Вы создаете сервис, а в нем - регистрацию по номеру телефона? Вы создаете проблему себе и своим пользователям. Это не защитит ваш сервис от спамеров и нежелательных регистраций. Аккаунт ваших пользователей это тоже не защитит. Давайте разберемся почему.
Почему регистрация по телефонному номеру не защищает от спама
Для СНГ стоимость аренды номера на 10 минут для регистрации и приема СМС начинается от 0.03 $ . Сегодня эта защита по цене взлома приближается к разгадываю капчи индусами. Т.е. за 1 $ пользователь сможет создать пару десятков аккаунтов, с которым сможет спамить, писать непотребства, накручивать статистику и т.д.
Для того чтобы наводнить ваш сервис ботами уже не нужен целый лахтацентр с миллионными бюджетами. Достаточно рядового гражданина СНГ, который сегодня сэкономил на пицце и имеет некоторое терпение.
И если конкретно в вашей стране покупка сим-карт строго по паспорту, у вас все равно не будет способа проверить, действительно ли этот телефон зарегистрирован на человека с таким именем. При этом в таких странах продажа номеров все равно поставлена на поток. Т.е. арендовать номер в РФ для регистрации в ней же не составит проблемы. Проблема только у вас.
Почему телефонный номер не защитит вас, если ваш клиент нарушит закон
По той же самой причине - вы не знаете, принадлежит ли номер клиенту или нет. Знание номера или реального IP-адреса не защитит вас от органов правопорядка, когда клиент вашего сервиса где-то нашкодит. Они все равно придут к вам и будут давить, чтобы вы помогли его найти, даже если вы ни в чем не виноваты. По-другому работать они не умеют.
Даже больше, в гипотетической ситуации, когда клиент сделал что-то противозаконное, но при этом зарегистрировался на анонимный номер, у вас будет еще больше проблем с органами правопорядка. Не в силах найти человека позволившего себе анонимность, они будут пытаться по максимуму вытрясти все из человека, который анонимность себе позволить не может. Т.е. из владельца сервиса.
Почему телефонный номер не защищает ваших клиентов
Сегодня невозможно сказать, принадлежит ли вам ваш номер или нет. В вашем телефоне прямо с завода может быть зашит троян, который на заднем фоне принимает смс и отправляет их содержимое в какой-то ботнет. Обычно на этом месте следуют возражения - ну кому лично ты нужен? И правда - лично ты не нужен. Ботнеты обрабатывают всех подряд.
Теперь трояны не надо ловить в сомнительных местах - они идут прямо с завода, даже в кнопочных телефонах. Для андроида ситуация еще хуже. Мало того что половина дешевых китайских смартфонов идет с теми же троянами с завода, так их еще можно и взламывать малыми силами в массовом порядке. Через смс-рассылки с ссылками на зараженные сайты. На старые версии вообще достаточно прислать правильно оформленную MMS, и телефон начинает жить своей жизнью. iOs тоже периодически ломают. Отсюда и появляются курьезы, когда вашей бабушке на кнопочный телефон регулярно приходят коды авторизации телеграма или гугла.
Это только техническая часть проблемы. Дальше идет административная. Например злоумышленники могут перевыпустить сим-карту вашего клиента. И если вы не взяли на себя геморрой возиться с требованием сканов документов, то пользователь уже никак не докажет, что он - это он, если захочет вернуть аккаунт привязанный к телефону.
Говоря об СНГ, нельзя не упомянуть другую проблему. Прослушка и перехват трафика здесь поставлены на поток и доступны не только спецслужбам. Вернее они и продают эти данные. Или просто используют в своих личных целях. Никто не застрахован, что завтра не поругается из-за парковочного с человеком, который окажется сотрудником ФСБ/СБУ/Кто-там-у-вас. У них полностью отработан механизм перехвата СМС для двухфакторной аутентификации. Это рядовая процедура, она натренирована на Telegram до автоматизма.
Способов просто потерять телефонный номер много - от потери телефона до отзыва номера оператором потому что произошла путаница с документами. Короче говоря, регистрация по телефонному номеру проверяет всего 1 вещь: то что в момент регистрации у пользователя был доступ к этому номеру.
И как тогда регистрировать аккаунты?
На телефон или почту, как обычно. 95% людей все равно за 20 лет массовой компьютеризации не стали технически грамотнее в вопросах безопасности. А значит все остальные варианты еще хуже. Но для себя вы должны четко понимать, что почта или телефон - это способ быстрой регистрации, но не способ удержания или подтверждения аккаунта. И этот способ хорош только для интернет магазинов, когда нужно быстро оформить заказ.
У Gmail уже много лет существует стандартная практика восстановления доступа к аккаунту, если телефон утерян - это резервные одноразовые коды. Вы генерируете несколько одноразовых паролей, которые пользователь записывает на бумажку или куда-то еще. По каждому можно войти ровно один раз. Т.е. если пользователь потерял доступ к номеру телефона, а на аккаунте у него вход по СМС, то он все равно может войти по комбинации номер телефона + плюс резервный код.
Если вы хотите сделать двухфакторную аутентификацию, разрешите делать ее через usb токены. Но все равно оставьте одноразовые коды. Завтра токен сломается или в вашей стране разрешат импорт только криптонестойких токенов.
Важно в принципе иметь возможность отключить двухфакторную аутентификацию через телефон. Потому что даже для тех кто разбирается в безопасности не будет возможности закрыть эту дыру в своем аккаунте. Тех кто в безопасности не разбирается телефонный номер все равно уже не защитит. Ушло время, когда покупка, подделка и прослушка номеров была дорогим удовольствием.
Комментарии (296)
Wesha
05.02.2022 02:19+8Команда Госуслуг, Вам надо эту статью почитать. ^^^^
Fahrain
05.02.2022 02:40-38Я вот чем дольше живу, тем всё сильнее склоняюсь к мысли, что доступ к email, владение телефонным номером и аккаунты на всех сайтах — должно храниться на госуслугах. И все регистрации/авторизации везде — тоже через них.
И за все попытки взлома учёток госуслуг чтобы государство больно било по пальцам (мечты, да).С одной стороны это как бы плохо: деанонимизация и всё такое.
И вообще, товарищ майор слушает.А с другой — ну физически невозможно иметь на каждом сайте отдельную учётку с уникальным паролем. И еще и следить за каждым — не было ли утечек. И еще 100500 разных важных вещей.
В итоге — сейчас получается, что народ или забивает на безопасность вообще и везде одинаковый пароль, который мгновенно разлетается по ботнетам. Или пользуется программами типа KeePass, которые благополучно могут ваш пароль слить кому попало после смены владельца компании — или тупо умереть вместе с локальным диском, унеся с собой доступ ко всем аккаунтам по всему интернету. Или вы начинаете пользоваться синхронизацией паролей в браузере — т.е. фактически вместо товарища майора отдаёте их Гуглу.
Так что по соотношению безопасность/удобство/надежность — госуслуги было бы намного лучше сложившейся системы. Особенно это будет лучше вот этих вот регистраций по номеру телефона или соц.сетям.
Wesha
05.02.2022 03:11+25И вообще, товарищ майор слушает.Сами же всё прекрасно понимаете.
А с другой — ну физически невозможно иметь на каждом сайте отдельную учётку с уникальным паролем
Это было придумано ещё 100500 лет назад: Вы придумываете некоторое правило и храните его в секрете. Например, условно говоря: "взять первые 6 букв названия сайта, переставить их задом наперёд, отсчитать от них 7 букв по алфавиту — это первые 6 букв пароля. Взять дату рождения
первойединственной жены, в формате день-год-месяц, к каждой цифре прибавить 8 — это вторая часть пароля. Потом вставляем после каждой буквы первой части цифру второй части (A1B2C3D4)". Правило одно — а для каждого сайта пароль получается разный; желающему отгадать правило — удачи.А как насчёт уникальной почты? У меня свой домен vasyapupkin.com (недорого, 12 баксов в год). Я для каждого сайта делаю почту вида thatsitename@vasyapupkin.com. Бонусом — когда какой-нибудь торговец сливает этот адрес спамерам, он тут же закрывается, и открывается новый, а торговцу вставляется пистон.
Fahrain
05.02.2022 03:21+6Сами же всё прекрасно понимаете.
Ну так вам вон в статье пишут, что смс с двухфакторки майор тоже слушает) так если и так и так слушает — то смысл напрягаться? Вы устраиваете проблемы себе, а не товарищу майору: ему-то оно еще может и не нужно будет, а вот вам с этим каждый день жить.
Вы придумываете некоторое правило и храните его в секрете
Очень неудобно. Особенно неудобно если потом оказывается сайт, у которого внезапно: не больше 8 символов в пароле, нельзя или (наоборот — нужно) использовать заглавные буквы, цифры, знаки… И ваш красивый алгоритм для этого сайта — ломается. И да, таких сайтов достаточно много, чтобы нельзя было на это забить и/или под них запомнить отдельный алгоритм.
А как насчёт уникальной почты?
В 21 веке почта == паспорт. Как минимум одна почта должна быть привязана к гос.сервису и быть неотчуждаемой ни при каких условиях — как паспорт. И безусловно восстанавливаться при обращении через гос.услуги/мфц, даже если стандартные механизмы восстановления (при утрате пароля) не сработали по какой-то причине.
А сейчас получается, что если я потеряю аккаунт почты, которому 20+ лет — это равносильно тому, что я потеряю вообще все аккаунты по всем сайтам, где я когда-либо регистрировался. Нельзя же так)
Wesha
05.02.2022 03:37-2Очень неудобно.
Вы слова "условно говоря" видели? То, что многие сайты не пишут, какие у них ограничения для пароля, сильно достаёт, но вполне себе решается: достаточно условиться, что N-ю букву всегда делаем строчной, а букву I всегда заменяем на 1 (ЭТО ПРИМЕР!!! А то сейчас скажете "а что делать, если I нет". Сами придумайте — это ж Ваше кодовое правило, не моё!)
В 21 веке почта == паспорт. Как минимум одна почта должна быть привязана к гос.сервису и быть неотчуждаемой ни при каких условиях — как паспорт
Вы в своём паспорте со знакомыми переписываетесь? Или Вам в Ваш паспорт рекламу пихают?
А сейчас получается, что если я потеряю аккаунт почты, которому 20+ лет — это равносильно тому, что я потеряю вообще все аккаунты по всем сайтам, где я когда-либо регистрировался
Эм... А какую связь "аккаунт почты" (и его пропажа) имеет с аккаунтом сайта? Это ведь всего-навсего текстовая строка, в которой есть символ @. Зайдите на сайт, введите Ваш "пропавший емейл" и Ваш пароль для этого сайта, зайдите в "настройки аккаунта", поменяйте емейл на другой. Всё.
Fahrain
05.02.2022 03:59сильно достаёт, но вполне себе решается
нет нерешаемых проблем. Просто — не удобно. Раздражает. И с каждым годом все больше надо помнить на каком сайте что-то извращенное — или сразу начинать с восстановления пароля, вместо логина. А если восстановления пароля посыпят капчей — то вы можете еще и столкнуться с тем, что пароль вы просто не сможете восстановить, если капча посчитает вас плохим человеком.
В общем, я и говорю — жить можно, но какую бы схему вы не придумали всегда найдется самый умный сайт, который в нее не впишется. И вам придется или запоминать, или куда-то записывать этот уникальный пароль. И они будут копиться)
А какую связь "аккаунт почты" (и его пропажа) имеет с аккаунтом сайта?
Потому что 40 лет назад кто-то решил, что регистрация на сайтах с подтверждением через почту — офигенно удачная идея. Теперь, если вы потеряете доступ к вашей почте на которую зарегистрированы вообще все ваши аккаунты по всей сети — то вы теряете и их (почту не сменить, пароль не сменить — ведь всё подтверждается через письмо на вашу почту — а вы ее потеряли). Очень малая часть сайтов вообще в принципе позволяет вам в этой ситуации хоть как-то восстановить доступ. Даже через техподдержку.
Поэтому я и говорю, что емейл в современном мире фактически приобрел тот же статус, что и у бумажного паспорта.
По факту не важно, как это будет реализовано. Просто уже давно нужен простой единый механизм регистрации аккаунтов на любом сайте, их удаления (при необходимости) и желательно, чтобы это всё в итоге было связано с аппаратным ключом (на смартфоне можно через нфц или альтернативы реализовать), который надо просто носить с собой и везде использовать для авторизации/регистрации.
Wesha
05.02.2022 04:38+1всегда найдется самый умный сайт, который в нее не впишется
Самый умный сайт не впишется ни в одну схему.
Потому что 40 лет назад кто-то решил, что регистрация на сайтах с подтверждением через почту — офигенно удачная идея.
Во-первых, этот самый умный решил это лет 15 назад. Во-вторых, подтверждение нужно только в момент регистрации; после этого не важно, что случится с емейлом.
почту не сменить, пароль не сменить
Это у Вас какие-то интересные сайты. У меня всё меняется. На старую почту отсылается уведомление о смене.
уже давно нужен простой единый механизм
Вам нужен — Вы и делайте. Мне — не нужен.
Fahrain
05.02.2022 04:55Самый умный сайт не впишется ни в одну схему
Ну я всё к тому же: вам придется для него запомнить новый уникальный пароль. А потом появится еще один такой сайт. И еще.
Я больше 20 лет пользуюсь интернетом, я это уже всё пощупал! У меня наверное уже тысячи аккаунтов за эти годы по всей сети разбросаны, при всём желании чисто физически невозможно сделать уникальные пароли на них и помнить их.
Во-первых, этот самый умный решил это лет 15 назад
Традиция регистрации через почту была уже в 90х, когда я только начинал осваивать сеть. И уже тогда она была не нова.
Это у Вас какие-то интересные сайты. У меня всё меняется.
Ну если почту будет легко поменять — то вам ее смогут легко поменять и хакеры. А если сложно — то когда вы потеряете доступ к почте, то вам будет так же сложно, как и хакерам. Собственно, в этом и проблема — как доказать, что вы — именно вы, если у вас больше нет старой почты.
На старую почту отсылается уведомление о смене.
Чтобы об этом узнал тот, кто у вас ее угнал — и оперативно поменял настройки и на том сайте, где вы пытаетесь восстановить аккаунт? Удобно!)
Вам нужен — Вы и делайте. Мне — не нужен.
Нужен.
За эти годы я регистрировался много где. И реально-анонимная регистрация мне нужна была на считанных сайтах. Всем остальным она или не нужна, или ни на что не влияет. А некоторым неанонимная регистрация вообще очень полезна: тем же соц.сетям, банкам, всяким игровым сервисам.Т.е. я не призываю старые методы теперь закрыть) Я про то, что времена изменились — и пора как-то это всё в формальное русло загонять, интернет уже достаточно взрослый для этого.
Wesha
05.02.2022 05:55+7Я больше 20 лет пользуюсь интернетом, я это уже всё пощупал!
Вот только давайте не будем тут известно чем меряться. Я помню времена, когда в мой город была единственная междугородняя выделенка на 56K, а почта по UUCP ходила. И FreeBSD 1.0 помню.
Традиция регистрации через почту была уже в 90х,
Не была. Сама почта не у всех была. Тогда регистрировались "через" логины. А если забыл пароль, тады ой.
если почту будет легко поменять — то вам ее смогут легко поменять и хакеры
И именно поэтому письмо с подтверждением шлётся на старый адрес. Если "хакеры поменяли", то, неожиданно получив это письмо, хозяин связывается с техподдержкой.
как доказать, что вы — именно вы, если у вас больше нет старой почты.
Как все белые люди: знанием пароля. (А если у Вас пароль не ЛошадьВерноБатареяСкрепка, а password123, то ССЗБ)
И реально-анонимная регистрация мне нужна была на считанных сайтах
А мне она нужна везде, кроме магазинов. Вот на Хабре, например, чтобы далеко не ходить.
А некоторым неанонимная регистрация вообще очень полезна
Это до тех пор, пока к Вам на дом "по неанонимному адресу" заявится человек с повёрнутыми шариками и [хорошо ещё если всего лишь] с бейсбольной битой, которому показалось, что "Вы его на форуме оскорбили". Вы думаете, это шутки — а у нас в США оно сплошь и рядом.
Fahrain
05.02.2022 06:24+3Тогда регистрировались "через" логины. А если забыл пароль, тады ой.
Честно, я практически не встречал такого даже в самом начале. Возможно, конечно, я забыл за давностью времени. В любом случае, сейчас без почты или телефона (или того и другого вместе) — вы нигде не зарегистрируетесь. В лучшем случае — еще через соц. сети можно, но это еще хуже, чем если через почту/телефон.
И именно поэтому письмо с подтверждением шлётся на старый адрес. Если "хакеры поменяли", то, неожиданно получив это письмо, хозяин связывается с техподдержкой.
Это всё замечательно работает, пока у вас есть доступ к вашей почте. А вот если доступ — потерян, то вы оказываетесь в такой же ситуации, как если бы вы потеряли паспорт: любые действия требуют паспорт, его у вас нет, чтобы восстановить — нужны документы, а они там, куда пускают только по паспорту.
Как все белые люди: знанием пароля.
Как вам поможет знание пароля, если очередной ломатель аккаунтов угнал ваш аккаунт и пароль там теперь — другой?
А мне она нужна везде, кроме магазинов. Вот на Хабре, например, чтобы далеко не ходить.
…
Это до тех пор, пока к Вам на дом "по неанонимному адресу" заявится человек с повёрнутыми шарикамиДа что же все путают не-анонимность с публикацией своих ФИО всему свету??
Вы в ВК зарегистрированы? Подтвердили телефоном?? Вы — неанонимны! При этом ваше реальное ФИО знает только ВК (если вы не решили его опубликовать самостоятельно). И ВК знает и ваш ip с которого вы заходили, даже если вы "анонимизировали" телефон — он легко за пару запросов может выяснить ваше реальное ФИО через общение с вашим провайдером.То, что ваш аккаунт будет связан с теми же госуслугами — совершенно, вот прям вообще никак не означает, что теперь все пользователи сайта будут видеть ваше реальное имя и адрес.
