Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией.
Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на каждом шагу встречаются гораздо более будничные проблемы, которые съедают впустую не меньше времени, чем капчи.
Одна из них — срок жизни авторизации в приложениях.
В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Отрицательных примеров гораздо, гораздо больше:
Headhunter: не измерял срок жизни авторизации, но сброс происходит достаточно часто, чтобы это действовало на нервы. Что такого ценного в аккаунте Headhunter оправдывает сброс авторизации раз в несколько недель?
B2BCenter: будь добр вводить логин и пароль почти ежедневно. Зачем? На аккаунте могут быть деньги, но это же не банковский счет. Как минимум можно дать возможность настроить срок жизни авторизации. Справедливости ради надо сказать, что тендерные площадки — это особый уголок ада, и B2BCenter на фоне конкурентов выглядит хорошо. У многих тендерных площадок буквально каждая деталь продумана так, чтобы доставлять максимум боли.
PlayStation App: зачем-то сбрасывает авторизацию на смартфоне раз в несколько месяцев.
Rutube на iOS: не знаю, как сейчас (приложения больше нет в App Store), но когда я пытался пользоваться «Рутубом» на айпаде, то регулярно сталкивался с проблемой сброса авторизации. Авторизация — критически важная вещь на видеоплатформе. Тебе нужны твои подписки, лайки и плейлисты. Ты заходишь на Rutube и хочешь открыть свой плейлист, но черта с два — авторизация опять слетела. В итоге я забросил Rutube, благо, кроме дурацких шоу, смотреть все равно почти нечего. Западные платформы в некоторых областях заместить можно, но с YouTube это нереально.
Телевизоры LG под управлением WebOS: для скачивания приложений из магазина нужна авторизация в аккаунте LG. Где-то раз в полгода авторизация сбрасывается. А здесь-то какой смысл? Телевизор стоит в одном месте, потерять его, как смартфон или ноутбук, нельзя. Сам аккаунт LG имеет низкую ценность. Более того, каждый раз сбрасывается не только токен, но и пароль. Приходится открывать сайт LG на другом устройстве, менять пароль и потом логиниться на телевизоре.
Примеры, к сожалению, можно приводить бесконечно. Мораль проста: в большинстве приложений токен авторизации должен жить долго. Это очевидно любому, кто проектирует системы от базовых принципов.
Кто-то может сослаться на безопасность, но, во-первых, во многих случаях вопрос безопасности не стоит остро. А во-вторых, в реальности к безопасности мало кто относится серьезно.
Яркий пример: в большинстве банков двойная аутентификация работает через SMS-коды. Угнать сим-карту не составляет труда, каждый день множество людей становятся жертвами мошенников. Давно следовало бы внедрять вход через приложения-аутентификаторы. Пусть не для всех клиентов, хотя бы в качестве опции для самых продвинутых. Но банки не торопятся этого делать. Я несколько раз обращался в свой банк с запросом, планируют ли они такое решение. Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
В мире много интеллектуально сложных проблем. Но еще больше проблем создано на пустом месте. И одна из них — бессмысленная трата времени на бесконечные вводы логина и пароля там, где без этого можно было бы обойтись.
Один клиент нашего контент-агентства (представитель технологической компании) однажды сказал, что хороший сервис должен относиться к пользователю как к желанному гостю. Если каждый визит требует визы и досмотра у пограничника, то в какой-то момент проще просто перестать приходить.
Комментарии (205)
muxa_ru
20.02.2025 15:07Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
А как это должно работать на десктопе?
igorvarnavsky Автор
20.02.2025 15:07А в чем проблема с десктопом? Вводишь пароль, потом код из Google Authenticator.
muxa_ru
20.02.2025 15:07То есть, чтобы войти в браузере на десктопе нужно будет поставить приложение на смартфон?
Ziptar
20.02.2025 15:07Их и под винду полно
https://apps.microsoft.com/search?query=2fa&hl=ru-ru&gl=TM&department=Appsmuxa_ru
20.02.2025 15:07Вот смотрите.
Есть веб-сайт на который я захожу раз в несколько дней.
Могу с десктопа, могу со смартфона.
Капчи там нет.
Это приложение точно ускорит процедуру логина и сохранит моё время?
Ziptar
20.02.2025 15:07А это не ко мне вопрос, я лишь сказал, что аутентификаторы есть не только под ведроид/огрызок
santjagocorkez
20.02.2025 15:07Vaultwarden с клиентом Bitwarden. Работает в браузере и в приложении. Приложение работает без подключения к серверу очень долго, месяц точно. Насколько знаю, все виды TOTP волтварденом поддерживаются.
