Ввел пароль на левом сайте, а через час «ты» уже будешь просить друзей вконтакте закинуть 1000 руб на модем.
Улучшение безопасности
Когда взломов стало слишком много, а это случилось 11 февраля 2011, Вконтакте улучшили безопасность в социальной сети: каждый раз, когда под аккаунтом пользователя пытаются неожиданно зайти из новой страны, попытка входа блокируется сообщением, в котором предлагается ввести цифры номера телефона, на который зарегистрирована страница.
Конечно, это не предотвратило взломы, но злоумышленникам стало сложнее, ведь перед каждым входом, надо было смотреть из какой страны жертва и настраивать свой прокси или VPN на конкретную страну.
Авторизация: «email и пароль» или «номер и пароль»
Время шло, и Вконтакте столкнулся с огромным количеством ботов и фейков. Решение проблемы оказалось простым, достать новый номер сложнее, чем новую почту, поэтому с 21 ноября 2012 всех пользователей Вконтакте принудительно заставили привязать номер мобильного телефона.
И раз у каждого пользователя привязан мобильный телефон, то давайте откроем вход с помощью мобильного телефона? Вконтакте делает все для удобства пользователей.
Проблема
Ничего странного не замечаете? Если пользователь на фишинговом сайте ввел свой телефон и пароль, а не почту и пароль, то проверка ввода цифр телефона становится бессмысленной.
Текущее положение дел
На сайтах, где продают аккаунты, цены на «почта: пароль» и «номер: пароль» сильно различаются. Это говорит нам о том, что злоумышленники предпочитают «номер: пароль», так как не любят возиться с VPN и прокси.
Решение проблемы
Как видим, проверка цифр телефона сейчас является неэффективной.
В связи с этим стоит изменить проверку пользователя, который входит с ip другой страны.
Например так:
- Если с ip другой страны вводят почту и пароль, то спрашивать цифры телефона.
Если вводят номер телефона и пароль, то спрашивать часть почты. - Спрашивать имя или фамилию, а не цифры телефона
P.S
Используйте двухфакторную аутентификацию, она позволяет полностью исключить взлом аккаунта с помощью фишинга.
Если вдруг вы решите ввести свои данные на фишинговом сайте, то вводите почту, а не номер телефона.
Комментарии (108)
maaGames
23.12.2016 05:42+4Не пользуюсь Телеграм и аналогичными из-за авторизации по СМС. Хотел бы пользоваться, но при каждом входе вводить СМС… Это приемлемо для личного смартфона, но вот для рабочего компа, например, крайне неудобно… Асечка форэвер.
Очень понравилось последнее предложение постскриптума.)
MegaShIzoID
23.12.2016 06:02вы хотите и рыбку съесть и на люстре покататься, тут или безопасность или скорость входа, в телеграче не смс приходит а сообщение в уже авторизированный клиент и ввести несколько цифр не составляет труда
maaGames
23.12.2016 06:08+1Пардон, я пытался его запустить только дважды (в виндоус) и дважды приходило СМС. Когда разлогиневаешься, клиент ведь перестаёт быть авторизованным?
Например, в Стим, когда выглядишь подозрительно, тебе приходит код доступа на привязанную почту. Для меня идеальным вариантом было бы СМС, которое запрашивают только при «подозрительном» входе. Например, при изменении ip, страны или новом МАС адресе. Я не параноик, меня и авторизация с почтой вполне устраивает. Разлогиневаюсь только потому, что в моё отсутствие коллеги компьютером могут воспользоваться.Hellsy22
23.12.2016 08:19… или новом МАС адресе
Если авторизационный сервер телеграмма каким-то образом сможет узнать MAC-адрес вашей сетевой карты, то это будет реальный повод для паранойи.
В остальном — скажите, а зачем вы вообще разлогиниваетесь? В этом есть какой-то высший смысл?maaGames
23.12.2016 08:27Про МАС адрес загнул я, конечно.Клиент может его хэшировать и отправлять на сервер хэш, например.
Зачем? Перечитайте последнее предложение.Hellsy22
23.12.2016 08:56+2Клиент может его хэшировать и отправлять на сервер хэш, например.
Если вы закладываетесь на что-то, что отправляет клиент, то лучше этим «что-то» будет случайный ключ.
Перечитайте последнее предложение.