Анонимности в интернете вообще нет. Ее можно получить предприняв сознательные усилия — но с приемлемой защитой данных это сейчас уже настолько неудобный процесс, что занимается этим только тот, кому реально надо скрываться. Таких — меньшинство.
Wesha
05.02.2022 06:33очередной ломатель аккаунтов угнал ваш аккаунт и пароль там теперь — другой?
World of Tanks, например, спрашивает, "какова была сумма вашей самой первой проплаты нам". Ага, в 2011 году. Хорошо, что я все расходы записываю, так что смог ответить ;))
Вы в ВК зарегистрированы?
Ещё бы спросили, "стоит ли у вас в спальне вебкамера". Нет, конечно! Нефиг всяким левым людям знать, что я ел за ужином — не их это кошачье дело. А правые и так уже знают.
Fahrain
05.02.2022 06:43-2World of Tanks, например, спрашивает, "какова была сумма вашей самой первой проплаты нам". Ага, в 2011 году.
Ну а почтовый сервис — спрашивает какие письма были в определенное время. И лет 10 назад это не было проблемой, ведь почту собирал оффлайновый софт. А к сегодняшнему дню всё это уже нишевые продукты, которыми давно уже перестали пользоваться. В итоге — где я возьму этот ответ? Он в почте, а почта — недоступна!)
Нет, конечно! Нефиг всяким левым людям знать, что я ел за ужином
Ну опять-таки, вам повезло. Я вот смотрел сериалы с переводом — а они только в ВК и без аккаунта видео просто не доступно. Я читал фанфики — а регистрация на сайте только через фейсбук и без регистрации делать там нечего.
Wesha
05.02.2022 06:46Я вот смотрел сериалы с переводом — а они только в ВК и без аккаунта видео просто не доступно
А на эти случаи у меня в ВК есть аккаунт Vasya.Pupkin.
Fahrain
05.02.2022 06:51-7Который вы регистрировали с домашнего компьютера. IP которого — записан в логах у ВК. И этот IP неразрывно связан с вашим паспортом — через договор с провайдером. Вы — неанонимны.
С точки зрения ВК нет никакой разницы между неанонимным IP и oauth-токеном от госуслуг. Просто немного меняется последовательность шагов до получения ваших ФИО и реального адреса.
При этом для всех пользователей ВК вы как были Vasya.Pupkin — так и останетесь, при любом типе авторизации.
Так в итоге — зачем вам отдельный уникальный пароль для ВК, когда можно зайти в него одним кликом через внешнюю авторизацию? Зная, какие пароли используют люди — она может в итоге даже надежнее окажется)
Wesha
05.02.2022 06:56+2И этот IP неразрывно связан с вашим паспортом
15 раз ха-ха. Тогда (лет 15 назад) IP ещё были динамическими, а провайдер лет через 5 благополучно обанкротился.
Так в итоге — зачем вам отдельный уникальный пароль для ВК, когда можно зайти в него одним кликом через внешнюю авторизацию?
Потому что ВК в данный момент в принципе не может узнать мой домашний адрес. "Предположительно мой" — может, а точно мой — нет.
Fahrain
05.02.2022 15:50-4Ну за 15-то лет вы и переехать могли)
А по факту, с введением закона Яровой — вся история ваших ип должна храниться у провайдера. И он точно знает в какой момент времени какой ип был — ваш.Да, конечно же, есть еще нат и всё такое — но это просто усложняет процесс, но не предотвращает деанонимизацию.
Потому что ВК в данный момент в принципе не может узнать мой домашний адрес. "Предположительно мой" — может, а точно мой — нет.
Так и госуслуги ему его не выдадут. С чего вы вообще взяли эту идею? Там классический oauth — это тупо цифро-буквенный токен и всё. Бонусом сервисы могут друг с другом какой-то инфой обменяться, типа логина/пола/еще-чего-нить — но это опционально и управляется лично вами, что отдавать, а что — нет
Wesha
05.02.2022 23:43Ну за 15-то лет вы и переехать могли)
Так я и перехал, три раза :)
А по факту, с введением закона Яровой — вся история ваших ип должна храниться у провайдера. И он точно знает в какой момент времени какой ип был — ваш.
Во-первых, я сильно сомневаюсь, что AT&T интересует какая-то там Яровая :) Во-вторых, ключевое слово — должна. :)
Fahrain
05.02.2022 23:50-1Во-первых, я сильно сомневаюсь, что AT&T интересует какая-то там Яровая :)
Конечно — у них своё есть, зачем им наше?
Во-вторых, ключевое слово — должна. :)
"Строгость российских законов компенсируется их неисполнением" (с)
Как я уже писал выше — нет проблемы найти вас. Просто в 99,9% случаев — вы никому изначально и не нужны.
Wesha
06.02.2022 00:40+2Нет проблемы найти вас. Просто в 99,9% случаев — вы никому изначально и не нужны.
Так в этом и состоит главная задача безопасности: сделать так, чтобы на некое действие противнику пришлось бы затратить больше усилий, чем выгода, получаемая им от совершения этого действия. Поэтому и говорится: "если, потратив копейку, ты вынуждаешь противника потратить рубль, то это хорошо потраченная копейка".
Fahrain
06.02.2022 00:52-3Мы в итоге очень сильно отклонились куда-то в сторону.
Я попробую еще раз объяснить свою мысль: для конечного сайта нет никакой разницы, придумываете вы логин-пароль или логинитесь через госуслуги. Пока лично вы не понадобитесь (по причинам, описанным в статье, которую мы комментируем) — администрации сайта на вас плевать. А если вы таки понадобились — то вас найдут. Чтобы вас не нашли — надо совершить целый ряд сильно не тривиальных действий, которые никогда не будет совершать 99,9999% пользователей сайта.
Поэтому упирать на то, что oauth госуслуг вас де деанонимизирует — бессмысленно, т.к. вы изначально не анонимны, т.к. и не прятались (это трудозатратно, неудобно и не дешево).
И я понимаю, что нужно это далеко не на всех сайтах. Но всякие соц.сети, магазины, банки — почему бы и нет? Зачем вам анонимная регистрация в онлайн магазине? Что бы что? Чтобы забить им ваш полный почтовый адрес и реальный телефон в момент оформления заказа?
При этом заводя учетки через госуслуги у тех же магазинов может отпасть куча проблем с ботами, например. Которые носятся по всей сети и генерируют пустые аккаунты и кривые заведомо невалидные заказы. И с чем постоянно приходится бороться последние несколько лет.
Да, безусловно, связывать госуслуги с сайтом с порнухой — плохая идея) Ну так вряд ли там такое и появится в принципе))
Wesha
06.02.2022 02:18Чтобы вас не нашли — надо совершить целый ряд сильно не тривиальных действий, которые никогда не будет совершать 99,9999% пользователей сайта.
"Мне не надо бежать быстре медведя. Мне достаточно бежать быстрее тебя." (c)
JerleShannara
06.02.2022 16:50+2Мы проанализировали ваши заказы и отменили все ваши медицинские страховки, включая ДМС, обслуживайтесь по минималке на ОМС или платите за всё свои бабки. С уважением Большой Брат.
Это если не рассматривать такой вариант как утечка, который с нынешним уровнем раздолбайства гарантировано будет.
Fahrain
06.02.2022 17:02- Назовите мне хотя бы одно государство, где такая история реально произошла?
- Утечки с таким же успехом происходят с Yahoo и Google — в чем принципиальная разница? Гугл вообще в принципе больше о вас знает, чем ваше государство и товарищ майор вместе взятые.
- Вы почему-то считаете, что те сайты, где вы регистрируетесь — заботятся о вашей безопасности и надежно хранят пароли/данные. Нет. Им — наплевать.
JerleShannara
06.02.2022 17:12+11) Это я вам обрисовал анализ бигдаты, когда вы добровольно слили всё в одно место. Если вам нечего скрывать — то можете выключить у себя на wifi всякие wpa, сказать свой адрес проживания и поделиться номером кредитки и фоткой её задника, тут другу надо что-то в интернетах купить бесплатно, он интересуется.
2) Вот только там утечки случаются. А тут утечка это вопрос «а скока мне будет стоить пробив чувака с мылом idiot@example.com». И далее, ещё раз повторюсь — про вас может гугл и знает более, чем гос-во. Про меня — сомневаюсь.
3) Смотрите: если сломали сайт суперпорнуха.рф и увели оттуда мой логин и пароль — мне насрать, полностью насрать вне рамок того, что мне было надо на этом сайте, поскольку тот кто его сломал может его только там и использовать, на гиперпорнуха.рф не подойдёт ни логин ни пароль. Если сломали центральную точку, которая везде авторизует, то у идиота, который в неё верил, большие проблемы. А с учётом того, что " — у нас дыра в безопасности! — Ну хоть что-то у нас в безопасности." (см. недавние раздолбайства со сливом региональных госуслуг, сливами сбера, пробивами всех ОПСОСов) я вижу этот вариант как минимум в режиме сервисов пробивов.
Fahrain
06.02.2022 17:32+11) Это я вам обрисовал анализ бигдаты, когда вы добровольно слили всё в одно место.
Вы УЖЕ добровольно слили всё в одно место — в гугл. В чем принципиальная разница?
2) Вот только там утечки случаются.
Если утечки случаются и тут и там — то вообще нет никакой принципиальной разницы в том, откуда утекли ваши данные.
Замечу, что еще в самом первом комментарии в ветке я написал, что государство должно больно бить по рукам за любые попытки взлома гос.сервисов — ровно так же, как это сейчас происходит при попытках подделать паспорт или напечатать фальшивые купюры. То, что этого пока еще не происходит — это проблема, да. Но — решаемая.
3) Смотрите: если сломали сайт суперпорнуха.рф и увели оттуда мой логин и пароль — мне насрать
Да. Только вместо этого сайта подставьте, например, амазон — где в истории заказов написаны ваши перс. данные и реальный адрес где вы живете. Или аккаунт apple/GoogePlay — где у вас лежит купленная музыка на 100500 денег. Или аккаунт Steam, где лежит 100500 купленных игр (какой-нибудь Train Simulator со всеми дополнениями может стоить сильно больше 100 тысяч рублей).
При этом все эти компании в лучшем случае просто разведут руками и отправят вас в суд. А в нормальном государстве взлом сервиса уровня гос.услуг в принципе не может быть проигнорирован.
Т.е. да, прямо сейчас конкретно у нас в стране гос.услуги особым образом не защищают и вся защита у него на уровне "обычно сайта". Но когда/если в этом сервисе будет вся ваша жизнь — вы правда думаете, что государство будет сидеть и смотреть на то, как уводятся аккаунты??
Я, в общем-то, говорю о том, что если "гос.услуги" становятся универсальным гос.сервисом (а они к этому идут), то в конечном итоге они должны (и будут) защищаться так же, как другие жизненноважные сервисы государства. И за попытки взлома государство рано или поздно будет больно бить.
И вот при этих условиях завести авторизацию на такую (защищенную!) центральную точку — вполне уже нормально смотрится.
Сейчас же у нас ситуация в сети выглядит так: вы ходите по разным организациям, но везде представляетесь разными именами и вам еще и нужно помнить где и как именно вы представлялись. Удобно же, ну!
JerleShannara
06.02.2022 17:52+1Про свои отношения с гуглом я уже писал. Амазоном тоже не пользуюсь. Музыку беру только на физических носителях, если покупаю, всякие стриминги и прочее — нафик. Ну и лично мне удобно представляться разными именами, разными почтами, разными адресами, чтобы точно знать, кто на этот раз порвался.
Fahrain
06.02.2022 18:05Ну я ж вас не осуждаю.
Вот только подавляющее большинство пользователей делает ровно наоборот. Им вообще не нужно вот это вот всё связанное с анонимизацией. Не нужно ни сейчас — ни в будущем. Более того, примеры современных онлайн-магазинов наглядно показывают, что вводя нормальную безопасность — магазины теряют клиентов. Причем не чуть-чуть, а настолько заметное количество, что это непосредственно влияет на выручку.
d7s2di
06.02.2022 18:18+2>> Но когда/если в этом сервисе будет вся ваша жизнь — вы правда думаете, что государство будет сидеть и смотреть на то, как уводятся аккаунты??
Конечно. При чем, весьма немаленький процент государственных функционеров на этом неплохо заработает.
Moskus
06.02.2022 20:48+2Знаете, это со стороны очень странно звучит, когда кто-то просто делает утверждения вроде "так обязательно будет". Иногда людям почему-то кажется, что если какие-то последствия логичны, они неизбежны. Но это не так даже в общем случае, когда прочие детали и обстоятельства неизвестны. Мы не умеем видеть будущее, зато некоторые люди очень склонны выдавать желаемое за действительное и обосновывать утверждения о настоящем возможными будущими событиями "авансом".
В случае же государства, конкретно - российской государственной бюрократии, имеется уже довольно длительная (тридцать лет) история того, что вообще всё, что делается, содержит больше или меньше, но всегда заметное количество признаков и эффектов показухи и имитации деятельности. Сложные IT-проекты - не исключение. Это и оцифровка архивов, которая выливается в перерасход трафика из-за примитивных решений в области просмотра материалов, и гигантские хищения в пресловутом WiFi на железной дороге, и те же самые Госуслуги, которым, по доброй традиции, делают редизайн UI с "маскотами", но которые все ещё содержат ту же логику, требующую повторного заполнения анкет, позволяющую "отлуп" без объяснений и так далее. Как, имея такую тенденцию перед глазами, можно с честным видом говорить "обязательно будет лучше!" - непонятно. Потому что это открытый вопрос - а может ли эта система породить принципиально лучший продукт, вопреки воровству, имитации деятельности, подходу к найму, подходу к раздаче подрядов, а также растущему объёму всей этой кибербюрократии.
Fahrain
06.02.2022 21:11+1Проблема в том, что вы почему-то думаете, что те сайты, где вы регистрируетесь — лучше.
Но — нет. У них ничем не лучше с безопасностью. Вот только, при всём прочем, у гос.органов есть набор формальных документов, которым гос.сервисы должны соответствовать — и эти документы периодически актуализируются, сервисы так же периодически проходят аудиты.Да, можно ткнуть пальцем и сказать, что вот у нас в стране гос.сервисы — ужас-ужас. И я даже соглашусь. Однако, вот те сайты — никто не проверял вообще никогда. В принципе. И проверять — не будет. И даже если у них найдут дыру, то далеко не факт, что кто-то вообще почешется ее закрыть.
Поэтому, с одной стороны, завязываться на наши современные гос.сервисы — может и не очень хорошая идея. Но альтернатива у вас — например, сервисы Yahoo с нешифрованными паролями в базе.
И в этих условиях, пусть лучше утечет бесполезный oauth-токен с такого дырявого (заведомо дырявого! не дырявых — нет!!) сайта, чем мой пароль в открытом виде. В конечном итоге ведь проще защитить один сайт гос.услуг — чем все сайты в интернете.
Moskus
06.02.2022 22:30Проблема в том, что вы почему-то думаете, что те сайты, где вы регистрируетесь — лучше.
Давайте не переходить от ясновидения (безусловных утвердительных предложений о будущем) к чтению мыслей. Я не считаю и нигде не утверждал, что "другие сайты" обязательно принципиально лучше. Это была бы глупая ложная дилемма. Потому все, что вы пишете, чтобы опровергнуть эту ложную дилемму, не имеет никакого отношения к тому, что я хотел сказать в своем комментарии выше.
Я хотел сказать то, что сказал - что безосновательно утверждать с уверенностью, что государственная система может, в общем случае, быть принципиально лучше какой-то другой, потому что дополнительная внутренняя бюрократия не является положительным фактором безопасности, зато коррупция демонстрируемо является надежным отрицательным фактором. Это всё, к чему сводится мой комментарий выше, все остальное, чему вы возражаете, вы дорисовали сами.
А дальше вы сами делаете аргумент выборочного представления фактов, смешивая его с безграмотным утверждением из области теории надежности.
Выборочное представление, потому что вы пытаетесь представить ситуацию, будто государственные системы - это "среднее, которое может стать только лучше или остаться средним", а "другие сайты" - это нечто "заведомо худшее", приводя самые худшие случаи, как аргумент. Нет, аргументация так не работает.
Кроме того, с точки зрения надежности, инцидент в центральном звене централизованной системы ведет к нарушению во всех связанных с ним процессах. А когда централизация отсутствует и процессы принадлежат к разным системам, инцидент в одной никак не влияет на другие, если вы сами так или иначе их не свяжете.
Да, действительно, выбирая в какой-то конкретной ситуации между государственным, коммерческим и opensource-решением, можно в каждой конкретной ситуации обнаружить, что все имеющиеся решения - плохи по-своему. В каких-то ситуациях (чаще всего, не без вмешательства в свободную конкуренцию со стороны государства) может даже быть так, что государственное решение лучше, чем почти ничего. Но важно понимать, что сохранение возможности этого самого выбора и есть единственный (пусть и не всемогущий) фактор, который противостоит тому, чтобы всё скатилось в типичный для госмонополий ужас.
Fahrain
06.02.2022 22:46+1безосновательно утверждать с уверенностью, что государственная система может, в общем случае, быть принципиально лучше какой-то другой, потому что дополнительная внутренняя бюрократия не является положительным фактором безопасности, зато коррупция демонстрируемо является надежным отрицательным фактором
Проблема в том, что этим же факторам подвержена и любая другая (коммерческая) система. Она ровно так же может иметь коррупционную составляющую и/или делаться спустя рукава.
При этом у государственной системы есть как минимум одно очевидное преимущество: репрессивный аппарат.
Если вы взломаете гугл, то максимум, что он сможет против вас сделать — это подать в суд. И то, если узнает ваше имя.
Если вы взломаете гос. орган — то за вами будут бегать все спец.службы государства (и до суда дело может вообще не дойти).
Т.е. потенциально да, условные гос.услуги могут быть даже хуже защищены, чем коммерческая система, однако из-за "защиты государства" это уже не имеет такого критического значения.
