторизация пользователя по ID акаунта, логин и пароль.
Аутентификация — авторизация идентификаци с запросом кодового слова через иной источник связи, маил, телефон и иные средства брелки устройства и ПО.
>Возлагать на СМС роль аутентификации и на основании такой аутентификации приступать к авторизации — открывать ооочень большой список рисков для пользователя.
Тут я с вами не спорю. Телефон в прицепе не лучшее средство подтверждения. Самое топовое это брелок с подтверждением генетического ДНК код индивида, такую байду замучаются подделывать.
lexore
05.08.2016 16:57Идентификация — авторизация пользователя по ID акаунта, логин и пароль.
Аутентификация — авторизация идентификаци с запросом кодового слова через иной источник связи, маил, телефон и иные средства брелки устройства и ПО.
На самом деле нет. Эти три понятия часто путают, хотя они означают три раздельные вещи.
Из википедии, идентификация в информационных системах — присвоение идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов. Например, идентификация по штрихкоду. От лат. identifico — отождествлять.
На этом этапе от пользователя ещё не попросили пароль. Это достаточно быстрый этап, после ввода логина, но до ввода пароля. Иногда система по логину определяет, из какой базы брать пароль. Например, когда есть почтовый сервер с кучей доменов.
Так же, из википедии, Аутентификация (англ. authentication; от греч. ?????????? [authentikos] – реальный, подлинный; от ???????? [authentes] – автор) — процедура проверки подлинности.
На этом этапе пользователь должен доказать, что он действительно является тем идентификатором, который он указал ранее. Вот здесь уже идет проверка подлинности пользователя, например путём сравнения введённого им пароля с паролем в базе.
А Авторизация (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Опять-таки, из википедии
На этом этапе система смотрит, куда она дает доступ юзеру. Например, СУБД смотрит, в какие базы пользователь может зайти.
Таким образом. авторизация — это просто предоставление прав (от англ authorization — разрешение).
AzureSeraphim
05.08.2016 17:05При идентификации ты авторизируешься на ресурсе и при аутентификации ты подтверждаешь идентификацию, грубо говоря авторизируеш идентификацию.
VolCh
05.08.2016 21:46+2Идентификация — представляешься системе. Аутентификация — доказываешь системе, что ты это ты. Авторизация — проверка системой твоих прав.
OtshelnikFm
05.08.2016 11:24Так как безопасно авторизовываться? отпечаток пальцев, сетчатки, регистрация на сервисе госуслуг и получение железного (usb) ключа? Какие методы надежней? Или все по старинке: 256 разрядный шестнадцатеричный ключ вида: df936a5ff54fb58f38a060d962299e7f5d192a90f7283d1f7d17ec3f7c5be959?
muon
05.08.2016 11:46+8Биометрию вроде бы признали бесперспективной ещё до засилия СМС-кодов…
А вот госуслуги, кстати, вполне себе внеполосную аутентификацию реализовали — приходит тётя, приносит конверт с кодом, кидает его в почтовый ящик. Не всегда в нужный ящик, и вообще не всегда в ящик, но стойкость к атакам на SS7 очевидна.
ibKpoxa
05.08.2016 12:47госуслуги теперь работают через мфц, а не через почту России.
ds_pro
05.08.2016 13:15Письмом можно подтвердить аккаунт.
sumanai
05.08.2016 14:26+1Но в налоги с ним нельзя, так что аккаунт неполноценный.
Envek
05.08.2016 16:20В налоги можно либо:
а. Сходив в МФЦ и подтвердив учётку ЕСИА лично (где на тебя и на твой паспорт посмотрят)
б. Подтвердив учётку ЕСИА с помощью электронной цифровой подписи (именно так единственный раз за три года мне пригодилась карта УЭК, уже, считай, не зря получал)
daihatsu
05.08.2016 14:57-3И что?
Злоумышленник зайдет и от вашего имени налоги заплатит?
Так это же благо.
А все остальное что можно там узнать — все это можно получить и более простыми способами за коробку конфет соотвествующим госслужащим и даже проще.
AllexIn
06.08.2016 13:10Ага. Я представляю как на меня наброситься налоговая, если налоги мои будут оплачены левым человеком.
azsx
05.08.2016 11:25Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений.