13werwolf13
20.02.2025 15:07а в чём проблема? любой нормальный totp аутентификатор позволяет экспортировать ключ и/или синхронизировать базу между своими устройствами любым удобным способом.
ну либо есть второй вариант - kdeconnect умеет показывать уведомления с телефона на компе (и наоборот), с возможностью скопировать тот самый секрет прямо из уведомления, или он же позволяет без синхронизации уведомлений просто копировать на одном устройстве а вставлять на другом. это в любом случае удобнее и безопаснее чем код в смс или на почту. а главное не требует доступа в интернет.в моём случае это две базы keepass с приложением keepassxc на пк и keepassdx на телефоне, одна база с паролями другая с totp ключами. обе базы синхронизируются при помощи syncthing между рабочим, домашним компами и телефоном и бекапятся в дополнительные пару мест на всякий случай с версионированием.
inkelyad
20.02.2025 15:07Это приложение точно ускорит процедуру логина и сохранит моё время?
Ну, с сохранением времени аргумент так себе - оно не столько долго, сколько раздражает. Но:
Тут в статье как-то смешали два вида аутентификаторов
Первый - это который OTP, и при использовании которого все равно логин и пароль вводить надо, на что в первой половине статьи жалуются.
Второй - это когда приложение просит подтвердить на телефоне, что это ты входишь, не заставляя ничего вводить на компе.
Вторым, кстати, у некоторых банков вроде бы может являться сам банк-клиент. Вот буквально сайт банка просит просканировать QR и подтвердить вход телефоном.
Хотя лучше бы Passkeys внедряли - оно как-то стандартнее и может по тому же сценарию(вход при помощи телефона) работать.
igorvarnavsky Автор
20.02.2025 15:07Обычно на телефон, но не только. А что в этом неожиданного? :) Приложения-аутентификаторы давно и широко используются.
muxa_ru
20.02.2025 15:07Неожиданное тут следующее.
ИНОГДА Вам приходится вводить капчу и это отнимает у Вас столько сил и времени, что Вы хотите КАЖДЫЙ РАЗ задействовать ещё и приложение на смартфоне.
Это выглядит очень странным обменом.
Я вот не уверен, что второе будет жрать меньше моих человеко-часов, чем первое.
K0styan
20.02.2025 15:07Здесь, в исходном комменте, речь об обмене одноразового пароля в SMS на одноразовый пароль в приложении. И так, и так тянуться за телефоном и прикладывать палец. Окей, с приложением на пару тапов больше нужно.
Сильно упростил бы ситуацию отказ от второго фактора как такового, но это уже совместное решение и пользователя, и владельца сервиса, в одно лицо не отказаться.
inkelyad
20.02.2025 15:07Здесь, в исходном комменте, речь об обмене одноразового пароля в SMS на одноразовый пароль в приложении.
Тут на самом деле непонятно что имели в виду. Смотри мой комментарий выше.
vikarti
20.02.2025 15:07Ну вот например мне - за кодом двухфакторки не надо тянутся до телефона посколько иконка расширения Bitwarden вынесена на панель браузера и коды - через него (да - с синхронизацией но если есть основания недоверять тому как e2e сделан у них - есть opensource selfhosted версия(точнее 2 - родная и реверс-имплементация сервера))
Если тот же Keepass который много где активно хвалят так НЕ умеет - я удивлюсь сильно
K0styan
20.02.2025 15:07Объединять хранилище паролей и генератор TOTP в одном приложении - равносильно сведению двух факторов к одному.
NKulikov
20.02.2025 15:07Не совсем. Просто не надо хранить TOTP от Bitwarden в самом Bitwarden. Используйте для этого внешний/независимый TOTP. Ровно так же, с master паролем от Bitwarden. В таком случае утечка пароля от сайта не позволит зайти на него, ибо потребуется TOTP. Утечка пароля от Bitwarden не позволит утащить Bitwarden без второго фактора. И да, разблокировка (не регистрация) в Bitwarden должен осуществляться по биометрии. В таком случае, чтобы взломать что-то, где второй фактор в самом Bitwarden нужно ИЛИ:
1.) Устройство, где зарегистрирован Bitwarden + пароль от устройства + биометрия (ну или master пароль) для разблокировки Bitwarden.
2.) ИЛИ Master пароль от Bitwarden + TOTP от Bitwarden.
P.S. Понятно, что самые главные учетки (банки, почта, etc) все равно надежнее держать отдельно, но в 90% случаев — это обеспечивает ИМХО отличный баланс между безопасностью и удобством.