Кроме того, не стоит забывать о таком преимуществе, как возможность доказать, что вы — это вы путем обращения в гос. органы. Т.е. если у вас, грубо говоря, увели аккаунт в гос.сервисе и вы ничего не можете сделать удаленно (все данные уже поменяли), то вы просто идете в мфц с паспортом — и восстанавливаете доступ. А потом идет в полицию — и она вас (в теории) защищает от последствий.
Потеряв доступ к условному гуглу — вы теряете его навсегда, с концами. Потому что альтернатив стандартным шагам восстановления доступа на большинстве сайтов в принципе не предусмотрено. Если по какой-то причине эти шаги невыполнимы (а они такими и будут после взлома), то вы не сможете сделать ничего.
Ну и добавлю, что не надо представлять гос.услуги как хранилище паролей. Это в обсуждаемом контексте всё-таки просто oauth сервис. Даже если злоумышленник туда попадет — он всё равно не сможет своровать ваши доступы к другим сайтам на долгое время, вы просто отзовете эти токены и сгенерируете новые. Централизовано. Сразу на все ваши сайты.
Это вообще, на мой взгляд, преимущество такой централизации через oauth. И, в принципе, точно так же вместо гос. услуг можно взять oauth от тех же гугла с фейсбуком. Вот только государственной "крыши" у них — нет.
Но важно понимать, что сохранение возможности этого самого выбора и есть единственный (пусть и не всемогущий) фактор, который противостоит тому, чтобы всё скатилось в типичный для госмонополий ужас.
Во-первых, я изначально и не предлагал запретить старые методы. Просто добавить еще один.
Во-вторых, на некоторые вещи гос. монополия нужна — и неизбежна. Я думаю, что вы бы не обрадовались, если бы у нас в стране любая организация могла выдавать свои собственные паспорта )
Moskus
06.02.2022 23:51+1Хотя корпоратизм может вырождаться в совершенно ту же структуру, что и государственная бюрократия, государственная бюрократия автоматически опережает частный бизнес на этом пути и на шкале эффектов. Плюс, в частном бизнесе существуют факторы, которые этому противодействуют (естественно, они могут быть вырождены в разной степени), которых принципиально не существует в государственных системах.
Репрессивный аппарат, как я написал в другом комментарии - это не преимущество, а зло, потому что всё время пока он "простаивает", он используется не по назначению, а для усиления государственного влияния (в случае госмонополий - для устранения конкуренции, подавления критики и т.п.). Именно потому разные страны пытаются (с переменным успехом) надстроить всякие механизмы против этого репрессивного аппарата, используемого "не по назначению".
Преимущество "восстановления любого акаунта по паспорту" - сомнительный выигрыш по сравнению с возможными проблемами меньшего масштаба, но большей частоты. Кроме того, для сервисов, которые реально имеют для пользователя какое-то реальное значение (например, электронные банковские услуги) и так существуют способы восстановления доступа и так далее. Если какой-то сервис для кого-то реально имеет такое же значение, как, например, источник доходов для жизни (работа) или владение ценным имуществом, то это довольно глупо - не иметь с таким сервисом контрактных обязательств, которые гарантировали бы, в том числе, восстановление доступа к сервису. Соотвественно, если кто-то совершает глупость и поступает иначе, либо идет на осознанный риск, требовать от государства каких-то новых конструкций, которые бы (в перспективе - насильно) защитили всех от подобного - опасный скользкий склон.
И да, я понимаю, что вы не говорите о том, что все остальные способы аутентификации надо запретить, но я уже объяснил, почему призывы к расширению государственного участия в этом ведут к вредным госмонополиям. Даже аргументацию особенно не нужно воображать - как всегда, такие вещи оправдываются "заботой о безопасности".
Я не анархист, потому напоминать мне о том, что государство может выполнять нужные функции - не нужно. Но вам понадобится какой-то более весомый (чем некорректная аналогия с паспортами, при том что аналогии вообще не могут служить доказательством) аргумент для того, чтобы убедить меня, что расширение числа госмонополий - это хорошо.
Fahrain
07.02.2022 00:28Проблема в том, что помимо сервисов, до которых вы можете дойти ногами (банки), сейчас существует целая куча сервисов, где такой возможности в принципе нет. И вряд ли будет. При этом в эти сервисы вложено много сил и денег.
Например: Steam, Google Play (аккаунт разработчика, купленные игры/книги/фильмы/музыка), Netflix, Apple (аккаунт разработчика, купленные игры/книги/фильмы/музыка).
И перечислять можно долго-долго.Я не отрицаю, что у гос.сервисов есть проблемы. Но я говорю о том, что на данный момент сайты уже переросли стадию "потерял аккаунт — не жалко", при этом какого-то внятного способа восстановления доступа (я уж не говорю о сложных случаях типа вступления в наследство) не просто не предусмотрено, но даже не ожидается и в будущем.
Именно поэтому я и говорю, что подключая сюда государственный сервис (вдобавок к остальным способам авторизации) — мы как минимум получаем нормальный способ восстановления доступа в случае любых проблем.
Естественно, что если вы изначально планируете заниматься незаконной деятельностью или той, что на грани — то это вам не подойдет)
И в данном случае никакой гос.монополии тут нет. Вот если мы завернем вообще все авторизации на всех сайтах на гос.сервис — тогда да. Но, имхо, это осуществимо только в пределах сайтов, подчиняющихся отечественной юрисдикции. Это даже в теории не сможет покрыть всю сеть.
Moskus
06.02.2022 22:53Добавлю, чтобы было понятнее.
Госмонополия на что угодно - это автоматически хуже даже чем корпоративная монополия, не говоря о конкурентной ситуации.
Даже если взять гипотетическую ситуацию, когда рынок поделен поровну между государственным сервисом и крупным частным сервисом, и у обоих качество услуг на тот момент одинаково, потенциальное превращение государственного сервиса в монополию - это куда хуже, чем превращение в нее частного сервиса.
Почему? Потому что госмонополии, раз образовавшись, могут использовать государственный административный и даже законодательный ресурс для закрепления на рынке и уничтожения конкурентов. Частные монополии лишены этой возможности. И хотя частные монополии могут иногда достигать очень высокой степени влияния и пытаться получить в свой арсенал инструмент государственного принуждения (см., например, историю с SawStop), никакой лоббизм не может сравниться с тем, какой инструмент выкручивания рук всем гражданам имеют "из коробки" госмонополии.
Fahrain
06.02.2022 23:07Госмонополия на что угодно — это автоматически хуже даже чем корпоративная монополия, не говоря о конкурентной ситуации.
Здесь мы находимся на принципиально разных позициях. Проблема в том, что госмонополия, в общем случае, не несет в себе цели заработка денег. Т.е. она может изначально быть убыточной без каких либо перспектив это поменять. А вот коммерческая организация так работать точно не может и не будет.
Поэтому там, где госмонополия (хотя бы в теории) может быть повернута лицом к людям — коммерческая компания так никогда не сделает, потому что не выгодно. И заставить коммерческую компанию вы сможете только репрессивным аппаратом государства (а тогда в чем будет разница с изначально-государственным сервисом?).
… рынок поделен поровну между государственным сервисом и крупным частным сервисом, и у обоих качество услуг на тот момент одинаково...
Какое именно конкурентное качество услуг вы ожидаете от oauth сервиса? Конкурентное — в чём??? На куче сайтов есть куча способов авторизации — и по паролю, и через oauth разных соц.сетей, и через oauth гугла. Если туда добавится "через гос.услуги" — это у нас уже автоматически гос.монополия образовалась и наступил конец света??
Moskus
07.02.2022 00:11Мы находимся на принципиально разных позициях, потому что вы рассматриваете "сферическую госмонополию в вакууме", которая имеет все перечисляемые вами преимущества, но не имеет никаких перечисляемых мной наследственных недостатков.
Это крайне распространенная логическая проблема отрицания "как оно есть" в пользу фокуса на том, "как оно должно быть". Но вы идете дальше, используя снова ставший модным аргумент о том, что "коммерция - зло, потому что там деньги" (это предельно наивное упрощение). Совершенно забывая о том, что "госаппарат - зло, потому что там власть" (а это, скорее, правило).
Коммерческие компании вынуждены поворачиваться лицом к клиенту (на столько, на сколько нужно для получения пресловутой прибыли в условиях конкуренции). Государственные структуры могут вечно оставаться повернуты к гражданам задницей, потому что свое существование всегда можно оправдать, слегка надавив на потребителя. Вам исторических примеров накидать, или что?
Как вы думаете, например, почему в России сертифицированных криптопровайдеров можно пересчитать по пальцам, а долгое время их было "полтора" и один из них - компания КриптоПро, с которой непонятно, где заканчивается она, а где начинается ФСБ?
Момент, это не я, а вы ожидали конкретных фич, нужных вам от OAuth-сервиса. Во-первых, того, чтобы им можно было воспользоваться везде, во-вторых, чтобы доступ к нему можно было восстановить по паспорту.
В последнем абзаце вы переходите к эмоциональным обвинениям, заведомо переиначивая мои утверждения до абсурда, так что я, с вашего позволения, в полемику по поводу этой части комментария пускаться не стану.
Fahrain
07.02.2022 00:39которая имеет все перечисляемые вами преимущества, но не имеет никаких перечисляемых мной наследственных недостатков.
Проблема в том, что я не считаю эти недостатки существеннее преимуществ. Более того, формально говоря, это было бы критично будь у нас в стране официально диктатура/тирания/монархия, на решения которых вы никак не можете повлиять. Но у нас — демократия, поэтому, формально говоря, если вас что-то не устраивает, то ты имеете возможность это поменять)
И здесь возникает принципиальная разница: вы можете поменять что-то в своем государстве (да, это может быть долго/сложно/дорого — но не принципиально невозможно), но вы не можете поменять apple/google/сайт_дедушки_Ляо — как бы вы этого не хотели.
Поэтому я и говорю, что при всех недостатках гос.сервисов — лично для меня некоторые их преимущества перевешивают. Естественно, при условии, что альтернативы вообще доступны. Если альтернатив нет, то всё плохо)
Moskus
07.02.2022 06:00Вот мы и договорились до того, что дело для вас не в том, что лучше или хуже вообще, а в том, что устраивает вас.
Вы не находите, что масштаб задачи "уйти от одного коммерческого поставщика услуг к другому" несколько несопоставим с масштабом задачи, решаемой через сменяемость власти (не говоря уже о том, что эта сменяемость - под вопросом, хотя "официально - демократия").
Тут уже у вас начинаются какие-то дикие перевороты с ног на голову, потому что менять что-то в государстве - это куда сложнее, чем выбрать наиболее подходящего коммерческого поставщика услуги. В любом государстве, даже самом демократическом и отзывчивом к желаниям граждан (к России это точно не относится). Богатство выбора коммерческих поставщиков, при этом, обратно пропорционально забюрократизированности государства.
Fahrain
07.02.2022 15:28Проблема в том, что вы почему-то полагаете, что коммерческий поставщик услуги — заботится о вашей безопасности, не имеет коррупции, не тратит время на бюрократию (и еще куча не-). Но проблема в том, что крупные коммерческие компании имеют все те же проблемы, что и государственные — иногда даже в еще более гипертрофированном виде.
Глобальный сервис oauth, очевидно, как раз относится к крупным и он неизбежно соберет все эти проблемы, кто бы им не управлял — частник или государство.
И здесь возникает вопрос, кто лучше в этих условиях будет меняться: гос.сервис в условиях внешнего управления (простыми приказами/указами) вышестоящим гос.органом или частник, на которого можно воздействовать только приняв новые законы.
Я думаю, что тут можно набрать много примеров и с той и с другой стороны, так что не вижу смысла спорить дальше)
d7s2di
06.02.2022 21:19-2>> Как, имея такую тенденцию перед глазами, можно с честным видом говорить "обязательно будет лучше!"
Самый логичный ответ: человек что-то с этого имеет.
Moskus
06.02.2022 22:35Я могу перечислить вам с десяток разных элементарных причин, по которым люди делают подобные утверждения. Сюрприз, материальная корыстная заинтересованность будет в конце "хит-парада по реальной популярности". Думаю, на одного, кому за такое платят, приходится несколько тысяч тех, кто делает это по элементарной наивности.
Так что давайте и вы не будете упражняться в ясновидении и чтении мыслей.
d7s2di
07.02.2022 01:18На самом деле, вариантов всего два. Выше я озвучил первый. Второй - гораздо хуже. Как бы это так сказать покорректней... А вот: люди добросовестно и добровольно заблуждаются.
Wesha
06.02.2022 21:30Вы УЖЕ добровольно слили всё в одно место — в гугл.
Простите, не "мы", а Вы.
Или аккаунт apple/GoogePlay — где у вас лежит купленная музыка на 100500 денег. Или аккаунт Steam, где лежит 100500 купленных игр
Простите, не "у нас", а у Вас.
(защищенную!) центральную точку
Пятнадцать раз ха-ха.
Wesha
06.02.2022 21:27Назовите мне хотя бы одно государство, где такая история реально произошла?
https://ru.wikipedia.org/wiki/Шварц,_Аарон совершил роскомнадзор просто от нефиг делат, охотно верим.
Гугл вообще в принципе больше о вас знает, чем ваше государство и товарищ майор вместе взятые.
Не о нас, а о Вас. Это ж вы не хотите бежать быстрее медведя.
Fahrain
06.02.2022 21:36Мне кажется, что дальше нам друг с другом общаться бессмысленно.
Потому что вы автоматически распространяете свой (очень-очень экзотический) опыт на всех окружающих и в принципе не верите, что кто-то может жить по-другому.Всё, о чем я писал выше — это не про вас. А про те миллиарды пользователей соц.сетей и гугла. Тех самых, про которых вы пишете:
Не о нас, а о Вас. Это ж вы не хотите бежать быстрее медведя.
Да. Они — не хотят (и я не хочу, да). И — самое важное — не будут. Даже если вы их будете заставлять.
rrrad
06.02.2022 11:02+1Эээ.. Вы видели форму подтверждение доступа при аутентификации через госуслуги? Такое-то ведомство хочет получить доступ к чтению ваших анкетных данных, ваших документов, истории, уведомления об изменениях.... Согласны? [Да/Нет]
Никакой возможности ограничить доступы там нет: либо сливаем всё, что запросила внешняя (по отношению к порталу госуслуги) система, либо вообще не предоставляется доступ. В этом то и проблема: когда всякие гос-ведоства запрашивают доступ... Ну они, теоретически, и без моего согласия могут договориться (формальное согласие на обработку пнд по закону не требуется в тех случаях, когда без этого невозможно оказать запрашиваемую услугу, но все боятся), а вот когда каждый второй сайт будет запрашивать данные (которые, в общем-то ,ему не нужны в половине случаев) - это будет хреново.
Fahrain
06.02.2022 15:36Потому что данные, запрашиваемые гос.ведомствами, определяются соответствующими документами, регулирующими деятельность этих ведомств. Поэтому ваше "акое-то ведомство хочет получить доступ к чтению ваших анкетных данных, ваших документов, истории, уведомления об изменениях… Согласны? [Да/Нет]" выглядит предельно странно: "чтобы выдать вам водительское удостоверение ГИБДД хочет посмотреть ваш паспорт… Согласны? [Да/Нет]"
А вот если мы говорим про не-гос сайты, то в принципе вообще все oauth сервисы, которыми я когда-либо пользовался, в явном виде спрашивают какими данными я готов поделиться с авторизовываемым сайтом.
rrrad
06.02.2022 16:43Не совсем так. Помимо документов, которых достаточно по закону для оказания одной конкретной услуги, там еще более половины профиля запрашивается, так, чтобы на все случаи жизни хватило.
Что касается прочих oauth-сервисов, последнее, с чем сталкивался - подписание CLA с авторизацией через гитхаб, так там никакого выбора, что передавать, не было.
saboteur_kiev
05.02.2022 11:47+4IP которого — записан в логах у ВК.
Вы можете удивиться, но существуют провайдеры, которые выдают один внешний IP на пару тысяч абонентов, а все абоненты сидят на серых.
Fahrain
05.02.2022 15:52При этом кому какой выдан — они записывают в логи. Сопоставив время в логах ВК, время записанное в логах у провайдера — можно относительно легко выяснить кто конкретно из клиентов сидел за натом.
saboteur_kiev
05.02.2022 16:41Но логи у провайдера, а не в ВК. То есть надо сперва сделать официальный запрос провайдеру, а администрация ВК это сделать не может.
Fahrain
05.02.2022 17:02Да. Но в конечном итоге, если нужно — найти вас не проблема. Я и говорю, что вы — не анонимны.
d7s2di
05.02.2022 18:22+3Я вот смотрел сериалы с переводом — а они только в ВК и без аккаунта видео просто не доступно. Я читал фанфики — а регистрация на сайте только через фейсбук и без регистрации делать там нечего.
Классная идея сделать для всего этого центральную авторизацию, ага? Ну, чтоб залогиниться можно было сразу и в родительском чате и на сайте bdsm-знакомств. Удобно (сарказм).
RalphMirebs
05.02.2022 10:33Можно ведь завести, но ничего настоящего не писать про себя. Реальное фото не выкладывать, телефон левый для реги и даже имя - фамилию выдумать. Вдруг пригодится когда-то аккаунт.
fougasse
05.02.2022 12:25+1В любом случае, сейчас без почты или телефона (или того и другого вместе) — вы нигде не зарегистрируетесь.
Нет. Просто нет.
K0styan
06.02.2022 10:50+1Пример из недавнего. Большой форум по (около)оружейным делам. Логин по нику и паролю. И то, и то записано, но админы решили, что после N лет отсутствия, надо у блудного юзера спрашивать ещё и подтверждения переходом по ссылке из письма.
Мэйл был на чудо-сервисе почта.ру, который в конце 2000-х перешёл под эгиду QIP, а потом - под обслуживание инфраструктурой Яндекса. Мой ящих этих перипетий не перенёс.