Как внутри сайта или приложения можно реализовать аутентификацию?lexore
05.08.2016 15:35Отдельное приложение на телефоне, на которое приходят коды с сайта.
Принцип тот тоже, что у СМС, только через интернет, сшифрованием и прочими плюшками.
ValdikSS
05.08.2016 11:41+3Не совсем по теме, но я тут задумал сделать реализацию U2F на TPM (Windows / Linux). TPM уже сейчас есть во многих компьютерах, а в связи со свежим требованием TPM Windows 10 и внедрением программной реализации внутри Intel ME на новых чипсетах, к концу года он будет стоять если не на всех компьютерах, то на подавляющем большинстве. Безопасная двухфакторная аутентификация без использования сторонних устройств, хорошо ведь звучит? Никто не желает присоединиться?
aol-nnov
05.08.2016 14:57Quis custodiet ipsos custodes? Как доверять этим ТПМ-ам, которые поставляет сам вендор оборудования?
У меня параноя? ;)ValdikSS
05.08.2016 19:17Во многие десктопные материнские платы вы можете любой TPM поставить, там есть разъем для подключения TPM. Производителей несколько.
aol-nnov
05.08.2016 19:21я-то могу! (и ставлю — работа такая) :) но вы уповаете на intel me. в связи с этим и вопрос ) насколько это выйдет доверенно…
да, и чуть ниже вопрошают про реализацию. не поделитесь задумкой? интересно!
T-362
05.08.2016 14:57+1С ходу нет — это же девайс лок получается, девайс локов сейчас и так полно, а надо, в конце концов, пользователя идентифицировать, а не устройство.
ValdikSS
05.08.2016 19:16Если все получится так, как у меня сейчас в голове задумано, то ключ можно будет синхронизировать между несколькими TPM'ами, чего нельзя добиться с тем же Yubikey (но его можно физически носить и вставлять в компьютеры, конечно же).
T-362
08.08.2016 13:29А вот так уже лучше, хотя все равно девайс лок. В стиме например сейчас такая-же фигня — если зайти с нового устройства он ругнется и затребует подтверждение, которое, опять-же, через мобильное решето или почту. Получится вариация девайс лока только не по железу или какому-то комплекту параметров-переменных системы, а по TPM.
Как уже писали рядом — хорошая будет статья для Хабра.
darkprof
09.08.2016 11:19В стиме например сейчас такая-же фигня — если зайти с нового устройства он ругнется и затребует подтверждение
Не с другого устройства, а с другой системы. Комп может быть один и тот же.T-362
09.08.2016 12:06Насколько я помню, при варварской замене сенди бриджа на скайлейк (мать+проц+оперативка) без переустановки системы стим меня развидел и пришлось лезть на почту.
darkprof
09.08.2016 12:58У меня развидел на одном и том же компе под Linux и Windows. Значит видимо от устройства тоже зависит.
T-362
09.08.2016 15:24Статью про особенности девайслока стима было бы тоже интересно статью почитать, но им никто не занимается, если и ломать стим то проще отломать его от самой игры.
Вальву бы на хабр заинвайтить…
timapple
05.08.2016 14:57Расскажи пожалуйста про реализацию. Как это всё будет «выглядеть»? Приложение, драйвер или часть биоса? Почему для этого нужен TPM? Отличная тема для статьи на ГТ.
igrishaev
05.08.2016 12:16И правильно. У гигантов типа Гугла или Эпла авторизация по смс уже ниже по приоритету, чем подтверждение кодом с устройства. У Гугла это приложение "Google Authenticator", у Эппла код загорается прямо на айфоне без установки софта.
dude_sam
05.08.2016 12:43+2Google Authenticator это шикарно, но вот буквально вчера умер телефон и если бы не смс (ну, и секретные коды «на бумажке» в компьютере), то, получается, мог бы попрощаться со всеми своими аккаунтами?
Andrusha
05.08.2016 13:19-3Да, могли бы попрощаться — как и любой другой человек, не делающий бэкапы важных данных.
bustEXZ
05.08.2016 13:34-1Ну служба поддержки может и спасла бы :)
Alexeyslav
05.08.2016 13:42Ответ на секретный вопрос благополучно забыт… я так попрощался с только что созданным акаунтом на гугле — не прошло и суток как забыл пароль(специально же выдумал невзламываемый) и ответ на секретный вопрос. Теперь пользуюсь некошерным аккаунтом с циферками на конце.