Перечитал. Это решается не выходом из Телеграмма и других сервисов с авторизацией, а раздельными аккаунтами на машине. Если уж совсем нельзя раздельные аккаунты, то это может быть том VeraCrypt, на котором и будет, собственно, лежать телеграмм со всей своей историей.maaGames
23.12.2016 09:01Зависит от организации и требований безопасности. У меня на одном из компьютеров даже UAC отключен, так что говорить о раздельных аккаунтах не приходится. Не говоря о том, что раздельные аккаунты это жутко неудобно (Очень ИМХО, свою точку зрения не навязываю, но держать с десяток аккаунтов на одной машине...). Лично меня на 99% устраивает аська с авторизацией через почту-пароль. Не 100%, потому что при слове «аська» на меня удивлённо выпучивают глаза…
sHaggY_caT
23.12.2016 09:24+1(Очень ИМХО, свою точку зрения не навязываю, но держать с десяток аккаунтов на одной машине...)
А что в этом такого? Наоборот, сейчас мейнстрим контейнерный подход, где целый chroot, не то, что какого-то юзера, выделяют всего на одно приложение!
Так что сотни юзеров на машину, особенно если их скрыть с экрана приветствия, ИМХО, самое то :)
MegaShIzoID
24.12.2016 07:02у вас небось еще и сеть без контроллера домена? а что мешает поставить телеграч на телефон и в него будет приходить код авторизации для настольной версии?
maaGames
24.12.2016 07:05А зачем сложности-то? И речь же не только о Телеграмм, это уже повсеместная практика.
Должен быть выбор между безопасностью и удобством (мне удобнее логин-пароль).
sHaggY_caT
23.12.2016 09:15Пардон, я пытался его запустить только дважды (в виндоус) и дважды приходило СМС.
В Linux я решаю это с помощью скрипта, думаю, в Windows, с помощью powershell, можно сделать что-то подобное:
Скрытый текстcat /usr/local/bin/new_tg #!/bin/sh USER=$1 xhost +LOCAL: exec sudo -H -u $USER /usr/local/bin/new_tg.sh $USER ====Второй скрипт:==== cat /usr/local/bin/new_tg.sh #!/bin/sh [ -z "$DISPLAY" ] && DISPLAY=:0.0 export DISPLAY /opt/Telegram/Telegram
maaGames
23.12.2016 09:20А теперь сравните bash/docker/VM, отдельный аккаунт с авторизацией по логину паролю?
Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа. На мой страх и риск.
Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.sHaggY_caT
23.12.2016 09:30А теперь сравните bash/docker/VM, отдельный аккаунт с авторизацией по логину паролю?
Сравнила, и не поняла к чему Вы ведёте. Если к сложностям в логине в операционную систему (нужны лишние действия), то никто не мешает убрать пароль, либо сделать авторизацию, через, например, bluetooth и тот же фитнес-браслет или смартвотч.
Я не говорю, что двухфакторная авторизация не нужна, я горю, что она не нужна всегда. Должен быть выбор. Пусть по умолчанию будет двухфакторная с подтверждением по СМС, но с возможностью выбора менее безопасного способа.
Вам не нужна в телеграмме двухфакторная авторизация всегда. Просто не разлогинивайтесь из клиента, и у Вас клиент не будет спрашивать ничего.
Вспомнил ещё одну проблему. У меня всего один телефон. И у меня нет желания покупать вторую симку только ради второго аккаунта в телеграм или аналогичных.
Я использую для получения SMS SaaS сервис (просьба не считать за рекламу, просто привожу его в спойлере как пример)
Скрытый текстmaaGames
23.12.2016 09:35Я правильно понял, что можно на стороннем сайте получить «виртуальный» номер, к которому привязать аккаунт телеграмма и получать СМС через этот сайт? Вот лично по мне, лучше я создам персонально телеграмский почтовый ящик с длиннющим паролем, чем буду данные авторизации через «левый» сайт проводить. Не знаю, насколько они безопасны, использовал подобный сервис только для одноразовой авторизации на каком-то сайте.
sHaggY_caT
23.12.2016 09:56Я правильно понял, что можно на стороннем сайте получить «виртуальный» номер, к которому привязать аккаунт телеграмма и получать СМС через этот сайт?
Не только телеграмм. Я для всех сервисов в интернете, включая, например, гугл, делаю разовые аккаунты таким образом.maaGames
23.12.2016 10:00Для разовых никаких вопросов. В Bing и ещё где-то именно так и создавал аккаунты. Но мессенджер же не на один раз ставится. А так вы добровольно лишаетесь «последнего шанса» вернуть украденный аккаунт, потому что СМС если и придёт, то не вам…
Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)sHaggY_caT
23.12.2016 10:14А так вы добровольно лишаетесь «последнего шанса» вернуть украденный аккаунт, потому что СМС если и придёт, то не вам…
Двухфакторная авторизация же. Аккаунт менее важен, чем информация в переписке. Вотсапп и телеграмм устроены таким образом, что используют Вашу телефонную адресную книгу на смартфоне(большинство именно так его и используют, на телефоне, но некоторые так же ставят мессенджер и на компьютер), так что если основной Ваш круг общения люди, с кем Вы общаетесь IRL, то Вы не потеряетесь при смене телефонного номера и даже телеграмм аккаунта.