Мораль: никогда не знаешь, что и где произойдёт, что случится с почтой (даже свой домен могут разделегировать) и что за правила безопасности введут владельцы сервиса. Универсальных решений нет, нужно тупо задействовать все способы восстановления, которые есть.
saboteur_kiev
05.02.2022 11:44+3при всём желании чисто физически невозможно сделать уникальные пароли на них и помнить их.
1.Записывайте.
2.Зачем регистрироваться на тысячах сайтах? Сайты, где требуется регистрация - гораздо меньше.
3. Формальное русло ненужно. Ваши госуслуги это нечто в отдельно взятой стране. А интернет все еще мировой.Fahrain
05.02.2022 15:54-62.Зачем регистрироваться на тысячах сайтах? Сайты, где требуется регистрация — гораздо меньше.
Потому что каждый считает своим долгом заставить тебя зарегистрироваться? А не зарегистрированным просто не показывает информацию. И вот он — +1 пароль для запоминания
- Формальное русло ненужно. Ваши госуслуги это нечто в отдельно взятой стране. А интернет все еще мировой.
Ну вот в итоге и получается, что сейчас всеми паролями в мире в итоге рулят хром и гугл. Они ж секьюрнее, чем государство, ага)
JerleShannara
05.02.2022 17:15+2Эмм, моими паролями рулит FaxxenDegeneraterSTM32 с интерфейсом USB и моя голова. И да, оно секурнее государства и всяких гоу-огле.
F0iL
05.02.2022 19:06В наших российских реалиях почти все что угодно будет секьюрнее чем государство, увы.
d7s2di
05.02.2022 16:38+1Ну я всё к тому же: вам придется для него запомнить новый уникальный пароль. А потом появится еще один такой сайт. И еще.В чем проблема использовать менеджер паролей? С учетом того, что они сейчас прекрасно встраиваются в браузер. И уникальный пароль сгенерит, и запомнит, и подставит его куда надо, и базы синхронизируются, и доступ хоть по паролю, хоть по аппаратному ключу.
Но нет. Не хотим сами думать, хотим, чтоб государство позаботилось.
Fahrain
05.02.2022 17:11-1Я про это писал — есть уже куча историй, как утекали пароли из таких программ. Или она может просто умереть — перестать работать на новой версии ОС или умереть вместе с диском...
JerleShannara
05.02.2022 17:171) OpenSource
2) Если уж облачность(облако это просто чей-то чужой компьютер), то сугубо на своих железках
3) Собственный софт
4) Собственные аппаратные генераторы и хранилища паролей (с надежными и зашифрованными бэкапами естественно)
По мере усложнения расположил.
Fahrain
05.02.2022 17:30-1Ну т.е. все о том же: геморрой.
А единый авторизационный сервис, защищаемый государством — просто и в 1 клик)И я ж не говорю, что старые методы надо отменять.
JerleShannara
05.02.2022 17:38+2Ага, ну да, ну да, защищаемый. Поспрашивайте дядю гугла, сколько стоит пробив сейчас. А с тем, что все данные будут в одном месте — так это вообще шикарно станет, точно ещё дешевле будет. Даже крупные фирмы, у которых гораздо более квалифицированные разработчики, и тех ломают. Плюс поспрашивайте дядю яндекса, сколько сейчас получают операторы во всяких МФЦ и прочих, а сколько в салонах сотовой связи и проведите параллели. В дупу такие централизованные хранилища, я хочу, чтобы пробив меня стоил не 2000р, а 200000р.
Fahrain
05.02.2022 18:02-3Ну по факту мы уже имеем централизованное — в гугле. Потому что гугл — это основной браузер и все запомненные пароли — в гугле
rrrad
06.02.2022 11:17+1гуглу пока репутация чуть-чуть важнее, боюсь через него указанных выше 200000 не хватит. С государством ситуация другая. Вы слышали чтобы хоть кого-то ответственного
посадилиуволили (стрелочники и вышеупомянутые операторы - не в счёт) после утечки? Зачем? Достаточно просто замолчать факт, а если всё-таки пойдут слухи - заявить, что проводят официальную проверку (результатов проверки обнародовать не обязательно).
rrrad
06.02.2022 16:55я напомню, что помимо облачных фич, встроенный в браузер парольный менеджер хранит пароли локально в зашифрованном виде (не храня при этом ключа, который получается из мастер-пароля). Что, им эппл заблокировал доступ к браузеру на айфончике? Или может, слили их пароли? Нет, им заблокировали канал заработка через сам эппл, скорее всего, это требование их властей.
Кстати, напомню, что когда фбр попросила их расшифровать айфон, они отписались до последнего.
Да, верить корпорациям нельзя: если им чтото выгодно сделать и потери репутации невелики - они это сделают, т.к. существуют в первую очередь ради заработка денег. Но также надо понимать, что инфа об утечке паролей из менеджера - это такая штука, от которой отмыться будет очень сложно.
F0iL
06.02.2022 17:02Apple уже вернула все обратно и извинилась. То есть как раз таки все сработало как надо: мы не знаем, была ли это ошибка кого-то из исполнителей либо осознанная политика, но как только поднялся шитшторм, в корпорации откатили сомнительное решение, вполне возможно именно задумашись о репутационном ущербе.
d7s2di
05.02.2022 17:23+2А еще на голову может унитаз упасть. Начнем с того, что "просто умереть" такая программа точно не может, если она грамотно подобрана: имеет открытый код и хорошую репутацию.
Про кучу историй тоже интересно, что и каким образом там утекало. Гораздо чаще, когда утекает слабозащищенная база браузера, либо, сюрприз, у людей угоняют их номера телефонов (клонировние сикарт итд). А уж про госуслуги вообще смешно, история с украинским аналогом госуслуг, видно, ничему не научила.
Истории же про умерший диск в 2022м году четаются даже не с усмешкой, а с зевком.
quwy
05.02.2022 19:08+2В чем проблема использовать менеджер паролей? С учетом того, что они сейчас прекрасно встраиваются в браузер
Это красиво только пока не возникнет необходимость входа с левого компа.
d7s2di
05.02.2022 19:18+2Это красиво только пока не возникнет необходимость входа с левого компа.
Да неужели. А достать телефон, ввести там мастерпароль и найти нужный сайт для входа - это как-то некрасиво? Красивей залогиниться с левого компа через госуслуги или что-нибудь подобное, верно?
d7s2di
05.02.2022 19:38Который нельзя подзарядить вот прям за этим "левым компом", с которого прям надо зайти на какой-то ресурс с авторизацией? Ну да, ну да. Заходим с левого компа (с возможными кейлогерами) на госуслуги.
d7s2di
05.02.2022 19:59+1Из контекста. Кстати, не обязательно госуслуги: зонд от того же гугла не на много лучше.
BigBeaver
05.02.2022 20:18+3Я лишь указал на вполне конкретные потенциальные проблемы зависимости от хранилища паролей. Потеря доступа к нему ничем не лучше потери доступа к гуглу.
Потому пароль к жизненно важным вещам должен все равно запоминаться, а на безопасность всякого мусора пофиг. Ну уведут у вас учетку от магазина и что? Узнают список покупок? Потатят ваши бонусы?
Проблема паролей не в том, что трудно иметь надежный а в том, что их слишком много и постоянно нужны новые. Авторизацию через соцсети не просто так придумали. Понятно, что не надо так входить в интернет банк, а в службу доставки еды почему бы и нет? Проблема в том, что каждый сраный сайт хочет регистрацию и свой пароль даже, если вы им пользуетесь раз в жизни. В целом, не случится ничего страшного, если у вас будет для них для всех пароль вида «очереднойговносайт123».
d7s2di
05.02.2022 20:31+1Я лишь указал на вполне конкретные потенциальные проблемы зависимости от хранилища паролей. Потеря доступа к нему ничем не лучше потери доступа к гуглу.
Вы указали весьма сомнительный пример.
а на безопасность всякого мусора пофиг
Многие умудряются на всякий мусор ставить одинкаовые пароли. А когда это привязывается к какому-то одному сервису, например почтовому ящику или телефону, есть риск, что уйдет не только мусор.
Проблема паролей не в том, что трудно иметь надежный а в том, что их слишком много и постоянно нужны новые.
Менеджер паролей прекрасно эту проблему решает. Для меня сейчас гораздо большую проблему представляет то, что многие сервисы требуют привязки к номеру телефона или соцсетям.
Авторизацию через соцсети не просто так придумали.
Конечно не просто так: чтобы собирать данные о вас было проще и удобнее.
BigBeaver
05.02.2022 21:06+1Вы указали весьма сомнительный пример.
В чем ваши сомнения?есть риск, что уйдет не только мусор.
Так привязывайте мусор и не мусор к разным. И я вообще утверждал, что к не мусору надо запоминать.
d7s2di
05.02.2022 22:48[quote]В чем ваши сомнения?[/quote]
В том, что кому-то внезапно срочно понадобится зайти на какой-то сайт вот прям с левого компа и под рукой не будет доступа к телефону, лаптому и тому подобное.
Из серии "ну а вдруг мне захочется в полнолоуние соленой земляники".
BigBeaver
06.02.2022 06:59Кажется, вы не понимаете. Отсутствие телефона как раз и делает необходимость зайти с компа (любого, какой найдете, или с чужого телефона) наиболее отчаянной. Я нигде не говорю, что это повседневная необходимость, но зато если такое случится, то прочувствуете полностью.
d7s2di
06.02.2022 16:43База пассворд менеджера может быть где угодно: в облаке, на флешке при себе и так далее.
Хотите сказать, что безопасней либо иметь одинаковый слабый пароль к куче ресурсов или, того смешнее, ходить через единый центр авторизации, да еще с потенциального небезопасного устройства?
Потереятее доступ к одному устройству с базой keepass - ничего страшного, есть другие. А вот сольете свои учетные данные к центральному аккаунту - и привет, скопрометировано будет все.
BigBeaver
06.02.2022 17:15Я нигде не говорил, что это безопаснее. И я не говорил, что нужно иметь слабый пароль на все ресурсы. Речь лишь о том, что есть куча ресурсов, аккаунт к которым не имеет ценности. Например, для сайта, где я читаю комиксы, пароль вообще не нужен — логин через фэйсбук просто чтобы закладки сохранялись. А персональные данные ваши утекут вне зависимости от стойкости паролей.
да еще с потенциального небезопасного устройства?
Ну то есть, свой менеджер авторизации синхронизировать из облака на потенциально небезропасное устройство вам норм?
Ладно, давайте попробуем на конкретных примерах. Допустим, вы пришли ко мне в гости пивка выпить и случайно раздавили телефон (сели на него или я хз). Надо написать жене, когда домой собираетесь. У меня gentoo — будем компилировать менеджер паролей со всеми зависимостями?
Допустим, вас в другом гроде прижало турникетом и сломался сенсор на телефоне. Будем устанавливать ваш менеджер паролей на телефон случайного прохожего?
d7s2di
06.02.2022 18:28>>Речь лишь о том, что есть куча ресурсов, аккаунт к которым не имеет ценности.
И вдруг, на этот ресурс, кровь из носу, понадобится зайти с левого компа? Ну по той вводной, что вы описывали выше.
Мой сценарий прост: не заморачиваясь указываю forspam@blablabla.bla, автоматически сгенеренный пароль вносится в базу и, если вдруг, мне потребуется доступ, я его без проблем получу.
Кстати, сценарий этот вполне живой: так я однажды зарегился на форуме loverslab, пожелав скачать интересную мне модификацию на skyrim. А чуть позже аккаунт вдруг перестал быть мусорным, я начал писать с него багрепорты и проявлять прочую активность.
Проблема одинаковых или слабых паролей в том, что подобрав доступ на одном ресурсе, использовав те же учетные данные можно получить доступ и на другом. Зачем добровольно упрощать жизнь злоумышленнику?
>>У меня gentoo — будем компилировать менеджер паролей со всеми зависимостями?
Нет, зачем. Curl и gnupg2, я думаю, у вас уже скомпилированы.
BigBeaver
06.02.2022 19:42И вдруг, на этот ресурс, кровь из носу, понадобится зайти с левого компа?
Во-первых, кто сказал, что на этот? Я еще раз повторюИ я вообще утверждал, что к не мусору надо запоминать.
Нет, зачем. Curl и gnupg2, я думаю, у вас уже скомпилированы.
То есть, руками распаковывать базу паролей на чужом компе вам норм? А на чужом телефоне?использовав те же учетные данные можно получить доступ и на другом
Осталось получить список этих ресурсов. Да и какая разница-то?
d7s2di
06.02.2022 20:04>> То есть, руками распаковывать базу паролей на чужом компе вам норм?
Ну, вообще не очень. С другой стороны, действие типа curl blbblabla.bla/pw.gpg|gpg -d |grep sitename выглядит лучше, чем залогиниться на том же компе на условных госуслугах, нет?
>Осталось получить список этих ресурсов.
В смысле список? Да банально перебором по более-менее популярным сайтам, вуаля - там подошло, сям подошло, глядишь и что-то более-менее ценное всплывет.
BigBeaver
06.02.2022 20:31выглядит лучше, чем залогиниться на том же компе на условных госуслугах, нет?
Нет. Решение с провайдером авторизации более универсальное.Да банально перебором по более-менее популярным сайтам
Значит, непопулярные в безопасности? Опять же, если мусорный пароль может быть вида «ненужныйпарольотхабра123» и совпадений не будет. Вы же не думаете, что кто-то руками анализирует эти миллионы паролей на наличие закономерностей?
d7s2di
06.02.2022 20:37>>Нет. Решение с провайдером авторизации более универсальное.
Действительно: утечет разом все.
>>Значит, непопулярные в безопасности? Опять же, если мусорный пароль
может быть вида «ненужныйпарольотхабра123» и совпадений не будет.Нет, конечно. Популярность-непопулярность - параметр весьма условоный. Будет перебор по пулу сайтов с комбинациями типа username(email):passwo[a-z,A-Z,0-9]{1,5} Что-нибудь где-нибудь, глядишь, да подойдет.
В общем, я не понимаю, в чем вы меня все еще пытаетесь убедить: типа пассвордменедежер - небезопасно, а одинковый логин пароль (пусть с вариациями) на куче ресрусов - безопасно? Или, еще смешнее, безопасно ходить на всю эту кучу ресурсов - условный родительский чат и условный клуб bdsm-знакоммств с центральной авторизацией, где в случае утечки, утечет все и разом?
BigBeaver
06.02.2022 21:09типа пассвордменедежер — небезопасно
Никогда такого не утверждал.условный родительский чат и условный клуб bdsm-знакоммств с центральной авторизацией, где в случае утечки, утечет все и разом?
Пусть утекает. Одинаково маловажные вещи.в чем вы меня все еще пытаетесь убедить
В том, что если не параноить по поводу маловажных вещей, то свободы выбора для оставшихся трёх важных получается сильно больше.
При чем, на чужом устройстве вы, скорее всего, будете заходить во что-то важное а не в бдсм чат. В итоге, если устройство скомпрометировано, то это важное вы и потеряете вне зависимости от надежности вашего пароля.
d7s2di
06.02.2022 21:26>> Пусть утекает. Одинаково маловажные вещи.
Ну как. Особенно "неважно" станет, когда информация о втором станет достоянием первого.
>> В итоге, если устройство скомпрометировано, то это важное вы и потеряете вне зависимости от надежности вашего пароля.
Так, я не понял, лучше потерять все и сразу?
BigBeaver
06.02.2022 21:40когда информация о втором станет достоянием первого.
С чего бы вдруг? Но если сильно боитесь, то к разным центрам привязывайте.Так, я не понял, лучше потерять все и сразу?
Одинаково. Мусор же не считается, а важный аккаунт вы в обоих случаях теряете ровно один (если мы верим в безопасность вашей базы паролей).
d7s2di
06.02.2022 21:48>> С чего бы вдруг?
А с чего бы и нет? История с вконтакте ничему не научила?
>> Но если сильно боитесь, то к разным центрам привязывайте.
Я предпочитаю децентрализацию. Каждому ресурсу своя учетка.
>> а важный аккаунт вы в обоих случаях теряете ровно один
Да неужели? Вот слили у вас гугловый аккаунт, на котором висит гугель-пей, ютуб, твиттер, авторизация на куче других ресурсов - ничего страшного же не случилось, правда?
Вообще, потерю какого-нибудь одного почтового ящика или аккаунта в мессенжере я переживу. А вот разом потерять все учетки, при этом предоставить кому-то возможность связать все мои виртуальные личности воедино - в принципе, уже хороший повод роскомнадзорнуться.
BigBeaver
07.02.2022 07:31+1История с вконтакте ничему не научила?
Нет, какая история?Я предпочитаю децентрализацию.
Но база паролей-то у вас одна. И для важных сервисов и для мусора. И вот скажите, разве вы не теряете её всю, если скачаете и расшифруете у меня на компе с кейлогером описанным выше методом?Вот слили у вас гугловый аккаунт
Так и вы его слили в примере выше. Или у вас Гугл Плей не на нем висит? У вас отдельный аккаунт для почты и ютуба?
Ну и вы так говорите, как будто бы вся эта куча сервисов, которые я якобы теряю, а вы якобы нет, не привязаны у вас к почте.
Опять же, если на почте-логин центре вы регулрно чимтите входящие, то ничего вы толкорм и не потеряете — никто не будет проверять весь интернет кнопкой «войти через гугл» — обычно они просто продают базу паролей и всё. Аккаунт гугла восстанавливается по мастер почте или иначе быстрее, чем база пойдет в работу. А вот вы отдали именно пароли ко всем сервисам, на которые зашли со сомпрометированного устройства (а может и вообще все из базы, которую расшифровали руками).
d7s2di
07.02.2022 13:32>> Нет, какая история?
Понятно. Продолжайте спать дальше.
>>И вот скажите, разве вы не теряете её всю, если скачаете и расшифруете у меня на компе с кейлогером описанным выше методом?
Ну в вышеприведенном случае следом за curl ftp//:blbbl.bla/pw.gpg|gpg -d|grep servicename, я сделаю что-то в духе ftp//blbbl.bla rm pw.gpg. Так что, скорее нет, чем да. И то, как уже говорил, это если мне прям приспичит зачем-то куда-то заходить с левого компа.