Frankenstine
08.08.2016 12:06Пройдёт с пол года и «кошерный» акк сдохнет, можно будет перерегистрировать :)
Zardos
05.08.2016 13:11На смс нельзя полагаться хотя бы потому что телефоном легко может воспользоваться другой человек (если телефон не запаролен): родственник или грабитель.
Alexeyslav
05.08.2016 13:40У них как правило не будет первого фактора(пароля) чтобы воспользоваться услугой. Только целевая атака может скомпрометировать доступ — т.е. если будут знать когда и чей телефон украсть или заразить трояном, транслирующим входящие СМС. А иногда действует даже три фактора: ещё пин-код/сканер отпечатка самого телефона.
Zardos
08.08.2016 15:58Заходят они в вк, вводят в качестве логина номер телефона, пишут «забыл пароль», указывают номер телефона, туда приходит смс с кодом. Все.
Andrey_Epifantsev
05.08.2016 14:58+1При двухфакторной аутентификации родственнику или грабителю нужно ещё знать пароль. Владения телефоном недостаточно.
nmk2002
09.08.2016 01:19Кроме другого человека, есть еще куча приложений, которые пользователь ставит на смартфон и разрешает им права на перехват SMS не задумываясь.
AzureSeraphim
05.08.2016 14:58Если аутентификация по смс запрещается, то скорей всего будет по ussd запросам «радости полные штаны».
Фтопку привязку мобиллак к интернет ресурсам, не эстетична это дело!
diagonal
05.08.2016 14:58Я правильно понимаю, что голосовое сообщение кода тоже может быть перехвачено?
Alexeyslav
07.08.2016 09:24Очень не всегда, как правило голос шифруется и пока для расшифровки голосового канала нужно крайне дорогое оборудование перехвата, а трояны на большинстве смартов просто не будут иметь доступа к расшифрованному голосовому каналу.
Таким образом стоимость взлома сильно возрастает, и имеет смысл если вы собрались красть миллиардами — а это как правило делается совершенно на другом уровне и вполне официально.Frankenstine
08.08.2016 12:11Кстати говоря, в украинском Приватбанке отказались уже несколько месяцев как от СМС-кодов и просто делают вызов на привязанный номер, после ответа клиента робобаба просит нажать на клавиатуре нужную цифру, и получив аудиокод, разъединяет и происходит вход.
Exel_Wild
05.08.2016 14:58Можно добавить привязку по IP и GPS координаты устройств аунтефикациии, к примеру, сертификат, повторную пересылку смс, приложение, кодовое слово… т.е. добавить многофакторности, что усложнит взлом…
AzureSeraphim
05.08.2016 15:05>т.е. добавить многофакторности, что усложнит взлом…
И жизнь вместе с ним. Это получится так идентификация с аутентификацией через аутентификацию аутентификации и так много много циклов до полной идентификации.
vadimr
05.08.2016 17:17Что-то я не понял логику. SMS можно взломать, а приложение Google, значит, нельзя?
sumanai
05.08.2016 17:29СМС не взламывают, СМС перехватывают. В приложения же встроена защита от перехвата.
vadimr
05.08.2016 17:47Что-то меня заставляет скептически относиться к подобному утверждению фирмы Google.
sumanai
05.08.2016 20:46Защита от перехвата встроена в протокол, не нравится гугл, используйте любое другое приложение для 2FA.
dartraiden
05.08.2016 21:07
dartraiden
05.08.2016 21:10+1В общем, они просто подтвердили известное: двухфакторная аутентификация (код из приложения) безопаснее двухэтапной (SMS). Велик риск перехвата SMS «по пути» или даже банальный перевыпуск вашей сим-карты без вашего участия (российская специфика).
Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
nmk2002
09.08.2016 12:08Пароль — 1-ый фактор — то, что пользователь знает
Код из SMS — 2-ой фактор — то, что пользователь имеет. Правильно введенный код из SMS подтверждает владение SIM картой с номером телефона, зарегистрированного на пользователя.