А вот то, что кто-то будет читать Вашу переписку, получив тот же самый номер телефона (например, если Вы не использовали сим-карту), это очень неприятно.
Ну и лезть на сайт для получения СМС для залогинивания в мессенджере каждое утро — то ещё приключение.)
Нужно, ИМХО, просто перестать делать нестадартное — перестать использовать десятком человек одного системного юзера. У Вас наверняка из-за этого куча других подводных камней всплыла, только Вы их может быть не замечаете.maaGames
23.12.2016 10:19Не знаю, может ещё какие-то проблемы и есть, но никто не жалуется.)
Проблемы безопасности не в счёт, разумеется. Нарочное вредительство иными методами пресекается, вирусня пониженными привилегиями и антивирусом (насколько это вообще может защитить). Так что вопрос только в том, что коллеги могут прочитать то, что им не предназначено.sHaggY_caT
23.12.2016 10:24Вот, например, веб-серфинг — это же удобно иметь для каждого человека свой набор «избранного», да даже я не знаю, иконок на рабочем столе, и файлов :(
То, что Вы делаете — это грабли, ИМХО.
IT устроено таким образом, что если у Вас нет особенных причин, самый правильный способ это самый стандартный. Именно он позволит избежать прикопанных граблей.maaGames
23.12.2016 10:41Я выше описал конкретный вариант использования одного компьютера несколькими сотрудниками. Буквально одна конкретная программа, которая работает только в этом конкретном окружении на конкретном оборудовании (Из последних радостей — апдэйт программы, из-за которого не работают некоторые из нужных модулей, при этом другие нужные модули работают только с этим апдэйтом. Спасает только то, что одновременно этими модулями пользоваться не обязательно и можно на разных машинах посидеть. ). Никаких своих обоев, расположения иконок и тем более, веб-сёрфинга.
sHaggY_caT
23.12.2016 11:28А как насчёт run as?
maaGames
23.12.2016 11:38А как на счёт авторизации по логину-паролю?
Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?sHaggY_caT
23.12.2016 19:06Создать разные учётные записи и раздать всем от них пароли для ранаса. Смысл?
Смотрите, пользователь — вовсе не обязательно что-то живое. Системный аккаунт под каждый новый демон это хорошая идея ещё с 80-х годов.
Вот у Вас есть софт, он требует какую-то среду, настроенную под отдельную учётку, для работы с оборудованием, так? Тоже самое, как я не знаю, банальный Nginx, тоже запускается под своим юзером.
Отдельный юзер под приложение — это хорошо. Это усечённый вариант той идеалогии, что предлагается Docker.
. Буквально одна конкретная программа, которая работает только в этом конкретном окружении на конкретном оборудовании
Вот пусть Ваш софт и работает под настроенной учёткой, и пользователи делают run as для его запуска. Выглядит более элегантно, безопасно (хотя бы меньше возможностей юзерам сломать какие-то настройки среды, особенно если запускать софт скриптом!)
AllexIn
23.12.2016 09:38Что значит «не разлогинивайтесь»???
Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда. Тут даже не в мошенниках дело.
Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.sHaggY_caT
23.12.2016 09:42Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Кстати, норм реализация у Steam в этом плане. Комп добавляется в доверенные и больше не требует двухфакторки. При этом логин/пароль требует все равно, при смене пользователя.
Мне кажется, всё дело в нестандартном подходе. Steam на работе и один системный пользователь на всех в офисе — это нестандартный подход, так никто не делает, кроме Вашей компании. Если Вы делаете что-то странным образом, то как правило, получаете какие-то грабли…AllexIn
23.12.2016 09:46Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
Это я к тому, что если вы чего то не видите у себя в компании — это не значит что этого нет, или это не норма.
Норма — разлогиниваться, и иметь возможность удобно это делать.
В офисе разлогиниваться, или где-то еще — не принципиальный вопрос.sHaggY_caT
23.12.2016 09:54Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
Окей, тут Вы правы. А зачем один системный пользователь на всех всё же не ясно. Это выглядит очень странно. Почему бы не использовать механизм, имплементированный создателем ОС специально для таких случаев?AllexIn
23.12.2016 09:56Я не видел ни одной компании, где бы home шифровались.