>>Или у вас Гугл Плей не на нем висит?
Гуглплей-то, наверняка есть в довесок, но ПО на смартфон ставится преимущественно из f-droid'a. Несвободный телефон, где стоят банковские приложения крайне редко покидает дом.
>>У вас отдельный аккаунт для почты и ютуба?
У меня далеко не один гугл аккаунт.
d7s2di
07.02.2022 14:55Ну, как показывает практика - 90% людей слопают любое, кхм-кхм, повидло, что им предложат.
d7s2di
07.02.2022 17:19Думается, что обсуждать "обычных людей" нет смысла - их проблема даже не в том, что они чего-то не знают, а в том, что и знать не желают.
По-моему, обсуждение тут идет все-таки о тех 10%, что задумывается.
BigBeaver
07.02.2022 21:39Между «задумывается» и «параноит» есть достаточно много прмоежуточных вариантов.
d7s2di
07.02.2022 21:52Вы мне что доказать пытаетесь? Что централизация - это хорошо?
Да, вроде ж, события последних лет со всей этой культурой отмены, репрессиями и тотальной слежкой, наглядно показали, что плохо.
BigBeaver
07.02.2022 22:12Вы бы раскрыли как-то мысль. При блокировке гугл аккаунта пароль на левом сайте перестанет работать или что? Ваши-то аккаунты к почте не привязаны?
d7s2di
08.02.2022 00:24Не, ну если так интересно как оно у меня, то что-то привязано к ящикам на моих личных сервисах. Что-то к разным типа protonmail, fastmail, yahoo и т.д. за 30 лет в интернете, накопилось много разных виртуальных личностей.
При блокировке аккаунта гугла я потеряю аккаунт в гугле.
Вот пример. Я тут, сравнително недавно, стал замечать, что на одном из моих аккаунтов ютуба, после публикации нескольких видео с соревнований и тренировок, гугл почему-то начал удалять все комментарии. Судя по всему, поводом стала демонстрация использования страшного "штурмового" оружия с тактической рукояточкой, магазином повышенной емкости и тактическимЪ глушителем.
Ну и напомню как та же копрорация добра режет монетизацию оружейным каналам. Доходит до смешного: вот тут мы делаем обзор классные сошки от фаб-дефенс, рассказываем, показываем, но на оружие мы их ставить не будем, иначе гугель срежет монетизацию.
Централизация, счастье - это вот все.
Wesha
05.02.2022 23:51Ну уведут у вас учетку от магазина и что? Узнают список покупок? Потатят ваши бонусы?
Простите, а у Вас в учётке магазина домашний адрес не указан?
BigBeaver
06.02.2022 07:01От магазина зависит. Чаще там адрес доставки и он не обязан быть во всех заказах одинаковый. Но вы сейчас хотите обсудить сценарий конкретной атаки на меня в офлайне или что? Есть миллион способов узнать лично мой адрес, ничего не взламывая (например, что-то у меня купить с доставкой).
Wesha
05.02.2022 23:48+2В чем проблема использовать менеджер паролей?
"Брелок сущ, м.р. — маленькая штуковина, предоставляющая вам возможность потерять все ключи одновременно."
d7s2di
06.02.2022 16:47Каким, интересно, образом? Учитывая, что не обязательно хранить базу в единственном экземпляре на единственном устройстве.
По-вашему есть варианты лучше менеджера паролей?
d7s2di
06.02.2022 20:07Я так и сделал, один из них - на расшифровку базы паролей. Периодически меняю. А вот проблема - это использовать эти несколько паролей повсеместно. Особенно большой проблемой это станет в случае утечки: судорожно вспоминать, а где же еще я этот пароль использовал и как бы мне его срочно поменять.
BigBeaver
07.02.2022 07:34Зачем?
Ну и вы сильно переоцениваете ажность стойких паролей. Брутфорс нынче не тот — достатоно не попадать в топ 10к (ну или сколько там) словаря. Пароли хомяков утекают почти всегда через инженерию, а при целевой атаке от серьезных людей вас вряд ли что-то спасет.
d7s2di
07.02.2022 13:33А почему нет? Учитывая, что делается это по клику в иконку генератора паролей в поле ввода.
Xeldos
05.02.2022 09:19На старую почту отсылается уведомление о смене
Я сейчас не вспомню, где и когда, но я точно встречался с кейсом "на вашу старую почту выслано подтверждение".
quwy
05.02.2022 19:11+1В ICQ, помнится, указанная при регистрации почта привязывалась к аккаунту намертво, и всякие секурные манипуляции могли быть произведены только с потдтверждением через нее.
Xeldos
05.02.2022 21:45А там указывалась почта? Я уже и не помню, столько лет... То есть я помню, что лет десять назад там стал обязательным телефон (я тогда в последний раз запустил аську), а вот про почту на заре времён... Вроде, тогда почта была более редким явлением, чем аська.
Moskus
05.02.2022 22:47+1Вот статья более чем двадцатилетний давности о процессе регистрации. Указать email не было требованием, но позже указанный изначально адрес стали использовать для восстановления пароля, и с этим были проблемы.
Нет, почта не была более редким явлением, потому что не имели почтового ящика только те, кто не имел аккаунта у провайдера или кто не мог пользоваться рабочим ящиком.
Svjatogor
05.02.2022 14:03+1Некоторые сайты запрещают менять адрес электронной почты, даже через поддержку (локальная политика конкретного сайта). Хотите сменить почту - регистрируйте новый аккаунт. И когда отказ от пользования или регистрация нового аккаунта - не вариант, потеря почты доставляет проблемы.
Firz
05.02.2022 16:26Обычно так делают там, где боятся продажи аккаунта, всякие онлайн игры где вещи(ценности) привязываются к аккаунту, чтобы людям было неудобно покупать/продавать готовые «одетые» аккаунты и они покупали все сами через игровой шоп.
rinat_crone
05.02.2022 08:59+3Вы придумываете некоторое правило и храните его в секрете.
А потом при первой же (второй, whatever, в зависимости от хитрости Вашего правила) утечке теряете доступ ко ВСЕМ своим аккаунтам.
Потратили бы хоть чуточку времени на изучение инфобеза, если собрались по нему давать публичные советы.
Wesha
05.02.2022 09:22+2А потом при первой же (второй, whatever, в зависимости от хитрости Вашего правила) утечке теряете доступ ко ВСЕМ своим аккаунтам.
Ага, замечательно, вот Вам утечки: сайт "mail.ru" — пароль "mKlMqR", сайт molotok.ru — пароль "pNoPtU". Угадайте пароль для сайта hotmail.com. При этом правило, можно сказать, детское.
А заодно расскажите, как я "потеряю доступ ко ВСЕМ аккаунтам". Для этого как минимум дла начала надо вообще знать, что правило есть.
rinat_crone
05.02.2022 10:24-7Я меня нет цели неправомерно получать доступ к Вашей информации. У кого-то другого она найдется, не переживайте.
select26
05.02.2022 09:17+9Ещё проще решение для уникальных паролей на сервис: keepass с правилом сложности генерации пароля и шареной базой между мобильным и стационарным устройством.
Сложность определяете сами : хоть 20 символов, включая спец и цифры.
Безопасно, быстро, просто и голову днями рождения и жены забивать не нужно.
Xambey97
06.02.2022 19:37+1Ага, только есть проблема. Где вы будете эту базу хранить так, чтобы с ней точно ничего не случилось. Не все имеют домашний СХД и постоянно делают бекапы подобных баз, а доверять ее какому-нибудь яндекс или гугл диску, это смертельно. Можно так однажды потерять вообще все доступы
select26
06.02.2022 20:09Я думаю вы просто не совсем понимаете как это работает.
Совершенно безопасно хранить базу в своем облаке. Она же защищена сильной криптографией. И если попадет в чужие руки, то открыть ее будет сложнее, чем пароль, который в ней хранится, т.к. для мастер-пароля вы не связаны ограничениями какого-либо сервиса на сложность. Если и этого недостаточно, можете В ДОПОЛНЕНИЕ к мастер-паролю использовать внешнтй ключ.
Это индустриальный стандарт.
Конечно, прежде чем применять любые security решения необходимо хорошо разобраться как они работают.
Wesha
06.02.2022 21:38-1И если попадет в чужие руки, то открыть ее будет сложнее
Аналитики трёхбуквенных агенств понимающе улыбаются в усы.
BigBeaver
06.02.2022 21:43Хабр что-то знает(блок рекомендаций справа)
В ДОПОЛНЕНИЕ к мастер-паролю использовать внешнтй ключ.
Очень плохое решение, если вы не можете предоставить внешний ключ быстрее, чем паяльник выходит на рабочую температуру.select26
06.02.2022 21:52+3Зачем вы мешает все а одну кучу? Нет возражений по существу?
Мы говорили о подборе пароля.
От физических угроз применяют иные меры, отличные от криптоконтейнера.
BigBeaver
07.02.2022 07:38Затем, что подбор пароля — самый маловероятный источник утечки. Самые вероятные — это утечки готовых баз и социальная инженерия.
Защита всегда строится по модели атаки. Стойкий пароль ничего не гарантирует сам по себе, как и ничего не гарантирует надежная система его хранения на вашей стороне.
select26
06.02.2022 21:50+2В отличие от вас, я владею соответствующии матаппаратом и могу оценить векторы угроз. Не прикинуть на глаз, а именно провести оценку.
polearnik
06.02.2022 20:51+1компьютер, телефон, гугл диск. Что такого страшного может случится с зашифрованной базой паролей ? ее скачают ? пароль то там недетский его ломать надо будет тысячи лет
vis_inet
05.02.2022 09:57+1Вы можете каждый раз "вспоминать" такой пароль быстро и в уме?
Wesha
05.02.2022 10:05+2А я никуда не тороплюсь. Ум опять же развивает. А спешка нужна при ловле блох.
saboteur_kiev
05.02.2022 11:49А зачем???
vis_inet
05.02.2022 13:57Ну, в браузере же он не сохранён, думаю.
saboteur_kiev
05.02.2022 16:44А почему не в браузере?
Ну а если не в браузере, то пользуйтесь пассворд менеджером или обычным блокнотом.
Graphite
05.02.2022 11:35+2У меня свой домен vasyapupkin.com (недорого, 12 баксов в год)
Вот это самое главное. Любая другая почта вам не принадлежит и может исчезнуть по желанию левой пятки Гугла/Яндекса/Майкрософта. А домен это ваша собственность прямо таки с имущественными правами, доступ к нему вы можете восстановить у регистратора. Причем у нормального регистратора даже без доступа к почте. Главное .ru домен в Руцентре для этого не использовать.
Wesha
05.02.2022 11:38+1Да, Вы правы. Думаю, что я забыл уточнить, что у меня собственный почтовый сервер :)
Graphite
05.02.2022 12:19+1А вот это уже необязательно. То есть так оно лучше, но со своим доменом платить какому-нибудь Гуглу за то, чтобы не заморачиваться настройкой, попаданием в спам и т.п. не проблема. Главное что в любой момент можно перекинуть MX записи на свой почтовый сервер если будет нужно.
И это отлично, практически кто угодно может зарегистрировать домен и гуглопочтохостинг, далеко не каждый осилит настройку своего почтового сервера. Я в свое время много чинил криво настроенных почтосерверов, которые поднимали вроде люди в теме.
С другой стороны чем больше людей держит свои почтовые сервера, тем лучше. Уже сейчас олигополия крупных почтовых сервисов делает это довольно сложной задачей и чем меньше остаётся таких собственных почтовых серверов, тем больше соблазн у крупных игроков просто сделать "не Гугл, не Яху, не мсн - в спам, а может вообще не принять письмо". Так что тем кто может поднять свой почтовый сервер, очень желательно это делать. Остальным - купить домен и привязать к чему-нибудь готовому.
quwy
05.02.2022 19:23+4что у меня собственный почтовый сервер
У меня тоже, в итоге заимел головняк с доступом к своему Skype-аккаунту на год с лишним.
В определенный момент не смог зайти в аккаунт, а письмо с кодом восстановления тупо не приходит на этот ящик. Причем дошло даже до анализа tcpdump. Со стороны серверов майкрософта/скайпа даже не было попыток подключения, вообще никаких.
При этом почта работающая, спам на нее валится десятками в день, да и с другими сервисами проблем не было, а долбаный скайп просто игнорирует этот ящик, но требует код из письма. Все, привет.
Я уже писал однажды, что система email превратилась в закрытый клуб, но вот так, чтобы не только не принимать, но даже и не отправлять сообщения на "внеклубные" сервера/домены, тут майкрософтовцы вообще берега попутали.
Senpasi
05.02.2022 14:04К сожалению и на это находятся "умные" сайты, буквально на днях на автор-тудей решил книжку купить и не смог на свою почту аккаунт зарегистрировать.
Система защиты не пропускает адреса, расположенные на доменах, не входящих в список безопасных. В эту категорию входят и частные домены. Рекомендуем вам использовать адрес электронной почты, принадлежащей любой из популярных систем (яндекс, гугл и тд).Exchan-ge
05.02.2022 14:22+1Рекомендуем вам использовать адрес электронной почты, принадлежащей любой из популярных систем (яндекс, гугл и тд).
В начале этого месяца зарегистрировался на сайте организации, занимающиеся обработкой информации, можно сказать, на государственном уровне.
Для активации нужно было получить письмо на указанный адрес.
И тут я дал маху — указал адрес почты yahoo.
Письмо не получено до сих пор, и, главное — сменить адрес на другой уже нельзя.
(пришлось звонить и решать вопрос по телефону)
Graphite
05.02.2022 16:04+4Вот это жесть, офигеть просто. Черные списки я давно видел - всякие майлинаторы и прочие временные емейл сервисы много где забанены (хотя если я хочу такой емейл использовать - я же это явно не случайно делаю). Но чтобы белые списки - это неадекват, в таком случае я бы голосовал ногами/кошельком пожалуй.
Вообще мне нравится в этом плане что в Швейцарии практически каждый интернет магазин при заказе имеет опцию "одноразовый заказ без создания аккаунта". Я навскидку даже не вспомню была ли регистрация хоть раз обязательной. Сильно помогает с проблемой тысячи бесполезных аккаунтов.
quwy
05.02.2022 19:32+1хотя если я хочу такой емейл использовать - я же это явно не случайно делаю
Ха! У меня на домене есть ящик для всякого одноразового шлака вида spam@domain.com, так некоторые говоносервисы еще и не принимают этот адрес, требуют другой.
Они, видите ли, не хотят срать своими рассылками в отхожее место, они хотят срать пользователю прямо в мозг. И специально озаботились списком стоп-слов в валидаторе не только домена, но и имени ящика.
JerleShannara
06.02.2022 16:58Для этих целей можно завести алиас вида «admin-ty-gey-typoj@domain.com». Пускай наслаждаются оскорблениями.
d7s2di
06.02.2022 18:31У меня дла особо одаренных есть ящик nahuy@domain.name, который я указываю в совсем уж фееричных случаях. Как, например, позавчера с меня требовали номер телефона и email в медцентре.
JerleShannara
06.02.2022 19:37Для представления во всяких «нет, без почты нельзя» в оффлайне у меня пул адресов вида «theverybestaddresdlyavashejfirmyvanketydlyaregistratsiinozachemetovsemnadoto@example.com»(ношу его распечатку с собой) мне это записать не сложно(если на листик бумаги влезет), а смогут ли они его правильно прочитать (сами декодируйте мой почерк), внести в свою систему(поле email не может быть длиннее 64 символов и другие приколы) и прочее — меня не заботит.
quwy
07.02.2022 02:27Очень сомневаюсь, что это кто-то прочитает. Просто товарищи знают цену своим рассылкам и сознательно заблокировали слово spam в адресе.
Wesha
05.02.2022 23:56+2Система защиты не пропускает адреса, расположенные на доменах, не входящих в список безопасных.
... а потом они ещё имеют наглость спрашивать, "почему книжку спиратили".
BigBeaver
05.02.2022 12:49+2А потом оказывается, что у одних сайтов ограничена минимальная длина, у других — максимальная, где-то обязательны спецсимволы, а где-то — запрещены и тд и тд и тд. В итоге ты все равно их забываешь. Просто нужна авторизаци через гугол и отдельный акк для «мусорных» сайтов. Одноразовые мусорные пароли, которые сделал дело, и через год восстановил и тд, если надо (или забыл про этот сайт до конца жизни).
tmin10
05.02.2022 15:26+3А потом гугл случайно банит учётку и приехали...
Если у сайта особые запросы к паролю - это несколько кликов в генераторе пароля, не более (уменьшить длину, добавить только разрешённые символы).
BigBeaver
05.02.2022 19:25+2На мусорный пофиг. А для трех важных сайтов можно и нормальный пароль запомнить.
Менеджер паролей классно, когда вы всегда пользуетесь интернетом только с подконтрольных устройств. А если нет?
tmin10
05.02.2022 15:22Есть менеджеры паролей, для каждого сайта генерируется уникальный пароль. Пароли защищены мастер паролем.
У gmail можно делать уникальные емейлы с текстом после плюса. Из минусов - иногда плюс считают не валидным символом в адресе почты :(
Wesha
05.02.2022 23:58-2Пароли защищены мастер паролем.
Товарищ майор и его подчинённые выражают Вам искреннюю благодарность за заботу :)
select26
06.02.2022 20:19Пора вам изучить матчасть.
Все менеджеры паролей, кроме собственно хранения паролей, решают важную задачу : увеличение стойкости пароля за счёт сложности мастер-пароля.
Его сложность и, соответственно, стойкость определяете вы сами, а не Сбер, Яндекс и и.д. И ломать будут не ограниченный 8 символами пароль, а тот, что создан ПО ВАШИМ требованиям: хоть 16 символов, включая спецсимволы.