Pavel7
20.02.2025 15:07иконка расширения Bitwarden вынесена на панель браузера и коды - через него
Она ведь не сильно и нужна, расширения автоматом подпихивают в буфер totp код после автоввода логина-пароля (если totp прописан в этой же учётке). Это несколько убивает саму идею двухфакторности, но это очень удобно.
SquareRootOfZero
20.02.2025 15:07Я тут недавно побывал в жилом доме, где, чтобы войти в квартиру, нужно поставить приложение на смартфон.
kenomimi
20.02.2025 15:07И каждый раз вводить капчу, чтобы роботы в лифтах отработаное масло не сливали.
vikarti
20.02.2025 15:07Я же правильно понимаю что поддерживается и Aurora и старые iphone и андроиды как с lineageos (и разумеется тест-ключами подписи и рутом), и grapheneos (которая намного более защищенная чем сток но например гуглосервисы там в песочнице из-за чего бывают разные интересные глюки если приложения хотят странного а некоторый софт считает что не сток = хуже и что bootloader бывает либо доверяющий ключам производителя или разлоченный а yellow mode (с установленными пользователем ключами) не бывает)?
SquareRootOfZero
20.02.2025 15:07Я не тестировал, но уверен, что поддерживаются даже PinePhone и UbuntuPhone, инфа 100%, но это не точно.
gxcreator
20.02.2025 15:07Да, есть еще baremetal имплементация на risc-V ассемблере, главное не просыпаться.
Komrus
20.02.2025 15:07Прямо-таки - "в квартиру"? Или смартфон с приложением нужен, чтобы не доставая из кармана ключ-таблетку, зайти в парадную? (Ну или хотя бы - "в подъезд"? :)))
K0styan
20.02.2025 15:07У нас в подъезде смартфоном можно открыть и дверь подъезда, и дверь с лифтовой площадки в квартирный тамбур. Обычный "пиковейник", не самый новый. Разумеется, NFC ключ тоже есть, один на обе эти двери.
А дверь в квартиру - личное дело каждого, хоть амбарный замок вешай, хоть биометрический.
Meilleur-Q
20.02.2025 15:07Достаточно поставить расширение в браузере типа такого: https://chromewebstore.google.com/detail/аутентификатор/bhghoamapcdpbohphigoooaddinpkbai
event1
20.02.2025 15:07это называется "двухфакторная аутентификация". Серьёзно повышает безопасность.
unwrecker
20.02.2025 15:07Тот самый Google Authenticator который однажды поменял формат базы между версиями без обратной совместимости, лишив всех бэкапов? ;)
Я заменил его на Aegis.
Ziptar
20.02.2025 15:07Пользуюсь гугл аутентификатором чуть не с момента его появления - не испытывал никаких проблем с ним. "Бэкапы" должны храниться в отдельной папочке в распечатанном виде в виде резервных кодов/кодов восстановления. В худшем случае в виде зерна, которое используется для настройки.
unwrecker
20.02.2025 15:07Не дело это когда у каждой софтины собственные методы. Так настроил Titanium или Swift backup, и он с заданной периодичностью льёт бэкапы всего софта в заданное место. И очень неприятно обнаружить однажды, что бэкап неконсистентен. И хорошо если обнаружится более старая версия, снятая ещё до смены методики шифрования хранилища. Или те самые резервные qr-коды (как сохранились у меня). А некоторые люди остались без своих ключиков навсегда...
Ziptar
20.02.2025 15:07В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Стим имеет административные щупальца в системе, и может прощупать всё железо, надёжно привязав токен к его отпечатку, так что красть бессмысленно. Токен входа, выполненный через браузер, почти что и не живёт.
Gmail стабильный токен авторизации имеет, только если зайти в гугл аккаунт в хроме. Токен входа, выполненного как на обычный сайт, а не через функционал хрома, живёт не шибко долго. В случае с workspace аккаунтами живёт ещё меньше.igorvarnavsky Автор
20.02.2025 15:07Gmail стабильный токен авторизации имеет, только если зайти в гугл аккаунт в хроме
У меня в FF и Brave нет никаких проблем
Ziptar
20.02.2025 15:07Сменится ip - тут же слетит. Во всяком случае, если существенно изменится, а не в той же небольшой подсети. С прецизионной точностью критерии не выяснял. Факт в том, что слетает такая сессия куда как чаще, чем сессия в хроме, как в приложении. Та вообще почти никогда не слетает.
muxa_ru
20.02.2025 15:07Я в процессе работы с гмейлом в браузере переключаю сервис меняющий мои айпишники на другие страны, и ничего не слетает.