А без шифровки отдельные пользователи — это условность.
Hellsy22
23.12.2016 11:24Steam на рабочих компах есть во всех компаниях, которые геймдевом занимаются, например.
Есть геймдев под веб, есть геймдев для мобильных устройств. Стим там не нужен.
Норма — разлогиниваться, и иметь возможность удобно это делать.
Пользоваться личным, а не рабочим IM в офисе — не норма.
Делить свой рабочий компьютер с другими коллегами — не норма.
riot26
23.12.2016 11:23В настройках «Turn on local passcode»
скрин
KorDen32
23.12.2016 11:32В телеграме есть локальный пароль (и в мобильном клиенте, и в десктопном, с разницей — в мобильном 4 цифры, на ПК любой пароль), плюс таймаут блокировки (жалко, не настраивается гибко — фиксированные 1м / 5м / 1ч / 5ч). Локальный пароль индивидуален для каждой сессии. На работе стоит таймаут блокировки одна минута — чаще всего можно не блокировать вручную.
aduff
23.12.2016 12:12Что значит «не разлогинивайтесь»???
Я ухожу, комп рабочий. Доступ к нему может получить куча народу.
Двухфакторка на нем не нужна, потому что вероятность что на работе заведется мошенник, который захочет похозяйничать — мала. Но оставлять залогиненный месенджер — это ерунда.
В десктопном клиенте есть возможность поставить локальный пароль. Все просто же. Ушел — залочил. Да или оно само залочится через установленный интервал неактивности клиента.
maaGames
23.12.2016 09:44На компьютере нет блютус. Покупать смартвотч ради авторизации в мессенджере — немного глупо, на мой взгляд.
И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?sHaggY_caT
23.12.2016 09:50Покупать смартвотч ради авторизации в мессенджере — немного глупо, на мой взгляд.
Ради авторизации в операционной системе.
На компьютере нет блютус.
$1 доллар или что-то вроде того на Амазоне за USB-брелок
И ещё одно, я не вдавался в подробности, но меня заинтересовало, что делать, если потеряешь телефон? Аккаунт привязан к номеру, номера больше нет. Как жить после этого?
Если номер оформлен на Ваше имя, то оператор делает вам новую сим-карту с тем же номером. Если же, например, переезжаете в новую страну, и хотите сменить номер телефона, то в телеграмме можно сменить телефон.
Тут гораздо более опасный вопрос другой — если забить на использование симкарты, то оператор может отдать телефонный номер другому человеку, и… он увидит всю вашу переписку в не-секретных чатах, когда залогинится в телеграмм. Это причина, почему двухфакторная авторизация телеграмма всё же хорошая идея.
arbalet42
23.12.2016 15:53В Стиме уже поправили неудобство с подтверждением по электронной почте — теперь приходит push-уведомление в Стим на смартфоне (в эту программу встроен генератор ключей).
По почте код подтверждения приходит только в том случае, если Стим на смартфоне не установлен.vlivyur
23.12.2016 16:58А для чего Стим на смартфоне?
nikolaynnov
27.12.2016 22:17А без него, например, на Маркете сейчас нельзя торговать (вначале шмотки на неделю ловились). Да и просто передавать вещи чтобы без недельной задержки нужен мобильный клиент.
Andrius_Butkus
23.12.2016 12:24Local passcode спасет отца русской демократии.
maaGames
23.12.2016 12:28Стыдно признаться, но не знаю, что это. На первой странице гугла ничего внятного не выдаёт.
Andrius_Butkus
23.12.2016 12:32В Telegram открываете Settings -> раздел Privacy and Security -> Turn on local passcode
По сути — установка пароля на запуск приложения, есть удобная блокировка (например, если надо отойти от рабочего места, хотя и тут Win+L является хорошим тоном), а также автоблокировка по таймеру.maaGames
23.12.2016 12:34Спасибо! Это можно будет авторизовываться без СМС?
Andrius_Butkus
23.12.2016 12:37Авторизация в приложении останется как есть, но получить доступ к функциям и переписке можно будет только после ввода локального пасскода.
vlivyur
23.12.2016 12:41Один раз (первый) всё же придётся воспользоваться SMS или другой активной сессией в Telegram.
sHaggY_caT
27.12.2016 12:13Это та самая двухфакторная авторизация, о которой я Вам писала, но названная «просто, молодежно».