Полагаю, что вопрос в терминологии «двухфакторная» или «двухэтапная» не в самом методе аутентификации, а в реализации. Если второй фактор у вас спрашивается только после успешно введенного первого, то это двухэтапная, а если оба фактора проверяются одновременно, то двухфакторная.
slavait
08.08.2016 12:03+1Надо исходить из простого факта, взломать можно все, перехватить можно все.
Но ничто не мешает добавить соль к СМС коду. Тогда обычный перехват уже не поможет. А подобрать соль за малое количество переборов будет проблематично.
Предложение программ от гугла и других подобных, всего-навсего упрощение для неких структур по изъятию кодов использующих механизмы аутентификации. Тут даже думать не надо, что за СМС, все идет по протоколам и складывается куда следует.
Т.е. в системе ставишь соль к примеру «прибавить 111» или «умножить на 11», а тебе пришла смс 123, вот и сиди складывай (234) и умножай (1353) в уме или локальным спецприложением. Хотя это дело пользователя и надо дать право выбора.
Но другая проблема, что смартфоны дают полный доступ кому ни поподя, и для СМС надо использовать телефоны десятилетней давности.
evnik
08.08.2016 12:04Забавно, что уже после публикации от NIST Social Security Administration ввела MFA через SMS. В любом случае, это выглядит более надежным, чем присылать временный пароль обычной почтой (кое-где и такое бывает).
zelserg
10.08.2016 06:04Мне кажется возможной такая схема: устанавливаете приложение, которое имеет доступ к полученным СМС и знает закрытый ключ получателя. Смс шифруется окрытым ключом получателя. Как более простой вариант — используется 20 (или более) значный пароль, который генерируется при входе пользователя на сайте банка и пользователь информируется по e-mail, что требуется подверждение сгенерированного пароля. Войдя по e-mail ссылке ему также надо ввести смс-код (обычный).
Тогда перехват платежной СМС-ки ничего не даст (в ней почти случайный набор знаков типа base64), а установленное приложение (знающее ключ или пароль) покажет нормальный код подтверждения.
DrPass
> Среди таких альтернатив, к примеру, приложения, доставляющие пользователям двухфакторные коды,
А среди альтернатив существует хоть одна альтернатива, которая позволяет обойтись имеющимися у пользователя девайсами, и при этом не требующая от пользователя установки какого-то специализированного софта?
AllexIn
А какие у пользователя девайсы?
Чипы под кожу вживлять пока не начали.
DrPass
Не обязательно вживлять под кожу, достаточно того, что обычно есть в кармане.
AllexIn
ТО что есть в кармане у вас, не обязательно есть у других.
Исключение — только телефон, который получил повсеместное распространение. Но как мы уже выяснили он не годится для этой задачи.
climenty
Телефон годится, не годится SMS, потому как идёт к пользователю через третьих лиц.
А если у вас на телефоне стоит приложение, которое по зашифрованному каналу получает коды, то от подставы в подмене SMS получателя со стороны оператора вы защищены.
AllexIn
Исключение — телефон. А не смартфон.
Смартфоны далеко не так рапспространены.
daihatsu
Смартфоны не распространены????
В бедной-бедной Индии классические телефоны — редкость.
Там смартфоны почти у всех, у кого вообще есть связь
dartraiden
На многих телефонах есть J2ME. Причём, очень давно.
J2ME OTP Calculator
AndrewTishkin
Ой, вот как раз Джаву в современных звонилках днём с огнём не сыскать. По крайней мере в России. Кто раритетами прошлых лет пользуется или купил их б/у — счастливчики.
Вообще, парадокс. С учётом того, что старые звонилки были продвинутыми (пусть и без камеры) и дорогими, но с годами технологии стремительно дешевеют, удивительно, что нынче за пару тысяч можно купить примитивное убожество, не умеющее даже с MMS работать, не поддерживающее цветовые темы оформления (размер шрифта и то обычно не регулируется, жри что дают), какие уж тут поддержки Java от такого ПО ждать, но зато с камерой для галочки и большим экраном (если повезёт — ещё и ёмким аккумулятором). Впрочем, это явление легко объясняется жаждой денег производителей, увы и ах.
daihatsu
MMS никому в современно мире уже не нужно.
Кому нужно нечто подобное — сидят на Вайбере, ВиЧате, Ватцапе, Телеграме.