YMakeev
05.02.2022 17:31+1Активно использую данный лайфхак. Огромный плюс - позволяет понять откуда "потекло" ????????♂️????
polearnik
06.02.2022 20:16+1насчет первого пункта хрень полная. проще тогда каждый заход на сайт востанавливать пароль. А вообще берете keepass и ставите туда сложный пароль. и запоиминаете только его .а а дальше эту базу копируете на телефон облачный диск и комьютер. Если вдруг откудато база исчезает то у вас есть ещ два места откуда можно скопировать базу. в keepassxc есть вохможность добавить к паролю аппаратный ключ. база будет невзлаываемой
BigBeaver
06.02.2022 20:34проще тогда каждый заход на сайт востанавливать пароль.
Он же сохраняется в браузере. А при смене операционки восстанавливать, да. Вполне нормальная пратика в современном мире.
XanKraegor
07.02.2022 06:30Номер 2 реально хорошая вещь. Где у вас, если не секрет? С учётом неразберихи с платностью старой версии G Suite для физлиц, ищу другие варианты :)
Tyusha
05.02.2022 09:51+3Весь вопрос в том, кому вы довяете больше, и кто вам, в случае чего, нанесёт меньший вред: Гугл или НКВД РФ. Я выбираю Гугл.
Moskus
05.02.2022 11:41+1Это очень сильно зависит от ограниченного числа вещей: если аудитория ваших публичных высказываний достаточно велика, важно, на какую тему вы публично высказываетесь и чьё внимание привлекаете. Потому что реальный "бан в Гугле" тоже можно заработать, просто говорить при этом нужно не о том же, за что дают "два года за перепост".
saboteur_kiev
05.02.2022 11:32+6Я вот чем дольше живу, тем всё сильнее склоняюсь к мысли, что доступ к email, владение телефонным номером и аккаунты на всех сайтах — должно храниться на госуслугах. И все регистрации/авторизации везде — тоже через них.
Ну вот зачем? от порнхаба тоже аккаунт и пароль на госуслугах?
И кредитные карточки и пинкодами там?Что за чушь вы несете.
А с другой — ну физически невозможно иметь на каждом сайте отдельную учётку с уникальным паролем. И еще и следить за каждым — не было ли утечек. И еще 100500 разных важных вещей.
То есть невозможно? А как существуют миллиарды народа сейчас?
Для чего написаны сотни пассворд менеджеров, включая те, которые встроены в КАЖДЫЙ браузер?
У меня вот везде разный уникальный пароль, и я физически существую.
Или пользуется программами типа KeePass, которые благополучно могут ваш пароль слить кому попало после смены владельца компании — или тупо умереть вместе с локальным диском, унеся с собой доступ ко всем аккаунтам по всему интернету. Или вы начинаете пользоваться синхронизацией паролей в браузере — т.е. фактически вместо товарища майора отдаёте их Гуглу.
Госуслуги могут слить пароль гораздо быстрее, чем KeePass, во всяком случае пока что не было новостей о слитии паролей KeePass.
Тупо локальным диском - делайте бэкапы.
Синхронизация паролей в браузере - ну не синхронизируйте, синхронизируйте только букмарки, например. Или пользуйтесь FF если боитесь гугла )Так что по соотношению безопасность/удобство/надежность — госуслуги было бы намного лучше сложившейся системы.
Вообще нет.
vikarti
05.02.2022 13:05+3Проблемы:
- как быть если нужны анонимные аккаунты? Или на другие имена (ну вот не хочет пользователь порнохаба чтобы про него порнохаб знал фио).
- как быть с зарубежными сайтами? Им что — аналог госуслуг КАЖДОЙ страны вешать?
- со слежением за утечками — более менее автоматизированные средства есть (указываем e-mai и будут присылать) + с некоторых пор хром и некоторые менеджеры паролей прямо предупреждают.
- вход на госуслуги в некоторых случаях — тот еще гемморой (с мобильного приложения это делается похоже только через поднятие WebView, что дико бесит например меня как пользователя(сравниваем с тем как вход через FB при наличии приложения FB), ну и говорить про защиту пароля если webview куда вводить его открыто в чужом приложении — бессмысленно
Кстати можно узнать какую именно мне компанию купить чтобы получить доступ к KeePass'у и всем сохраненным в нем паролям? Или чтобы хотя бы прибить другим пользователям к их паролям? (сразу скажу что ответ "KeePass, Inc"/"KeepPass, Ltd" / ОАО "KeePass" правильным — не является даже близко). Эта проблемы — решены более менее во всех приложениях такого типа. Ну до тех пор пока мы доверяем самому коду приложения но вот только во многих случаях он опенсорсный даже у коммерческих серверов.
Fahrain
05.02.2022 17:01-1Ну понятно, что госуслуги — ограничено для нашей страны. Я ж не говорю, что надо теперь запрещать традиционные методы авторизации)
Кстати можно узнать какую именно мне компанию купить чтобы получить доступ к KeePass'у и всем сохраненным в нем паролям?
Ну вот, например. И таких историй — далеко не одна, погуглите.
vikarti
05.02.2022 17:41Ну вот, например
Это именно случай когда нарушено условие "Ну до тех пор пока мы доверяем самому коду приложения". И я например про этот PasswordState вообще первый раз слышу.
Я ж не говорю, что надо теперь запрещать традиционные методы авторизации)
Из текста — совсем не очевидно. Если реально имелась ввиду именно возможность иметь это как опцию — то это гораздо интереснее
Fahrain
05.02.2022 18:08Ну я просто эту программу первой нагуглил. Такие истории я несколько раз видел, так что шансы нарваться — есть.
antej90
07.02.2022 06:35+1Про Keepass была новость несколько лет назад, что при открытой базе данных, троян делал экспорт базы в файл (функция Keepass для обмена с другими парольными менеджерами) и отправлял злоумышленникам.
Firz
05.02.2022 17:25+1Ну до тех пор пока мы доверяем самому коду приложения но вот только во многих случаях он опенсорсный даже у коммерческих серверов.
«Но это не точно», опенсорсным код может быть в репозитории, но никто не знает что на самом деле крутится на серверах какой-то компании. Более того, даже сами люди в компании могут не знать из чего на самом деле собран бинарник, который у них на сервере крутится.JerleShannara
05.02.2022 17:42Никто не запрещает вам самому собрать, если это полный опенсорс, включая серверную часть.
Firz
05.02.2022 17:44Для себя то понятно, но я о том, что никто не знает что на самом деле крутится на сервере у какой-то компании, даже если она развивает какой-то продукт и он в опенсорсе.
d7s2di
05.02.2022 18:30На каких серверах? Храним базу локально, синхронизируем через какой-нибудь syncthing или rsync по крону.
Firz
05.02.2022 18:56На каких серверах?
Вот на этих:
d7s2di
05.02.2022 19:21+1Все равно. База лежит локально. Софт собрал мейнтейнерами дистрибудива. Не, можно, конечно, запараноить: все кругом враги, опенсорс дырявый и забэкдореный, мейнтейнеры жидомассоны, а рептилоиды снимают данные прямо из мозга.
И только государство хорошее со своими госуслугами, оттуда-то точно ничто не утечет.
vikarti
05.02.2022 17:47+1А причем тут сервер?
В каких это менеджерах паролей шифрование паролей мастер-паролем идет НЕ на клиенте?!
А код клиента если это расширение браузера — открыт.Если на комп прилетел троян или там расширение подправили злые хакеры (или китайская разведка заставила разработчиков прислать "правильное" обновление) — извините это уже другой тип угрозы и бороться с этим надо — по другому.
Firz
05.02.2022 20:44Если вы шифруете данные у себя и на сервер отдаете в зашифрованном виде — тогда ни при чем, а вот если полагаетесь на сервер в плане того что на нем запущено что-то с открытым исходным кодом, то тогда при чем.
xSVPx
05.02.2022 21:17+1Проблема в том, что обычно вы у себя же дешифрует эти данные. В любом количестве. Без какого либо специального внешнего подтверждения.
Один троян все и сольёт...
vikarti
05.02.2022 21:23У того менеджера паролей которым я пользуюсь прямо заявлено:
Bitwarden uses AES-CBC 256-bit encryption for your Vault data, and PBKDF2 SHA-256 to derive your encryption key.
Bitwarden always encrypts and/or hashes your data on your local device before anything is sent to cloud servers for storage. Bitwarden servers are only used for storing encrypted data. For more information, see Storage.
Vault data can only be decrypted using the key derived from your master password. Bitwarden is a zero knowledge solution, meaning you are the only party with access to your key and the ability to decrypt your Vault data.
Don't trust Bitwarden Servers? You don't have to. Open source is beautiful. You can easily host the entire Bitwarden stack yourself. You control your data. Learn more here.и да — они берут подписку. хотя насколько понимаю — можно похакать слегка софт на эту тему если локально запустить бэк
у предыдущих использованных:
Dashlane requires a strong Master Password. We encourage our users to make their Master Password as complex as they can remember.
Dashlane doesn't store your Master Password anywhere on our servers, and it's never transmitted over the internet. That means no one can take the key to your castle and your encrypted data stored on our servers is useless to hackers without it.
LastPass operates on a zero-knowledge security model. Sensitive data stored in LastPass is encrypted at the device level with AES-256 encryption before syncing with TLS to protect from on-path attackers.(KeePass лично я — не использую. Не устроило скажем так качество ПО)
Firz
05.02.2022 21:31Я просто все пытаюсь понять, с чем, условно, «спорят» люди в комментариях к моему комментарию о том, что никто на самом деле не знает что крутится на чужих коммерческих серверах, даже если заявляется что там все тот же опенсорсный софт.
vikarti
05.02.2022 21:43+1С тем что:
- есть варианты когда это может быть свой сервер (Bitwarden, там есть такая опция)
- есть варианты когда просто нет чужого сервера, ну вот архитектура такая что синхронизация — забота конкретного пользовательского ПО, это может быть Dropbox или вообще руками через SyncThing или еще что (случай KeePass)
- что код на сервере вообще важен для безопасности клиента если клиент сам все шифрует
Firz
05.02.2022 21:54есть варианты когда это может быть свой сервер (Bitwarden, там есть такая опция)
Свой «коммерческий сервер»? Я понял смысл «коммерческий сервер» как чужой платный сервис.есть варианты когда просто нет чужого сервера, ну вот архитектура такая что синхронизация — забота конкретного пользовательского ПО, это может быть Dropbox или вообще руками через SyncThing или еще что (случай KeePass)
Ну да, если вы не полагаетесь на чужой сервер, а шифруете все у себя, то можно не беспокоиться что там на самом деле крутится на чужом сервере. Но только я и говорил о том, что опенсорсность софта не означает что на чужом сервере крутится то же самое что все видят в репозитории(ну и соответственно, как продолжение мысли, полагаться что чужой сервер делает все как надо не стоит)что код на сервере вообще важен для безопасности клиента если клиент сам все шифрует
Я не понимаю, то ли я как-то криво объясняюсь, то ли что.select26
06.02.2022 20:24+1Похоже вы действительно не понимаете как работает локальный криптоконтейнер и как он синхронизируется.
Почитайте хотя бы как устроен то же keepass. Проблемы передачи и хранения самого контейнера нет.
Firz
06.02.2022 22:06Не буду мешать вам строить догадки о ком-то, но как это связано с моим комментарием о том, что никто не может быть уверен что именно за софт крутится на чьем-то чужом сервере?
mixsture
05.02.2022 14:00+3Госуслуги намного хуже как минимум тем, что государство почти всегда неподсудно. Вы сейчас предлагаете сделать менеджер паролей с неподсудным монопольным игроком, к взаимоотношениям с которым принуждает закон. Любые договоренности с ним ничтожны, особенно в реалиях зависимости судов рф.
Не будет ни безопасности, ни удобства, ни надежности.Fahrain
05.02.2022 17:15-1Ну гугл (со своим менеджером паролей) сейчас очень подсуден, да. Не вижу принципиальной разницы
FoxWMulder
07.02.2022 06:36+3Будь моя воля я бы ничего не доверил бы госуслагам. Нет ничего, что обладало более низким доверием в моих глазах чем наше правительство. Как Вы сказали, чем больше живу тем больше в этом убеждаюсь.
vikarti
05.02.2022 12:56+1У госуслуг есть возможность входа БЕЗ авторизации по телефону (токеном, вопрос криптостойкости оного токена конечно отдельный).
А также (насколько понимаю) есть возможность сброса авторизационных данных через МФЦ. По паспорту.xSVPx
05.02.2022 21:14Что за токен ? ЭЦП ? Это вообще адская бомба. Если ты суешь носитель в компьютер, то это самоубийство в чистом виде, а отдельных устройств для подписывания я в жизни не видел.
Fahrain
05.02.2022 02:32-4Мне кажется, что тут небольшое смешивание понятий. Двухфакторная аутентификация в настоящее время — это не столько средство защиты аккаунта, сколько — защиты от угона аккаунта путем подбора пароля.
Т.е. это защита от ситуации, когда очередной тупой ботнет начинает совать ваши (широко известную после предыдущих сливов с других сервисов) почту или телефон как логин и подбирать к ним пароли по накопленным базам. Огромная куча сайтов такие вещи или игнорирует (если не наглеть и не сильно нагружать сервера запросами), или защита от перебора паролей чисто символическая.
И вот тут очень поможет смс-ка с кодом подтверждения с сайта, на который вы не логинились — значит пароль уже того, утёк, надо срочно менять.
kurvimetr
05.02.2022 02:54+5Я по этой причине на keepass2 утек, и к важным аккам теперь пароли длиннющие генерю. Это менее удобно, чем быстрый ввод в браузере или хранилище паролей в гугле, но но куда безопасней. И гораздо более безопасней, чем один пароль на всё) Keepass хотя бы умеет в доступ к файлу паролей через UAC, а ввод сохраненного пароля в браузере через плагин - эти меры усложняют перехват. Плюс файл паролей сильно шифруется, его нестрашно в облаке хранить. На телефоне, кстати, Keepass2 вполне себе удобный, ибо умеет сам быть средством автозаполнения.
select26
05.02.2022 09:25+2Это очень удобно: у форка keepassxc, например, есть функция автонабора (автологина). По этом даже в буфер пароль не копируется (защита от кейлогеров).
Есть форки с интеграцией в браузер - keepass выполняет роль защищённого хранилища.
Все придумано до нас. А параноики, как правило, толковые инженеры.
xSVPx
05.02.2022 20:58+1Страшно подумать как троян автонаберет все ваши пароли ко всем ресурсам.
По нормальному это сделано в мультипассе, все аппаратно отдельно, ввод пароля требуется подтвердить нажатием клавиши на устройстве.
Graphite
05.02.2022 11:39Это менее удобно, чем быстрый ввод в браузере или хранилище паролей в гугле, но но куда безопасней.
Почему? Если я включу на своем гуглоаккаунте advanced protection и без секьюрити ключа туда не зайти никак, даже коды восстановления не работают, почему это менее безопасно?
DreamShaded
05.02.2022 02:38+1Спасибо. Было бы круто почитать о том, как можно лучше обезопасить доступ хотя бы к банковским счетам и личной почте. У меня пока KeePass2 с 17-значным мастер-паролем (если что, там локальная база без синхронизаций) и двухфакторка на телефон, который не светится в соцсетях, как мой личный, но не уверен, что это прям уж такая неудобная для кражи мера защиты. Может, есть что покрепче?
ifap
05.02.2022 02:56Генератор одноразовых паролей, не во всех банках есть, тем более для физиков, но вроде уже не такая редкость сегодня.
xSVPx
05.02.2022 21:01Ни в одном из банков где спрашивал нету. В Сити вроде есть, но с отделениями беда. Ещё надо авангард проверить. И да, тут ещё большой вопрос будут ли они его требовать, или это просто дополнительно, а по смс все операции всё равно будут доступны.
Пароль в Сбере не нужен. Нужен номер карты и смс. Ну т.е. у вас может быть пароль и логин, но это не помешает зайти по номеру и смс.
Vsevo10d
05.02.2022 04:07+4Поскольку в статье сделан упор на то, что идентификация по телефону - как второму фактору - идея провальная и подверженная уязвимости, вывод напрашивается сам собой: нужно усилить первый фактор, который изначально контролируете вы, то есть пароль.
Штатные рекомендации типа насовать в пароль цифр и спецсимволов - не особо ценнее советов не использовать пароль 12345. Потому что действует простая математика: число вариантов пароля описывается формулой N^(M), и добавляя символов, используемых в составе пароля, вы меняете основание степени N, а кардинально увеличивает число вариантов пароля сама степень - то есть, длина.
Для пятизначного пароля, добавив спецсимволов, вы грубо говоря, меняете N с 62 на 70 (и число вариантов с 916 млн на 1,7 млрд) и заметно теряете в удобстве и запоминаемости, а вот добавив шестой знак, получаете уже 56 млрд вариантов.
С практической точки зрения создать длиннющий, легко запоминаемый и относительно легко восстанавливаемый пароль совсем нетрудно. Берете ваш любимый фильм, а из него - какую-нибудь известную сцену. Записываете одну запоминающуюся реплику максимально просто, без пробелов, пунктуации и заглавных букв. illfeedyouwhatyouseemnottovalue - 70^31, удачного брутфорса.
Fahrain
05.02.2022 04:13+3При этом на каждом сайте пароль должен быть 100% уникальным, так как на периоде лет в 10 вероятность, что ваш пароль будет слит после очередной утечки — далеко не 0%. Я бы даже сказал, что она стремится к 100%, так как рано или поздно, но сливают и с типа надежных сайтов (apple, myspace).
Wesha
05.02.2022 04:41При этом на каждом сайте пароль должен быть 100% уникальным
Добавляете к вышеприведённой уникальной фразе спереди/сзади/посередине название сайта — и вуаля.
Fahrain
05.02.2022 04:59+2А потом придет сбербанк и принудительно обрежет длину пароля до 10 символов :)
И вместо супер-криптоустойчивого пароля у вас будет пароль из имени сайта, если вы его вначале вписали. Или какое-нибудь словарное сочетание, легко подбираемое по базе.Wesha
05.02.2022 06:03А потом придет сбербанк и принудительно обрежет длину пароля
К сожалению, в борьбе с идиотами мы обречены проигрывать: их тупо больше. Могу предложить отнести свои деньги в какой-нибудь другой банк (благо выбор есть), при этом в Сбербанке при закрытии счёта вызвать менеджера по отделению и подробно и в красках описать, почему они потеряли клиента. Дело в том, что исправиться они не смогут, если не будут знать, а в чём, собственно, проблема. А капля камень точит.