Меня всегда удивляет, что есть такое множество людей, которые не хотят ни во что вникать не на форуме домохозяек, а на сайте гиктаймс. Ведь это сайт, где собираются люди, ставящие Linux на чайники :( Что Вы тут делаете?maaGames
27.12.2016 14:21Я не обязан разбираться во всех мессенджерах, только потому, что это круто. Я не обязан разбираться в мессенджерах, которые мне неудобны и я не обязан выискивать все их специальные возможности, просто чтобы делать банальные вещи.
localpasscode это не то, что мне нужно, т.к. хотя бы раз надо ввести номер телефона.
В следующий раз я обязательно Вас спрошу, можно ли мне читать сайт… любой сайт.)sHaggY_caT
27.12.2016 15:11+2Я не обязан разбираться во всех мессенджерах, только потому, что это круто.
Зато Вы, по всей видимости, работаете в IT, принимая странные решения вроде шаринга одного системного аккаунта на десяток реальных человек. Не всегда то, что «просто, молодёжно», и позволяет «не парится», и не читать/не юзучать технологии, с которыми Вы работаете, оказывается действительно простым решением при эксплуатации.
Правильные и простые решения часто требуют определенных знаний и какой-то архитектуры, которая не кажется простой тому, кто не вникал в вопрос из-за недостатка знаний(а на самом деле для тех, кто в теме, она элегантна и проста). Правильное решение для новичка — это сделать так, как делают все.
Сделали бы вы разных пользователей на каждого реального человека, пользующегося рабочей станцией, как это делают всегда, у Вас бы ни с этим, ни с чем другим проблем не былоmaaGames
27.12.2016 15:44Вместо этого я просто пользуюсь icq, который предоставляет сервис так, как мне нужно, не предъявляя ненужных мне требований и не навязывая двухфакторнуюю идентификацию и прочее.
lostpassword
23.12.2016 08:39Если вдруг вы решите ввести свои данные на фишинговом сайте...
Улыбнуло.)
Alexeyslav
23.12.2016 10:21+1У меня всегда возникало желание на фишинговые странички нагенерить тонны мусора, пущай потом разбирают. Но лень всегда побеждала.
Lamaster
23.12.2016 09:44+1> Если вдруг вы решите ввести свои данные на фишинговом сайте
А зачем мне это делать? Лучше залогиниться под собой в настоящем vk.com, а сайт попросит разрешения на использование данных учётки. Ни на каких других сайтах вообще нельзя вводить свои данные для входа.
woddy
23.12.2016 10:08Лет пять назад вконтакте принудил привязать аккаунт к симкарте. С тех пор симкарта давно протухла. Неделю назад вероятно новый покупатель симкарты угнал аккаунт. Имея доступ к почте восстановить аккаунт невозможно.
Зарегал новый аккаунт на разовую симку.
Ilyasyakubov
23.12.2016 11:28+1Ну вы сам себе злобный буратино. Вероятно надо было регать аккаунт на постоянную SIM.
Vanor
23.12.2016 12:22Через ТП это делается на раз, при подаче заявки самостоятельно могут отшить, но если предварительно напишет человек который состоял в друзьях, то тогда проблемную запись восстанавливают, единственное нужно будет фото с паспортом и при успехе заменят имя с фейкового на настоящее (либо удалят учетную запись окончательно если не хочется что бы настоящие ФИО засветились).
buglife
23.12.2016 10:38-2По скриншоту наоборот, более дешевый и популярный как ран майл/пароль.
VanyaKokorev
23.12.2016 10:58Почему «наоборот»? Более дешёвый — да, потому что им сложнее воспользоваться, как пишет автор статьи. Более популярный среди покупателей скорее номер телефона / пароль, их меньше осталось
buglife
23.12.2016 11:04Их меньше предлагают и цена выше = их тяжелей получить.
По факту нужна статистика, а у нас с вами сейчас словоблудие.VanyaKokorev
23.12.2016 11:09Господи, покупателю всё равно, тяжело их получить или не тяжело! Ему важны только потребительские свойства — легко воспользоваться или сложно.
buglife
23.12.2016 11:16Отлично. Вы привели картинку от текущего предложения на одной из нелегальных бирж.
Что я вижу — одного товара сейчас больше и цена на него ниже.
Другого меньше, цена на него выше. И ВСЁ.
Никакой динамики эта картина не дает. Ни о каких предпочтениях не говорит. Это всего лишь предложение в один момент времени, не более.
Если VK сделает пресс-релиз по взломам — это будет статистика. Если биржа будет выставлять оборот по каждой услуге, то аналогично. Но на данный момент, все что есть — предложение на один момент времени.
Тут даже трэйдер форекса гадать не начнет.
buglife
23.12.2016 11:17Каждый покупатель преследует свои цели. И узнать их можно только спросив его.
servermen
23.12.2016 10:46В связи с этим стоит изменить проверку пользователя, который входит с ip другой страны.