Не объясняется. JavaME уже была разработана. И все для её интеграции в телефон — уже сделано. Самая дорогая часть — R&D здесь. А производство — это уже экономия на копейки.
Выкинули только потому, что она не нужна.
Была бы РЕАЛЬНО НУЖНА потребителям — никто бы не стал эти копейки экономить.
Я вот замечаю, что современные простые телефоны — существенно быстрее запускаются. Значит, железо там не то древнее слабое…
AndrewTishkin
Ну это как раз можно объяснить и тем, что софт максимально упрощён. Не обязательно показатель эффективности его проектирования с точки зрения потребления процессора, памяти и энергии.
Лично я разницы в быстроте запуска не замечал, по-моему даже наоборот — махонькие соньки эриксовны и моторолки середины 2000-х запускаются шустрее, чем исчезает заставка на современных широкобоких тел-ах вроде Fly и проч.
Зачем потребителю предлагать дешёвый многофункциональный перочинный нож, когда можно развести его на покупку чемодана с инструментами? Нет экономического смысла продавать навороченные звонилки, когда выгоднее продавать смартфоны.
azsx
При этом я переживу без браузера, mms и прочих няшек на телефоне, но нет элементарных вещей. Например, недавно купил филипс Е160, на него надо перебросить контакты с excel 300 штук. Реально, оказалось проще написать программу, чем найти что-то в сети. Тем более нет ничего на сайте производителя.
Чем еще можно объяснить, что производитель не дает синхронизировать контакты с компьютером, кроме желания продавать смартфоны?
merhalak
Актуальный вопрос. У меня дядя взял себе E560. Исходниками не поделитесь?
Кстати, у Вас есть возможность устанавливать мелодию на контакт? Или такого пункта поддержки в телефоне нет?
azsx
Там такая залипуха, что прямо даже неудобно.
for i := 1 to 270 do begin
fmain.Memo1.Lines.Add('BEGIN:VCARD');
fmain.Memo1.Lines.Add('VERSION:2.1');
fmain.Memo1.Lines.Add('N;CHARSET=UTF-8;ENCODING=QUOTED-PRINTABLE:' + imya[i]);
fmain.Memo1.Lines.Add('TEL;CELL:' + nomer[i]);
fmain.Memo1.Lines.Add('END:VCARD');
end;
Я вставил свои контакты в excel, сформировал сразу код для заполнения массива imya и nomer, скопировал код в тело программы.
Сам проект я сохранил только для того, чтобы в следующий раз формат vcard для своего телефона не искать.
Я зашел в контакт, при редактировании можно выбрать мелодию стандартную или с телефона. Менять не стал, я таким не занимаюсь.
Зачем вам разные мелодии на контакты? Лучше одну иметь и рингтоном. Привычно и понятно, что звонит телефон, а не радио в машине играет.
daihatsu
Покажите мне opensource прошивку GSM-модуля телефона.
Ну, пожалуйста, покажите.
Вы не в теме совершенно.
Ага. Только этим занимаются разные заводы. И вовсе не заинтересованы в описываемым вами маркетинговом трюке.
Старого типа телефоны — одни заводы специализируются. Смартфоны — другие заводы. Совмещение — крайне редко, только у крупных производителей осталось, например, у Samsung.
Да и вы вообще понимаете что такое «сегменты рынка»???? Как это работает?
Вы всерьез полагаете, что отключив MMS, можно заманить покупателя, нацелевшегося на звонилку в 500 рублей на смартфон хотя бы за 3000 рублей?
AndrewTishkin
Возможно правильнее было бы выразиться «с бесплатным открытым исходным кодом, с правом на присваивание прав на модифицированный код, иными нюансами» и т.п.
Из того, что могу вспомнить:
FreeRTOS,
ThreadX
Какая разница какие заводы в каких частях света занимаются производством, под брендом вообще может скрываться зоопарк не находящихся друг с другом в родстве устройств, из совершенно разных электронных компонентов, как у того же Fly, работающей по принципу «увидели где-нибудь в Китае удачную модельку звонилки — и быстро адаптировали под массовые продажи в коробочках со своим логотипом в таких-то странах».
Alexeyslav
Как отправить срочно фотографию с камеры телефона без MMS? На звонилке функция не нужна, но раз в год вот надо срочно и всё и как на зло под рукой нет смарфона, и уж темболее желания заводить месенджер на отправку одного фото в год.