Fahrain
05.02.2022 06:12+2Как я уже говорил выше — таких сайтов не то чтобы много, но чаще всего они оказываются такими, что без них никуда. Например, я сталкивался с похожей ситуацией на Uplay и EA Origin. Хуже всего то, что те, кто вводит такие политики паролей — искренне считают, что они делают всё правильно и это вокруг все это делают неправильно) Поэтому вы, конечно, можете высказать им своё фи — но результата скорее всего не будет.
Wesha
05.02.2022 06:24-8но чаще всего они оказываются такими, что без них никуда. Например, я сталкивался с похожей ситуацией на Uplay и EA Origin.
Если Вы "никуда" без игр, то тут у меня просто нет слов — всё уже сказано.
Fahrain
05.02.2022 06:39+2Ну т.е. вы мне предлагаете не играть в любимую серию игр или нарушать закон и пиратить? Просто потому что мне не дают ввести любимый пароль? Как-то это слишком радикально, вам не кажется?
Wesha
05.02.2022 06:51-13Во-первых, игры для человека старше 20 лет не являются предметом первой необходимости.
Во-вторых, "пиратить" — это когда Вы пытаетесь чем-то пользоваться, не заплатив за это. Вы заплатили? Заплатили. Следовательно, последующее использование "пиратством" быть не может по определению. Скажем, если я свою честно купленную газонокосилку из гаража вытаскиваю не через дверь (как все), а через окно — идите лесом, ну вот захотелось мне так!
Fahrain
05.02.2022 06:53+2Во-первых, игры для человека старше 20 лет не являются предметом первой необходимости
Ну это не вам судить. Все люди разные. Кто-то, вон, в походы ходит — тоже глупое времяпрепровождение же, давайте их тоже осуждать будем!
Вы заплатили? Заплатили. Следовательно, последующее использование "пиратством" быть не может по определению.
Ну это вы так самоуспокаиваться-то можете, а по факту — вы нарушаете закон
Wesha
05.02.2022 07:12-1а по факту — вы нарушаете закон
"По факту" я очень много чего нарушаю. Catch me if you can.
saboteur_kiev
05.02.2022 11:55+4Во-первых, игры для человека старше 20 лет не являются предметом первой необходимости.
Эм. Это вы за всех решили как им жить и зачем?
Люди, живут не для того, чтобы работать или развиваться. Они просто живут и имеют на это право.Что это вообще за аргумент у вас такой.
Wesha
05.02.2022 11:59-4Эм. Это вы за всех решили как им жить и зачем?
"Предмет первой необходимости" — это то, без чего не особо долго проживёшь. Ну там, знаете, еда, одежда... Вы правда-правда без любимого Diablo умрёте? Позвольте не поверить.
Люди, живут не для того, чтобы работать
Воруют, что ли?
saboteur_kiev
05.02.2022 16:46+3Причем тут воруют?
Вы фразу "нужно работать чтобы жить, а не жить чтобы работать" не знаете?
Вот компьютер и интернет - не предмет первой необходимости. Так зачем вы им пользуетесь с такими аргументами?
Wesha
06.02.2022 12:26Вот компьютер и интернет - не предмет первой необходимости. Так зачем вы им пользуетесь с такими аргументами?
Вы сказали, что Вам без игр "никуда". А мне без игр всего-навсего немного скучнее, но ни в коем случае не "никуда", равно как и без компьютера, интернета и т.д.
"Никуда" мне без еды и крыши над головой.
0x131315
05.02.2022 12:50Борьба с ветряными мельницами: стратегию развития выбирают намного выше, те, до кого информация не доходит вообще, решение принимает не менеджер, не его сфера ответственности. Хочешь что-то изменить - донеси информацию не до низшего звена, а до того, кто принимает решения.
aMster1
06.02.2022 19:44+1А меня например бесят "суперумные" сайты/сервисы которые требуют криптоустойчивых паролей. Позвольте МНЕ решать какие услуги МНЕ важны. Любимые ростелеком и касперский требуют пароли с длиной не меньше 8 символов, большими, маленькими буквами, цифрами.... Еще и регулярно менять! НАХРЕНА? Посмотреть мой баланс? Закинуть средств на счет? Продлить годовое обслуживание?
tvr
06.02.2022 20:41+1Любимые ростелеком и касперский требуют пароли с длиной не меньше 8 символов, большими, маленькими буквами, цифрами.... Еще и регулярно менять! НАХРЕНА? Посмотреть мой баланс? Закинуть средств на счет? Продлить годовое обслуживание?Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, слишком мало символов в пароле!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розовая роза.
— Извините, необходимо использовать как минимум 10 различных символов в
пароле!
— 1грёбаная розовая роза.
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза.
— Извините, не допускается использование нескольких заглавных букв, следующих
подряд!
— 1ГрёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГрёбанаяРозоваяРозаБудетТорчатьУтебяИзЗадаЕслиНеДашьДоступПрямоСейчас!
— Извините, этот пароль уже используется пользователем с логином Vasya_Pupkin.
mapron
05.02.2022 08:44+5Последний совет разбивается о скалы суровой реальности — на куче сервисов есть ограничение СВЕРХУ на длину пароля. И ладно бы 100 или 200 символов. нет, например, 16, 20 и тп. (привет battlenet например). Я уже сбился со счета сколько таких случаев у меня было.
select26
05.02.2022 09:30Легко повысить стойкость пароля увеличением словаря : добавить спецсимволы и цифры. Даже у 10 символьного пароля стойкость очень высокая получается.
0x131315
05.02.2022 12:44-2Так нет там никакого словаря: все пароли хэшируются и хранятся в базе как хэш фиксированной длины. На самом деле системе без разницы какой длины пароль, ограничение искусственное.
alexg-nn
05.02.2022 14:49+1Мне всегда было интересно, чем руководствуются такие сервисы, где длина пароля ограничена сверху каким-то очевидно маленьким числом. Я могу принять, что очень длинные пароли несут какие то риски (в Symfony ограничение идёт в 4096 символов, зашито прямо в код энкодера). Но в любом случае это всё хранится как хэш и влезает в 255-символное поле БД. Неужели так боятся, что процесс хэширования длинных паролей положит им сервис?
mapron
05.02.2022 20:57+3Дизайнер сказала, что в поле ввода точечки некрасиво обрезаются! Исправьте, по макету 16 точечек!
zzzzzzzzzzzz
05.02.2022 23:47+4Грустный вопрос: а почему вы так уверены, что это всё хранится как хэш?..
Wesha
06.02.2022 00:41-2Грустный вопрос: а почему вы так уверены, что это всё хранится как хэш?..
Потому что я участвовал в написании как минимум одного из этих сервисов?
Fahrain
06.02.2022 01:01+3… они хранились в виде MD5-хэшей без соли… Используемый алгоритм не обеспечивает серьезной защиты данных в случае взлома — на взлом хэшей и восстановление 96% паролей у предсавителей LeakedSource ушло всего два часа.
Большая часть из 412 млн паролей хранилась в нешифрованном виде, а абсолютное большинство оставшихся были кодированы с использованием небезопасных алгоритмов хэширования, что позволило расшифровать 99% паролей.
злоумышленники могли получить в свое распоряжение «имена, почтовые адреса, телефонные номера, даты рождения, хэшированные пароли (с использованием MD5) и, в некоторых случаях, зашифрованные и незашифрованные секретные вопросы и ответы»
Продолжать можно долго)
Если с вашего любимого сайта еще не утекли пароли в открытом виде (или в MD5, что равносильно) — это просто потому, что им пока еще никто толком не занялся, а не потому, что там всё офигенно безопасно.
alexg-nn
06.02.2022 08:46Это действительно грустный вопрос( Плохо, что в современном мире можно найти иные варианты. Или что-то очень старое, или я даже не знаю - очень велосипедное современное.
0x131315
05.02.2022 12:52+1Только стойкость пароля к реальной безопасности отношения не имеет: аккаунты угоняют не перебором паролей.
alexg-nn
05.02.2022 14:51+2Аккаунты угоняют сливом дампов БД с хэшами и там уже как хотите перебирайте. Так что тут всё же сложность решает. Ясное дело, что в страницу логина никто не долбится и в нормальных сервисах такие попытки присекаются чуть ли не со второй попытки.
F0iL
05.02.2022 15:31Аккаунты угоняют сливом дампов БД с хэшами и там уже как хотите перебирайте.
Если хэши соленые (а они и должны быть соленые, соль хранится подальше от самой базы), то перебор все равно будет иметь мало смысла, не?
mixsture
05.02.2022 14:09нет. реплики некорректно оценивать как отдельные независимые символы.
Реплики — это слова. Так что надо взять условный словарь из 10к слов. Преобразовать его в 100к словоформ, а затем считать, что вместо каждого слова может стоять 1 из 100к.
У вас фраза кажется из 10 слов. Вот будет 100000^10 ~ число с 50 нулями, тогда как 70^31 — число с 57 нулями.
И это все равно будет завышенной (слишком оптимистичной) оценкой сложности, потому что слова в реальности связаны по смыслу, имеют порядок следования.
pyrk2142
05.02.2022 17:27+2Поскольку в статье сделан упор на то, что идентификация по телефону - как второму фактору - идея провальная и подверженная уязвимости, вывод напрашивается сам собой: нужно усилить первый фактор, который изначально контролируете вы, то есть пароль.
Имхо, это разумное, но не достаточное действие. Есть очень большая проблема в том, что многие сайты и сервисы меняют процесс авторизации без предупреждения или даже тайно. Например, даже Телеграм (чей функционал довольно простой) за последние года два изменил детали процесса авторизации в приложении раза три. При этом, когда это делали сразу после публикации информации о том, что используемый метод авторизации небезопасен, Телеграм его отключил, но никто не разлогинил мои тестовые аккаунты, которые были залогинены таким способом, и не предупредил, что вообще-то могут быть проблемы. А это довольно серьезный сервис, сфокурсированный на безопасности.
Сегодня условный сервис использует честную двухфакторную авторизацию, а завтра позволяет сменить забытый пароль путем ввода одного СМС-кода. Вчера была защита от перебора кода, а сегодня тупой джун отключил ее просто потому, что не понял, что за ошибки вылезают (реальная история). Или вообще более экзотические ситуации, я однажды умудрился восстановить доступ в свой аккаунт банка по телефону без всякого подтверждения только потому, что новый сотрудник в call-центре забыл (!), что надо направить меня на процедуру подтверждения личности перед восстановлением доступа.
И при этом эти сервисы никому ничего не должны. Условный Телеграмм может нанять уволенного тупого джуна из прерыдущего абзаца, он отключит авторизацию в целом, но сервис за это ответственность не несет. И вот можно ли что-то сделать с этими проблемами в общем случае я не знаю, но хотел бы знать.xSVPx
05.02.2022 21:05Вы сейчас описали то, что массово происходит в БАНКАХ.
И непонятно как это остановить :(
weaccyZaf
06.02.2022 19:27И непонятно как это остановить :(
Использовать нал и BTC. Серьёзно. Банки уже давно, всё меньше скрываясь, превращаются из средства сохранения денег в инструмент власти сначала для конроля, а потом для отъёма наших денег.
И банки совершенно не собираются сейчас усиливать безопасность наших аккаунтов, им это не надо. Наоборот, им нужно, чтобы уязвимости были, чтобы можно было прикрыться типа «ваш аккаунт был взломан через sms», если родина прикажет спереть деньги. Пока нужно. И пусть лучше наши деньги не долежат в банках до того момента, как уже станет не нужно.
netch80
06.02.2022 10:12+2> нужно усилить первый фактор, который изначально контролируете вы, то есть пароль.
Целевая атака: перехватывают ваш мобильный номер (есть много способов), на сайте жмут «я забыл пароль», и вся ваша усиленная защита длинным сложным паролем оказывается бесполезной.
Для сервисов, где первичным идентификатором является мобильный номер, это работает под 100%.Exchan-ge
06.02.2022 13:52Целевая атака: перехватывают ваш мобильный номер (есть много способов), на сайте жмут «я забыл пароль», и вся ваша усиленная защита длинным сложным паролем оказывается бесполезной.
Для сервисов, где первичным идентификатором является мобильный номер, это работает под 100%.
Не далее как вчера мне пришлось проделать процедуру восстановления пароля.
Помимо обычных процедур с телефоном, пришлось указывать тот адрес почты, который был специально создан для защиты учетной записи.
(а как-то мне пришлось менять почту для своего Apple ID, это вообще был цирк с конями :)netch80
06.02.2022 13:56> Помимо обычных процедур с телефоном, пришлось указывать тот адрес почты, который был специально создан для защиты учетной записи.
Верю. Но много ли сайтов используют подобные защиты?
Кстати, паранойя (читал про такое, сам не щупал) части российских банков про замену телефона (контроль и IMEI) в этом плане, наверно, даже полезна. У украинских банков я такого не слышал. С паспортом в отделение — безусловно работает, но может хватить времени вывести средства.
> (а как-то мне пришлось менять почту для своего Apple ID, это вообще был цирк с конями :)
Если штатный вариант это типа «неделю работают оба адреса, если не идентифицировался человеку», то тоже разумно для заметной части случаев.Exchan-ge
06.02.2022 14:17Верю. Но много ли сайтов используют подобные защиты?
Не знаю — все сервисы, с которыми я реально работаю, на своих сайтах используют такую защиту. А для остальных есть специальная почта и специальный телефон со своей симкой и псевдонимами вместо реальных ПД.У украинских банков я такого не слышал
Все норм, есть. Плюс если что, названивает оператор и спрашивает кодовое слово.«неделю работают оба адреса"
Там был очень древний адрес, еще от почты Рамблера начала 2000х, который внезапно сдох. Поскольку репутация у почты Рамблера еще та, восстанавливать не стал.
SandroSmith
07.02.2022 12:39Вы, конечно, всё так хорошо расписали, но всю эту простыню заменяет одна картинка про лошадь со степлером.
0x131315
05.02.2022 12:43+1Гугл просто отделяет аккаунт от системы авторизации, и пришел к этому эволюционным путем. Не все у них продумано, многое сделано криво, и все слепо копировать нельзя. Но конкретно эту идею стоит брать на вооружение.
Такой подход позволяет иметь на одном аккаунте множество разных способов авторизации, восстановления доступа, и даже иметь параллельные сессии с временными токенами, с соблюдением всех мер безопасности.
Но практика показывает, что это нужно пользователям, а не владельцам порталов, к сожалению мало кто заинтересован реально что-то менять.
MaryRabinovich
05.02.2022 14:44А можно подробнее про "Почему телефонный номер не защитит вас, если ваш клиент нарушит закон" ?
И что вообще нужно знать про клиента, чтобы в случае его (каких именно) действий не получить по шее (за что, собственно)?
weaccyZaf
05.02.2022 19:32+2Да мне кажется, они уже даже не скрывают особо, что их цель при требовании телефона — не «защита клиента», а наоборот, облегчение для спецслужб доступа к аккаунту клиента и облегчение идентификации этого клиента, если он будет слишком откровенно высказываться на злободневные темы.
Знание номера или реального IP-адреса не защитит вас от органов правопорядка.
Не могу с этим полностью согласиться. В случае платной аренды номера у клиент появляется дополнительная точка отказа — неанонимность денежного перевода. Админам сайта известен номер. Владелец номера, если он не хочет, чтобы крайним назначли его, хранит логи аренды и платежей за неё. После этого в банке выясняется отправитель перевода.
Да, теоретически анонимные методы оплаты существуют. Но я сомневаюсь, что админы сайтов с арендой номеров позвоялют их использовать, поскольку в таком случае крайними назначат уже их.
Да, ещё бывают сайты, где номера вроде как показываются бесплатно и без регистрации. Не знаю, как это работает и показывают ли там вообще реальные sms или это пустышка. Но такие номера легко банить отправителям sms: на сайте с номерами нет регистрации, админ сайта с требованием номера может легко забрать список номеров. (И поэтому я подозреваю, что скорее пустышка.)
Даже если истинно анонимные методы регистрации по телефону существуют, они достаточно малоизвестны, и большая часть клиентов всё равно до них не дойдёт, потеряет на каком-то этапе анонимность и попадётся в лапы товарищу майору.
melvladimir
06.02.2022 14:34+1это резервные одноразовые коды
Стандартная дичь лютая. Всегда вызывала недоумение. Нее, я понимаю, что у кого-то свое жилье, все стабильно годами, не переезжает, организованно, а, стоп, у меня вопрос тут возник: так на кой черт ему бумажки, если все и так организованно? Номер зареген, восстановить - час времени.
Вторая дичь - это контрольные вопросы) обожаю её) Вспомнить через лет 5-7 какой же тогда у тебя был любимый фильм, книга или ещё что-то) Особенно с учётом того, что при годном подходе через соц. инжиниринг это всё "извлекается" из владельца качественнее, чем он сам вспомнит в состоянии обеспокоенности.
Exchan-ge
06.02.2022 15:35Вспомнить через лет 5-7 какой же тогда у тебя был любимый фильм, книга или ещё что-то)
Не стоит на такие вопросы отвечать буквально.
Вариант: «Ваш любимый фильм» — ответ «тангенциальный»
(+Парадоксальные ответы легче запомнить :)Особенно с учётом того, что при годном подходе через соц. инжиниринг это всё «извлекается» из владельца качественнее, чем он сам вспомнит в состоянии обеспокоенности.
Вот именно поэтому и рекомендация выше.Fahrain
06.02.2022 16:58Здесь та же проблема, что и с уникальным паролем под каждый сайт:
- варианты вопросов на каждом сайте — разные
- если отвечать на каждый такой уникальный вопрос уникальным ответом — то через 5-10 лет вы просто не вспомните свой "пародоксальный" ответ на этом конкретном сайте
- если отвечать одинаково везде, не смотря на формулировки вопросов — то когда база ответов рано или поздно (скорее — рано) утечёт с сайта (см утечку из Yahoo), то плохие люди автоматом получат возможность перехватить доступ на любой сайт, где вы регистрировались.