Например так:
Если с ip другой страны вводят почту и пароль, то спрашивать цифры телефона.
Если вводят номер телефона и пароль, то спрашивать часть почты.
Спрашивать имя или фамилию, а не цифры телефона
А если там есть только номер телефона и пароль? То есть не было указано ни какой почты?
Последний раз я вводил там пароль почти год назад — после переустановки системы. И всё это время авторизация сохраняется, и даже при смене страны в настройках vpn он всего лишь просит ввести номер без двух последних цифр!
shush24
23.12.2016 10:54+2Мне вообще непонятна возможность регистрации только при наличии телефона. Иметь телефон (номер телефона) — это право, а не обязанность.
KennyGin
23.12.2016 11:35Регистрация ВКонтакте — это тоже право, а не обязанность. Таким образом, у вас есть право зарегистрироваться ВКонтакте, если вы воспользуетесь правом владения сотовым телефоном. Да, права бывают связаны. А так вас никто ни к чему не принуждает.
SunTechnik
23.12.2016 10:54+1Картинка с ценами на взлом противоречит написанному в статье.
номер: пароль 90 предложений по 7.95 р
почта: пароль 1430 предложений по 5.95 р
Так-что, судя по всему, переход на номер — увеличил степень защиты.
А так — стандартный парадокс.
Сделали удобно — авторизация через социальный сети.
А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…
Удобство и безопасность, часто вступают в противоречие…
VanyaKokorev
23.12.2016 11:00Количество предложений тем меньше, чем больше уже купили. А что спрашивать на фишинговом сайте — телефон или почту, это каждый преступник сам решает, степень защиты одинаково определяется только сознательностью пользователя
buglife
23.12.2016 11:18«Количество предложений тем меньше, чем больше уже купили.» — откуда взято это умозаключение?
VanyaKokorev
23.12.2016 11:55Из предположения, что сложность добычи обоих типов аутентификационной информации одинаковая. А ещё можно в супермаркете увидеть на полках с однотипными товарами пустые секции, где недавно были и почти закончились товары с высоким соотношением потребительские_свойства/цена
buglife
23.12.2016 12:07Или их не смог завезти поставщик. Или реклама была. Или просто в розничный магазин зашел оптовик. Миллион причин может быть. Нужна статистика и динамика, что бы вывод сделать.
mayorovp
23.12.2016 13:04Сделали удобно — авторизация через социальный сети.
А теперь каждый раз думай, они заключили с ними соглашение или просто собирают ваши учетный данные…Надо не думать, а смотреть на адресную строку в браузере. А еще лучше — зайти во вконтакт, после чего не выходя из него попытаться зайти на другой сайт через vk.
5oclock
23.12.2016 11:04+1Не стал привязывать аккаунт vk к симке.
За это сайт требует ввода капч на любой «чих».
К этому уже привык, но их клиент глючит:
когда перемещаешься по городу и во время разбора капчи — переключаешься на другую БСку (видимо это как-то влияет на сессию) — после ввода капчи выводится сообщение «Время сессии истекло» или что-то вроде такого и клиента вообще переклинивает: до полного вычищения программы из памяти не отправить сообщения, не прокомментировать ничего — переходишь в режим readonly.
Lure_of_Chaos
23.12.2016 11:31+3Итак, что имеем (в случае с ВК особенно):
1. для регистрации требуется указать реальный номер телефона
2. требуется указывать реальные ФИО (если модераторы сочтут фейковыми, у вас не получится зарегистрироваться\сменить их), реальное фото на аватаре.
3. для доступа требуется залогиниться, либо уже залогинены, статус мессенжера выставляется онлайн, без возможности выставить его на невидимку.
таким образом,
1. вместо более надежной двуфакторной авторизации (причем опциональной) имеем кучу проблем при отсутствии\утере телефона
2. полная деанонимизация нормального аккаунта при 0 защите от фейков (левая симка, фоточка из инета и похожие на настоящие ФИО). таким образом, невозможность составить «виртуальную личность» и приходится прибегать к указанным «грязным» методам
3. невозможность без тех же выкрутасов зарегить два акка
4. любая активность информирует всех контактов, как минимум, что мы в сети.
и вишенка на торте:
что хуже для пользователя, попавшемуся на фишинг: утечка email+пароль+парочка картинок или утечка телефон+пароль+ФИО+фото(+другие реальные данные+тот же email)?reader21
23.12.2016 12:24Регистрировал около трех аккаунтов: Surname Namе, без фотографии. Можно вступать в группы, переписываться.
rombell
23.12.2016 11:59+3Имею три аккаунта вК:
— основной, с минимум френдов — которых реально знаю и все сообщения которых читаю.