AndrewTishkin
Ситуации вообще разные бывают. Может статься, что в роуминге дешевле ммснуть, чем выходить в моб.инет, может надо пожилому человеку на «бабушкофон» весточку прислать, или банально послать длинное сообщение дешевле, чем если бы состоящим из нескольких СМС.
Собственно суть-то была не конкретно в MMS, суть в том, какие могут быть сюрпризы при покупке современных простых телефонов, на что обращать внимание. Слышал о более страшных вещах, вроде про Explay-и, в которых не поддерживались flash-SMS (используются некоторыми банками, это которые зажигаются на экране без добавления во «входящие») и даже USSD-запросы в режиме диалога. Про такие ущербности из технического описания товара на сайте производителя не узнать, только тестировать вживую…
sumanai
Покупал своей маме телефон, она спросила, будет ли там Т9, я ответил, что конечно же будет, сейчас телефоны лучше, чем раньше… Ну вы поняли, что никакого Т9 в телефоне за 890 рублей не было.
Доказательства есть? А то держу своё смартфон в 2G, так как только он нормально ловит в моей квартире, а мобильный интернет дорог.
daihatsu
«Будут» — глагол будущего времени.
Первая ласточка: сейчас в столице сеть Tele2 в 2G не работает.
По мере выхода базовых станций из строя или замены на новые — операторы будут ставить только современные станции, где только 3G и выше…
evnik
У Tele2 в Москве это связанно с отсутствием лицензии на 2G.
Если не ошибаюсь, частоты для 3G/4G различаются в США и Европе (и России), что отражается на поддержке частот в телефонах. В результате, при отсутствии 2G, роуминг, в том числе и голосовой, для некоторых абонентов просто не будет работать. Не думаю, что все операторы пойдут на это.
evnik
Да что там Explay, если Windows Phone 7.x (а значит и все смартфоны от Nokia, Samsung и HTC c ней) не поддерживала такие USSD запросы.
Настройки MMS там тоже как-то странно реализованы.
daihatsu
А какой смысл отправлять?
Ее получить мало кто может. Даже в ушедшию эпоху рассвета ММС с этим были большие проблемы. Потому, собственно, ММС и умерли.
Да я вам больше скажу — операторы в скором времени будут отключать станции, умеющие 2G. И если ваш простейший телефон не умеет голос через 3G, то все плохо…
Alexeyslav
Никаких проблем… MMS работает через интернет вообще-то. Просто для этого в телефонах использовался отдельный профиль чтобы тарифицировать передачу данных отдельно.
И еще в бытность ч/б телефонов когда телефон не мог физически ММС-ки то приходит код-ссылка в СМС по которой можно в интернете посмотреть ММС-ку.
DrPass
> MMS работает через интернет вообще-то.
Чтобы они работали, нужно все равно как минимум профиль под них прописать. Чего практически никто не делает, т.к. на смартфонах есть куда более практичные заменители, от электронной почты до вайбера.
Alexeyslav
Профиль приходит от провайдера автоматически при неудачной попытке использовать функцию(как они это определяют — не в курсе, но всё светится). И это приходит на уровне GSM-протокола, от которого ни один телефон отказаться не может(иначе GSM-модуль не пройдёт сертификацию и его нельзя будет ставить в телефоны). Причём, часто оператор делает одолжение пользователям — даёт возможность отказаться от применения настроек.
daihatsu
Сколь мне не отправляли MMS, я их НИ РАЗУ не получал.
Мне не надо было ничего настраивать, мне не нужны MMS, я и не настраивал.
А вот с появлением Telegram, Viber, WeChat, WathApp — стал получать фотографии. Там это не в пример проще — ничего и делать не нужно для настройки.
Alexeyslav
Точно так же ничего не нужно делать с ММС-ками, настройки автомаически приходят по воздуху от оператора при неудачной попытке получить ММС-ку. Иногда конечно не срабатывает детектор, и тогда проблема решается отправкой технической СМС, в ответ на которую приходят настройки. Это ничуть не сложнее регистрации в вайбере, телеграмме и прочих сервисах. Сдохли ММС-ки по другой причине — они были слишком дорогие, и на время расцвета технологии многие телефоны не имели возможность их отображать(попробуй смотреть фото на экране 120x96 точек с 16-ю градациями серого...) сейчас ситуация лучше но… момент упущен.