Т.е. в конечном итоге — идея с ответами на секретный вопрос выглядит красиво, но по факту — эта штука ещё более уязвима, чем обычный пароль.
Exchan-ge
06.02.2022 17:17если отвечать одинаково везде, не смотря на формулировки вопросов — то когда база ответов рано или поздно (скорее — рано) утечёт с сайта (см утечку из Yahoo), то плохие люди автоматом получат возможность перехватить доступ на любой сайт, где вы регистрировались.
Используется одна ключевая фраза, например: «Грузите апельсины бочками братья Карамазовы».
Если вдруг забудешь конкретное слово для конкретного сайта — восстановишь методом перебора, если забудешь точную фразу — всегда можно открыть книгу и посмотреть :)перехватить доступ на любой сайт, где вы регистрировались
Для этого надо, как минимум, знать, те сайты, на которых я регистрировался.
(надо ли говорить о том, что на разных сайтах надо регистрироваться под разными никами и использовать разные адреса электронной почты и номера телефонов? :)Fahrain
06.02.2022 17:44Используется одна ключевая фраза, например: «Грузите апельсины бочками братья Карамазовы».
Ну т.е. если вы попали в тот слив базы yahoo — ваш контрольный ответ уже в базе злоумышленников. Дальше им достаточно просто всюду его на удачу тыкать — ровно так же они это сейчас делают с базой паролей.
Для этого надо, как минимум, знать, те сайты, на которых я регистрировался.
Вообще не надо. Подавляющее большинство современных сайтов "для удобства" используют вместо логина емейл или телефон. Как минимум емейл ваш уже давно в соотв. базах есть — или утёк вместе с ответом на контрольный вопрос. Простейший бот бегает и тыкает этим емейлом в формы авторизации, если получает сообщение о том, что юзер найден, но пароль не правильный (опять-таки, подавляющее большинство сайтов никак не скрывают факт наличия аккаунта), то можно переходить к стадии восстановления доступа по контрольному вопросу — ответы мы уже знаем.
надо ли говорить о том, что на разных сайтах надо регистрироваться под разными никами и использовать разные адреса электронной почты и номера телефонов?
Если вы будете так делать, то вместе с уникальным паролем под каждый сайт вам надо будет еще и помнить уникальный емейл под каждый сайт. Причем не просто помнить, а еще и иметь на него доступ (т.е. +1 пароль к каждому емейлу) для получения технических писем с соотв. сайтов (для восстановления забытых пароле и/или подтверждения аккаунта, и/или получения сообщений о попытках взлома перебором паролей, о блокировке аккаунта и т.д. и т.п.)
Exchan-ge
06.02.2022 17:51Ну т.е. если вы попали в тот слив базы yahoo — ваш контрольный ответ уже в базе злоумышленников.
Слилось контрольное слово «Грузите».
Как это поможет получить доступ к учетке с контрольным словом «апельсины»?Как минимум емейл ваш уже давно в соотв. базах есть — или утёк вместе с ответом на контрольный вопрос. Простейший бот бегает и тыкает этим емейлом в формы авторизации,
См. выше — на разных сайтах разная почта и разные контрольные вопросы.Если вы будете так делать, то вместе с уникальным паролем под каждый сайт вам надо будет еще и помнить уникальный емейл под каждый сайт
Да, а что тот странного или сложного? Зашифрованный файл со списком, открываемый только в случае «забыл пароль/данные» и не хранящийся нигде в открытом виде. С именем «памяти любимого кота Федора» :)Fahrain
06.02.2022 18:10Когда количество таких сайтов в вашем файлике перевалит за пару сотен (или тысячу) — без этого файлика вы жить уже не сможете в принципе. Причем в случае его утери (сбой диска, покореженный бэкап, сгорела квартира) — вы автоматом лишаетесь доступа практически во все аккаунты. Причем восстановить доступ вы тоже не сможете, т.к. для этого вам нужен доступ в почту — а его вы тоже потеряли)
Контрольные вопросы — это иллюзия безопасности. Они скорее наоборот — отдельная дырка, в обход вашего намного более надежного пароля.
Exchan-ge
06.02.2022 19:12Когда количество таких сайтов в вашем файлике перевалит за пару сотен (или тысячу) — без этого файлика вы жить уже не сможете в принципе.
Нет, примерно 75...80 мейлов хватает на все :)
Благо сайты делятся по категориям (уровням конфиденциальности), а любопытные торговцы получают один и тот же е-мейл на всех, коллектор спама.Причем в случае его утери
Файлик мелкий, с лежит в куче других, похожих, на разных компах, естественно, зашифрован и не ищется поиском по содержимому.
Стеганография вместе с криптографией — это вещь :)polearnik
07.02.2022 11:54+1я так же спрятал один файлик размером около мегадбайта в одной из папок system32. Через полгода когда он мне понадобился я его найти не смог. Он был переименован чтото типа mscrt.dll. причем когда я начинал его искать я был более чем уверен что знаю где он и как найти. Security through obscurity это плохо. читайте книги по инфосеку. Пусть будет база от менеджера паролей. но так как она зашифрована паролем нужной длины то вскрыть ее у злоумышлеников не получится. остается паяльник но тут вообще придумать сложно
Exchan-ge
07.02.2022 14:15Через полгода когда он мне понадобился я его найти не смог.
Моя практика показывает, что примерно 10% людей забывают придуманный ими же пароль на следующий день и еще 20% (из оставшихся) — через неделю.
Если обратить внимание обучаемых на этот факт (т.е. пароль им должен быть реально нужен и использоваться часто) — мозг перестраивается и в дальнейшем запоминание происходит легко. А так, с первого раза, всегда есть люди, которые пропускают предупреждения мимо ушей.читайте книги по инфосеку.
Есть классика — «Хакер в столовой»
Инфосек не должен быть чрезмерным, иначе от него будет больше вреда, чем пользы.остается паяльник
Против «бандитского криптоанализа» существует свой комплекс мер.
Wesha
07.02.2022 21:36я так же спрятал один файлик размером около мегадбайта в одной из папок system32. Через полгода когда он мне понадобился я его найти не смог.
Открыл свою папку system32. Отсортировал файлы по размеру. Файлов "размером около мегабайта" (+/-100К) набралось 25 штук. Из этих 25 я могу найти нужный, просто открывая каждый и смотря на содержимое.
Так что это Вы просто котиков готовить не умеете.
weaccyZaf
06.02.2022 19:32+1Вариант: «Ваш любимый фильм» — ответ «тангенциальный»
Контрольные вопросы (как правило, в большинстве случаев) — явная дыра в безопасности. Фактически ответ на такой вопрос представляет собой альтренативный пароль, который, скорее всего, будет словарным + большинство админов не считает нужным даже хешировать базу этих ответов, не то что солить.
Особенно весело это выглядит в сочетании с (не очень разумными, на самом деле, тоже) «правилами безопасности паролей»: Мы заставим вас ввести пароль из минимум 12 сиволов, содержащий большие и маленькие буквы, цифры и спецсимволы (последнее — отдельный вид граблей замедленного действия в процессе всевозможного экоранирования параметров, однажды у таких админов какая-нибудь звёздочка в пароле не будет правильно заэкранирована и обрушит SQL-запрос). Но при этом предложим вам выбрать контрольный вопрос вида «как звали вашу первую собаку», ответ на который позвоялет сбросить пароль, и у 90% пользователей этот ответ будет из словаря в 1000 слов длинной.Fahrain
06.02.2022 19:57Да там даже словарь не нужен — можно просто по емейлу найти сообщения на форумах/соцсетях и вытащить оттуда нужное. Наверняка оно было где-то, да упомянуто.
А еще сталкивался с интересной соц. инженерией: в соцсети запускается реклама с опросом (выигравшему — айфон!), ответы на эти вопросы — ровно те, что потом можно использовать для ответов на контрольные вопросы.weaccyZaf
06.02.2022 20:05Здесь я уже не уверен, что проще — искать по форумам или долбить сайт. Зависит от знаний атакующего aka уже утекшей информации, целей атакующего (взломать конкретный аккаунт или любой из 1000) и агрессивности настроек условного fail2ban на сервере. Хотя в целом не важно, что сложнее, оба метода могут рабоать.
Exchan-ge
06.02.2022 21:18Да там даже словарь не нужен — можно просто по емейлу найти сообщения на форумах/соцсетях и вытащить оттуда нужное. Наверняка оно было где-то, да упомянуто.
Это если человек использует один и тот же е-мейл.
«Первое правило работы с социальными сетями — использовать разные адреса электронной почты» (с) легкий закос под БК :)Fahrain
06.02.2022 21:30+1Вы почему-то думаете, что люди вокруг — умные. И знают и соблюдают правила безопасности.
Мне кажется, что коронавирус уже вполне наглядно всем продемонстрировал, что многие люди вокруг (если не большинство), мягко говоря — не умные. И не знают никаких правил безопасности. И — необучаемы им в принципе.
Поэтому я вам гарантирую, что емейл будет одинаковым везде, пароль не далеко уйдет от 1234, а ответом на секретный вопрос будет слово, которое можно найти просто зайдя в профиль в соц.сети, найдя его по емейлу.
Тех, у кого это не так, можно просто проигнорировать — оставшихся хватит любому злыдню еще надолго)
Exchan-ge
06.02.2022 22:59Вы почему-то думаете, что люди вокруг — умные
«Не знают» — научим.
Первому правилу я учу еще с тех времен, когда и слова такого как «социальная сеть» еще не было (а регистрация на ресурсах уже была).
Это уже несколько тысяч человек, а далее — эффект камня, брошенного в воду.что коронавирус уже вполне наглядно всем продемонстрировал
Коронавирус наглядно продемострировал всему миру практическую возможность и выгоды удаленной работы. По поводу остального есть разные точки зрения.что емейл будет одинаковым везде
Почта не будет одинаковой везде как минимум потому, что е-мейлы, созданные комбинацией популярных имен, фамилий и чисел уже кем-то заняты :)
А авторы оригинальных комбинаций обычно в курсе про первое правило.пароль не далеко уйдет от 1234
Простые пароли на уважающих себя ресурсах отвергаются автоматически (см. «Розовые розы»& пароль :)а ответом на секретный вопрос будет слово, которое можно найти просто зайдя в профиль в соц.сети, найдя его по емейлу.
Тема «социальная инженерия», пример номер 1: [Секретный вопрос — «как зовут вашу собаку] — Привет! А у тебя собака есть? А как ее зовут?»
(Обычно до всех доходит с первого раза :)Fahrain
06.02.2022 23:17«Не знают» — научим.
НЕ научите. Вообще. Никогда. (если говорить не о конкретных паре людей — а о массовом).
Еще в книгах 80х годов писалось, что нельзя использовать пароль 1234. Как минимум 20 лет из каждого угла доносится, что не надо так делать. Каждый сайт при регистрации пишет — "используй сложный пароль!!!111"
Наиболее распространенными для учетных записей в доменных зонах .ru и.ру стали пароли qwerty123, qwerty1 и 123456. Следом идут пароли asdasd и 12345, 123456789, asdasd123, 12345678, qwerty и 123321.
Люди — необучаемы. Подавляющее большинство — полностью забивает на безопасность в принципе. Даже потеря аккаунтов их этому не учит и они с упорством продолжают использовать простые пароли всюду.
По поводу остального есть разные точки зрения.
Ну вы почитайте антипрививочников. А потом прикиньте сколько их там тусуется. Вот эти вот все люди — они безнадежны. Вы их не обучите, никогда.
Простые пароли на уважающих себя ресурсах отвергаются автоматически
За всю жизнь я видел такое буквально пару раз.
Exchan-ge
07.02.2022 00:24НЕ научите. Вообще. Никогда.
Так обучаем же :) И практика есть и тесты (в том числе и косвенные, с подвохом) проходят. Причем не только будущих айтишников, но и полных (или полу-) гуманитариев тоже.
(среди последних у нас есть и заочники, люди в возрасте и опытом работы — вот они секут фишку мгновенно, так как у многих есть негативные примеры перед глазами)Наиболее распространенными для учетных записей в доменных зонах .ru и.ру стали пароли qwerty123,
Первое же занятие — «правильный метод выбора многоразового пароля, преимущества одноразовых паролей (токены и приложения-аутентификаторы), недостатки SMS аутентификации, недостатки биометрии (да, именно :), методы подбора паролей и прочие атаки, противодействие несанкционированному (в смысле — путем введения в заблуждение пользователя) сбору персональных данных и проч., включая и то, о чем мы говорили выше.
После такой информационной атаки даже закоренелые пофигисты начинают задумываться и прикидывать — правильно ли они жили раньше :)За всю жизнь я видел такое буквально пару раз
Ну, попробуйте установить пин-код „1234“ для входа в 10 :)
Wesha
06.02.2022 23:25Тема «социальная инженерия», пример номер 1
Помнится, похожим образом действовали в фильме "Иллюзия обмана" — в окружении хозяина денег все стали вспоминать своих бывших питомцев, и миллионер сам разговорился про свою первую собаку :)
Exchan-ge
07.02.2022 00:29Помнится, похожим образом действовали в фильме «Иллюзия обмана»
Я-то придумал этот пример еще в 2003 году, на десять лет раньше, свидетелей этому «полный стадион», включая и людей, которые нынче работают в сфере развлечений в Городе Ангелов :)
Exchan-ge
06.02.2022 21:13Контрольные вопросы (как правило, в большинстве случаев) — явная дыра в безопасности. Фактически ответ на такой вопрос представляет собой альтренативный пароль, который, скорее всего, будет словарным + большинство админов не считает нужным даже хешировать базу этих ответов, не то что солить.
Там помимо контрольного вопроса обычно есть еще несколько «I know».
Так, для банка знания одного контрольного слова недостаточно.
Причем и это контрольное слово надо произнести устно, подбор по словарю точно не прокатит :)
KizhiFox
06.02.2022 18:46+2Ох, как же вот уже полтора года эта регистрация через телефон на гугле долбит мне по мозгам... Сейчас раскажу.
Где-то полтора года назад на мой мобильник начали сыпаться сообщения "Заблокирована попытка входа в аккаунт ***@gmail.com" и "G-*** - ваш проверочный код". Причём почта вообще не моя и мне никогда не принадлежала. Без понятия, как она оказалась привязана к моему номеру телефона, почта ли это прошлого владельца номера всплыла (операторы перепродают неиспользуемые номера новым владельцам) или на одной из моих тогдашних китайских звонилок был бэкдор к смскам, не суть. Но это были настоящие СМС от настоящего гугла и я мог сам инициализировать их отправку, попробовав восстановить пароль к этой почте — смс исправно приходили мне. Но для сброса пароля требовалось дополнительно ещё ввести код, для безопасности отправленный... На ту же самую почту!
Я написал в поддержку гугла. Точнее попробовал это сделать. И обнаружил, что связаться с ней невозможно. Можно разве что открыть тему на форуме, где тебе ответят какие-то люди, то ли на зарплате гугла, то ли просто волонтёры, но явно не профессиональная поддержка. И ответили мне там, что с этим сделать ничего невозможно, даже имея этот телефон, я никак не могу отвязать его от чужого аккаунта, а чтобы это сделать, мне нужно восстановить пароль, для чего нужно войти в эту почту... И всё покругу.
Попробовал отправить письмо на эту почту с описанием ситуации и просьбой хозяину помочь. На что гугл прислал мне ответ: "Сообщение не доставлено, так как адрес *** не найден или не принимает входящие письма." Тобишь ящик мёртв.
Попробовал подобрать этот пароль, и даже смог это сделать. Правда, уже забыл, что это было, какая-то часть адреса + что-то из цифр типа 123456, кажется... Но не важно, так как для подтвержения входа меня опять в дополнение к телефонному коду попросили ввести код, отправленный на ту самую почту.
А мы помним, что пароль от этого ящика состоит из части его названия + последовательных цифр, и подобрать пароль смог не только я один. И вот мне уже полтора года стабильно, иногда прямо посреди ночи, иногда кроме русского и английского на самых разных языках вплоть до арабского, приходят уведомления о том, что G-*** - мой проверочный код для входа на почту ***@gmail.com...
Пруф, последние смски от гугла
P.s.: Вроде бы ничего страшного, почта не моя, а ночные смски можно добавить в чёрный список. Но вдруг в этом потоке спама придёт сообщение о том, что кто-то запрашивает проверочный код к моему аккаунту? В таком случае я его бы очень легко мог пропустить. Именно это толкнуло меня отвязать все свои гугловские аккаунты от двухфакторки через СМС и сделать её только через Google Authenticator и одноразовые коды как запасной вариант.
alex-khv
06.02.2022 22:26В качестве второго фактора уже предлагали использовать Time-based One-time Password ?
Поскольку смс не является вторым фактором. Это ведь просто двухэтапная аутентификация.
bbbbbbyk12
07.02.2022 06:36Сегодня эта защита по цене взлома приближается к разгадываю капчи индусами.
Выглядит несколько наивно по нынешним временам. Не подскажете, где можно разгадывать капчу за битки?
Vladimir_Chursin
07.02.2022 06:36Если для 2ФА юзается просто факт ввода в веб-форму секретного кода, присланного в СМС, то так и есть, но если со стороны интересанта (того, кто предоставляет сервис с 2ФА) в качественной аутентификации отслеживается статус доставки сообщения конкретному абоненту и, например, имеет место ожидание ответа абонента о том, что секретный код получен, то смошенничать тут гораздо сложнее.
ifap
Постойте, а "мы" точно собираем мобильники пользователей для защиты и прочего бла-бла-бла? ;)
Moskus
Ну, кто-то точно верит, что регистрация с обязательным подтверждением телефона - защита от автоматических регистраций. Если вы в это не верите, то утверждение в цитате - просто не для вас.