— для игр, с тысячами френдов, которым шлю запросы на ресурсы и прочую мутотень
— для чтения развлекательных групп в свободное время, для всяких розыгрышей и прочего спама.
В принципе не понимаю, зачем мне три такие совершенно разные стратегии поведения смешивать на одном акаунте. Если бы была возможность нормальной настройки ленты и френдов, ещё как-то можно было бы объединить, но — зачем?
Теперь приходится поддерживать в рабочем состоянии две симки, а третья уже протухла (с группами), но не жалко, чёрт с ней.
В итоге исключительно неудобно.
3aicheg
23.12.2016 12:11+5Как же задолбали все эти любители двухфакторных нотификаций, мобильных телефонов и смс на короткий номер. Когда они будут гореть в аду, пусть им дадут доступ к интерфейсу, позволяющему немножко убавить накал адского пламени под собственной сковородкой, но только чтобы обязательно каждый раз надо было авторизовывовываться с применением всего арсенала их любимых технологий.
mayorovp
23.12.2016 13:07+3Лучше дать возможность вовсе отключить горелку — но только после авторизации через телефон. Телефон не давать.
stalinets
23.12.2016 20:02Лично для меня вот самым удобным способом двухфакторной авторизации был бы 1) традиционный логин/пароль, 2) кодовые таблицы. Кодовые таблицы, если кто не знает, работают так: сайт при регистрации выдаёт таблицу, где по вертикали, скажем, цифры (от 0 до 9 или больше), по горизонтали буквы (A, B, C, D,...). А в ячейках — какие-то числа. При входе он просит ввести, например, числа из ячеек B7, F2 и C2. Ввёл правильно — добро пожаловать на сайт.
hungry_ewok
23.12.2016 20:26Это какой-то мягкотелый гуманизм получается. Которого они совершенно не заслуживают.
3aicheg
24.12.2016 05:01Пусть не заслуживают, но мы не должны в своих садистских фантазиях опускаться до их уровня. Иначе чем мы лучше их?
lola_term
23.12.2016 12:29+1Надоели они со своими проверками:
1 постоянно могу сидеть из разных стран, т.к. часто пользуюсь торами, прокси, впнами — ну вот специфично мне — заходить из под нужной страны на сервера/сервисы т.к. мой данный диапазон ип не удовлетворяет.
2 двухфакторки и проверки по желанию — с возможностью включить, а не принудительно, жутко бесит тратить драгоценное время на подтверждения когда я достаточно нормально разбираюсь в том куда вбить свой пароль, а куда нет.
3 Регистрации везде становятся проще, а мы давайте ка усложним! Поэтому большинство ИТ спецов в жабберах сидят угрюмо или радостно с поддержкой не зависимого шифрования и не зависимых серверов.
Shadow_Man
23.12.2016 13:47Кстати вконтакте отслеживает звонки с телефона? Просто у меня в вконтакте очень мало друзей и нет ни одного кого бы я знал в реале, а недавно он мне предложил в колонке «возможно вы знакомы» моего стоматолога с которым в интернете я никак не пересекался а только лишь пару раз созванивался с ним по телефону.
Andrusha
23.12.2016 15:15+1У вконтакта есть возможность выгрузить список контактов телефона на их сервер для поиска друзей. Возможно, ваш стоматолог так и сделал.
herrjemand
23.12.2016 13:50+1P.S
Используйте двухфакторную аутентификацию, она позволяет полностью исключить взлом аккаунта с помощью фишинга.
Если ваш пользователь купился на фишинг, и ввел свой логин и пароль, что остановит его от ввода одноразового кода? Вы бы лучше проверяли свою информацию, прежде чем делать такие заявления.
Вообще сегодня все решения двух-факторной аутентификации, кроме PKI-based уязвимы к фишингу. Всё. Все что не производит крипто-подпись, уязвимо. Не ради P.R. но советую почитать мою статью по U2F https://habrahabr.ru/post/305508/
Если вдруг вы решите ввести свои данные на фишинговом сайте, то вводите почту, а не номер телефона.
— Пожалуй введу-ка я свои данные на этом фишинговом сайте сегодня, а то как-то скучно живется…
Вообще я хотел бы сказать что это не аутентификация, а какие-то костыли.mayorovp
23.12.2016 13:58Крипто-подпись тоже уязвима к фишингу.
herrjemand
23.12.2016 14:01Крипто-подпись вызова с доменом не уязвима к фишингу. Читай U2F/UAF/WebAuthn/EToken/Rutoken/RSASecureID800…
mayorovp
23.12.2016 14:13Чтобы зайти на сайт — надо пойти и установить криптодрайвер и криптоплагин к браузеру?