У меня на телефоне вайбер тупо не работает и не будет работать — нет постоянного интернета по идеологическим причинам. А принимать вайбер-сообщения только по вечерам с домашнего WiFi это изврат — его кроет по функциональности и удобству скайп, Gmail и jpegshare.
Suntechnic
А чем «приложение, которое по зашифрованному каналу получает коды» принципиально отличается от вкладки в браузере, допустим с вэбинтрфейсом почтового ящика? Особенно если учесть что когда я за компьютером, то телефон у меня работает по тому же каналу. Весь смысл возьни с СМС был в том чтобы задействовать ДРУГОЙ канал передачи данных. А так… ну шлите мне на почту коды, она ничем не хуже «специального приложения» написанного индусом на каком-нибудь ionic.
Alexeyslav
Браузер может оказаться под контролем трояна, или система скомпрометирована программами для удалённого управления. Вводимый код можно будет тоже перехватить, но смысла от него нет никакого — код будет от конкретной операции и максимум что может сделать злоумышленник — помешать совершить транзакцию.
Суть в том чтобы нельзя было получать код автоматизированно — он должен пройти через руки человека.
А почта… ещё более небезопасна чем СМС — досихпор нет никаких стандартов по шифрованию содержимого, максимум SSH-обёртка которая никак не защищает от перехвата на системе жертвы.
Suntechnic
Вообще это был риторический вопрос. Все это достаточно очевидно. И точно так же приложение может оказаться под контролем трояна.
Alexeyslav
Конечно может. Как и сам девайс. Но такие трояны это скорей конкретная целевая атака, чем широкополосный посев. Темболее что приложение может противодействовать контролю со стороны трояна(шифрование данных в памяти, использование алгоритмов шифрования допускающих операции над содержимым без расшифровки и т.д.), а вот браузер под вопросом.
Самым надёжным будет только девайс без возможности исполнения постороннего кода т.е. с жёстко вшитой прошивкой в OTP-чип. Но они пока ещё не нужны по принципу неуловимого Джо — пока есть более лёгкие способы взлома отдельные приложения взламывать будут с большой неохотой.
Средства защиты — это компромисс между стоимостью защиты и стоимостью взлома защиты, таков расклад на сегодняшний день и сложность защит не будут повышать до тех пор пока стоимость взлома достаточно высока.
daihatsu
Браузер под контролем трояна — это хоть как-то да зависит от конечного пользователя.
Перехват СМС — не зависит от конечного пользователя.
avost
Так человек хочет, чтобы девайс был, а приложение на него ставить не надо было.
climenty
Тогда придётся ждать, пока это приложение не войдёт в состав предустановленных в систему.
Но это странное условие. Человек купил смартфон и не хочет ставить на него приложения?
avost
О том и речь. Но, возможно, он НЕ купил смартфон.
DrPass
Приложение — не вариант. Точнее, не вариант для всех пользователей. Не у всех смартфоны, не все владельцы смартфонов умеют или просто хотят их устанавливать. Зачем при этом покупать смартфон, вопрос тоже очевидный. Большинство пользователей смартфонов покупают их не для того, чтобы там какой-то софт устанавливать, а потому, что они нравятся им по цвету, форме, размеру или модель модная.
Но есть более интересный способ: я буквально час назад делал платеж банковской картой. И знаете, что произошло? Мне не пришла привычная СМС. Мне пришел звонок на телефон, и робот продиктовал код доступа для 3D-secure аутентификации. По-моему, это самый универсальный и в то же время достаточно безопасный способ.
AllexIn
Уж простите, но я не знаю ни одного владельца смартфонов, который бы его покупал по обозначенным вам признакам.
Все кто ходит с телефонами — осознанно покупали телефоны.
Все кто ходит со смартами — осознанно смарт покупали.
Как правило смарт сразу покупают под 2ГИС, Навител, вконтакте.
Конечно, это выборка маленькая. Но я что-то с трудом представляю, что кто-то будет переплачивать за устройств не понимаю зачем оно ему(если это не iPhone, конечно).
DrPass
Ну наверное же просто ваше окружение, с которым вы общаетесь, состоит из похожих на вас пользователей, верно?