Ну так к фишинговому сайту будет идти в комплекте свой драйвер :)
herrjemand
23.12.2016 14:15U2F работает нативно в Хроме, и поддержка скоро будет в огнелисе. WebAuthn это будущее, и он уже поддерживается Edge. Мы работаем над решением этой проблемы. Пока что U2F это лучшее решение.
mayorovp
23.12.2016 14:27Ок, "скачайте google chrome чтобы зайти на этот сайт".
herrjemand
23.12.2016 14:29поддержка скоро будет в огнелисе… Вы же понимаете что стандарты не приходят во все браузеры в один день.
herrjemand
23.12.2016 14:02Важно то, что все что не производит крипто-подпись, будет уязвимо к фишингу.
stalinets
23.12.2016 20:07Вообще сегодня все решения двух-факторной аутентификации, кроме PKI-based уязвимы к фишингу. Всё.
А как насчёт большой кодовой таблицы? Если её не светить нигде, как можно тут организовать фишинг?
snuk182
23.12.2016 16:26+1каждый раз, когда под аккаунтом пользователя пытаются неожиданно зайти из новой страны, попытка входа блокируется сообщением, в котором предлагается ввести цифры номера телефона, на который зарегистрирована страница
А до этого было не только ввести номер, но и пришедший на него одноразовый пароль. Будучи часто перезжающим из страны в страну, перестал пользоваться ВК именно из-за этой «фичи».
unwrecker
23.12.2016 23:42Прискорбная тенденция. Недавно захотелось вдруг завести новую почту, так все крупные почтовики требуют телефон для регистрации. Более того, весьма успешно банят номера сервисов для получения СМС. И знаете, какой нежлобский сервис я в итоге нашел? mail.ru :)
timmaxim
25.12.2016 20:33поэтому с 21 ноября 2012 всех пользователей Вконтакте принудительно заставили привязать номер мобильного телефона.
Да ладно? У меня не привязан, то что никого принудительно не заставляли.
Только новым пользователям зарегистрироваться без номера не получится.
arsabovyan
2-хфакторная авторизация тоже не панацея, пример — недавний скандал с Телеграмм. Но соглашусь, «угнать» аккаунт таким образом сложнее, да и Ваши предложения тоже вполне достойны. К слову о авторизации по e-mail адресу, не представляю как можно было додуматься до той схемы что сейчас реализована в процессе входа в учётную запись Microsoft.com/Outlook.com — вводишь почту, затем пароль, и на следующем шаге для верификации твоей личности ты должен снова ввести свою почту…
ivlis
Двухфакторая авторизация через usb token.
gudvinr
Замечу, что двухфакторная авторизация ВК возможна через пароль+TOTP, когда как в телеграмме только телефон+пароль
monocrome
А есть знающие про Google Authenticator? VK его поддерживает в том числе. Выглядит как неплохое решение проблемы со взломом, правда я не знаю как оно устроено внутри.
Gorthauer87
У него есть огромный недостаток: если продинамил ключ, то все — это с концами, придется восстанавливать доступ через техподдержку. Работает он весьма просто: там есть ключ, по которому и сервер и клиент могут генерировать последовательности байт, последовательность зависит от временных промежутков и если время на клиенте и сервере примерно совпадают, то будут сгенерированы одинаковые последовательности, которые уже и сравниваются. Только у владельца ключа получится сгенерировать правильную последовательность и соответственно залогинится. Как становится из этого понятно, потеря ключа равносильна потери возможности логинится.
Ilyasyakubov
> потеря ключа равносильна потере возможности логиниться.
Это не так. Потеря ключа означает потерю возможности ЛОГИНИТЬСЯ С НОВЫХ УСТРОЙСТВ И БРАУЗЕРОВ. Со старых устройств/браузеров заходите и отключаете/меняете GA.
artyums
Только если устройство добавлено в список доверенных (или если еще живы куки).
artyums
Так подождите. Обычно кроме TOTP-токена, полученного из приложения, у пользователя есть минимум два пути — возможность получить TOTP-токен по смс и перманентный ключ для отключения TOTP этапа.
Все это взять и сразу потерять надо умудриться. Тем более, что сим-карту можно достаточно легко восстановить.
Hayao
Потеря возможности подтверждать вход через Google Authenticator? Ну это не проблема. И у VK и у Google можно воспользоваться резервными кодами или получить код по SMS.