Телефоны как раз покупаются обычно осознанно. Их берут люди, которым или нужны большие аппаратные кнопки, или большое время работы от батареи, или просто нужна недорогая звонилка. А смартфоны покупают все остальные — и те, кому нужны смарт-функции, и те, кому просто хочется современный девайс, чтобы с него звонить и писать смски. Ка вы верно заметили про iPhone, но то же самое касается и любого раскрученного смарта, будь-то Galaxy S7 или LG Bello в беленьком корпусе.
dartraiden
На «не-смартфонах» часто есть Java
Код, продиктованный голосом, от перевыпуска сим-карты, увы, не спасёт. Звонок с кодом примет уже злоумышленник.
DrPass
> Код, продиктованный голосом, от перевыпуска сим-карты, увы, не спасёт.
Как по мне, вот такую ситуацию можно смело ставить в один ряд с «дали битой по голове, украли кошелек». Если вы настолько интересуете злоумышленника, что он ради этого методами социальной инженерии ворует ваш телефонный номер, то борьба с ним уже лежит за пределами технических средств.
0xd34df00d
Так смысл тогда от sms уходить?
DrPass
Риторический вопрос. Мне кажется, это уже «секьюрность ради секьюрности», сделать аутентификацию безопаснее на 20%, усложнив процесс на 80%.
Alexeyslav
СМС легко перехватывать автоматизированными методами, даже без ведома пользователя(СМС можно подавить в последствии) — это самая главная проблема этого канала передачи кода.
Alexeyslav
Примет злоумышленник, а до пользователя код не дойдёт или дойдёт уже протухшим — это будет сразу выявлено и транзакция откачена.
Всё это работает только в случае крайней сложности автоматизации процесса получения и использования кода — в случае с СМС автоматизация при помощи трояна на смартфоне или перехвата мобильного трафика просто просится.
Голосовая передача кода будет ещё работать некоторое время, пока не подтянутся трояны перехватывающие голосовой канал и распознающие несложный алгоритм генерации голосовых кодов…
Но это может оказаться технически неосуществимым — большинство нерутованых смартов просто не имеют программного доступа к голосовым каналам.
dartraiden
Пользователь, зачастую, спохватывается, что его симка уже не работает, лишь через час, а то и более (поначалу грешит на плохое покрытие). От установки трояна, можно, хотя бы защититься самостоятельно. Не устанавливать приложения из «левых» источников и так далее. В случае же с перевыпуском сим-карты, защититься невозможно. Даже, если вы настоите, чтобы в базе оператора для вас сделали пометку не перевыпускать карту по доверенности, сотрудник в салоне может её проигнорировать.
alexzzam
Del
Andrusha
Если вы можете в течении 30 секунд самостоятельно посчитать TOTP, то вам достаточно всего лишь запомнить shared secret :)
nmk2002
А если у вас лучше с памятью, чем со скоростью вычислений, то выбирайте HOTP. Нужно будет помнить еще и текущее положение счетчика, но зато времени на вычисление уйма.
molnij
А что случилсоь со старой доброй почтой? Вроде почтовые клиенты есть на подавляющем большинстве телефонов, включая даже не смарты…
kAIST
«угнать» почту значительно проще, чем номер. Да и гарантии того, что смс придет быстрее чем почта, больше. Ничего настраивать не нужно. Случаев, когда мобильный интернет не работает, но ходят смс, гораздо больше, нежели наоборот.
staticlab
Да, но ведь моментальная передача SMS в принципе не гарантируется. SMS с кодом может прийти сразу, может через 10 секунд, может через 3 минуты, а может даже через несколько часов. И пользователь, которому "эта долбанная смска" нужна именно сейчас, будет очень сильно нервничать. Я не говорю, что вместо этого следует использовать почту, но SMS часто меня подводило.
georgevp
Имеется ввиду нормальное распределение вероятности наступления события. Вероятность получения смс будет всегда выше, поскольку для получения пакетов данных необходимо выполнение дополнительных условий (включенный режим передачи данных на смартфоне, наличие телефона в зоне покрытия БС услугой передачи данных, незаблокированный со стороны оператора или родителей :-)доступ к услугам передачи данных и т.д.)
serafimprozorov
OTP-токен?