Ziptar
20.02.2025 15:07Ну либо гугл видит, что вы пытаетесь его надуть, либо он учитывает сессии более хитро. Если я надёжно меняю ip/геолокацию, а не браузерным прокси - сессия гмыла гарантированно слетает, по крайней мере после перезапуска браузера. И это надёжно воспроизводится с разными vpn сервисами/собственными шлюзами у разных хостеров, как с пулами облачных хостинг-провайдеров, так и с пулами ISP, и из разных изначальных физических локаций на разных машинах.
muxa_ru
20.02.2025 15:07Фиг знает, но, реально, последнее что слетает это гугловская авторизация.
Последний раз это было когда закрыли эти эккаунты для доменов и разлогинили сразу из всех эккаунтов.
igorvarnavsky Автор
20.02.2025 15:07У меня тоже несколько аккаунтов в Gmail. Авторизация в корпоративной почта в Gmail слетает быстро, но это настраивается. Авторизация в личной почте Gmail живет долго.
Google распознает по паттернам. Если в YouTube стабильно ходить под IP, например, Германии, то несколько месяцев Google решит, что вы немец, начнет показывать немецкую рекламу и предложит премиум-подписку по цене Германии.
igorvarnavsky Автор
20.02.2025 15:07У меня IP меняются сотни раз в день. Ничего не слетает.
Ziptar
20.02.2025 15:07А у меня надёжно воспроизводимо слетает в разных условиях с разными аккаунтами. И чё делать будем? Как этот чёрный ящик работает - угадать сложно, но очевидно, что ваши сессии он может фиксировать по своим внутренним критериям, а мои нет. Но тут скорее вопрос к тому, как надёжно вы меняете ip/геолокацию, а не к чему-то ещё.
UPD Впрочем, подумав, тут ещё может быть дело в том, что я никогда не работаю с одним аккаунтом гмыла, у меня их всегда открыто несколько, и гуглу это может не нравиться.
Newbilius
20.02.2025 15:07У меня при смене IP в Firefox сессия гуглп не слетает и никогда не слетала. Т.е. классическое "такая же нога, но не болит", ни на одном предыдущем компьютере или провайдере такой проблемы нет.
Зато Apple-аккаунта сессия живёт день максимум, даже если поставить галку "запомнить меня" и "надёжный ПК")))
jhoag
20.02.2025 15:07Это положительные примеры.
Вы рассуждаете с позиции пользователя. Но у этой медали две известные стороны.
Headhunter
Если почитать исходники сайта, окажется, что соискателей «Хедхантер» считает потенциальными ботами, а аккаунты работодателей — потенциальной мишенью. Короткие куки нужны ему не для вашей защиты, а для защиты от вас.
igorvarnavsky Автор
20.02.2025 15:07По содержанию и истории аккаунта и по паттернам поведения пользователя можно определить, бот или нет.
Аккаунты Steam, Google или Mail.ru могут быть более ценными, чем аккаунты HH. Однако они не сбрасываются так часто.
jhoag
20.02.2025 15:07В вас снова говорит пользователь, физлицо. Представьте, что некто получил несанкционированный доступ к аккаунту какого-нибудь крупного работодателя. Навредить он сможет уже не Васе Пупкину, а организации. Например, отказать всем соискателям с формулировкой «К сожалению, вы пидор» и удалить все вакансии.
DrMefistO
20.02.2025 15:07Так, а с гмейлом какая разница? Кто-то получит доступ к почте билла гатеса и от него напишет всем контактам, что линус лох - получится тоже так себе ситуация.
igorvarnavsky Автор
20.02.2025 15:07Я бы сказал разница такая, что доступ к Gmail — это гораздо серьезнее, чем к HH. На Gmail могут быть завязаны критические вещи.
vedmed007
20.02.2025 15:07При этом гмэйл может себе позволить ни за что не отвечать и свалить все на пользователя, зажевать проблему роботами в поддержке итд итп
ХХ тоже может, но меньше - там не только деньги меньше, но и конкуренция за них больше.
igorvarnavsky Автор
20.02.2025 15:07У меня в HH аккаунт работодателя. Но когда ходил с аккаунта соискателя, авторизация слетала так же часто.
Здесь приводили довод, что под аккаунтом соискателя может ходить бот. Это слабый аргумент. В аккаунте HH достаточно данных, чтобы отличить бота от обычного пользователя.
mayorovp
20.02.2025 15:07Вот именно, чистого бота от обычного пользователя отличить можно. Потому ботоводам и так важны краденые аккаунты обычных пользователей.
dom1n1k
20.02.2025 15:07А я устал от повсеместно навязываемой 2FA, которая не нужна почти нигде, за исключением нескольких самых важных аккаунтов, и только создает лишние проблемы. Сложного пароля мне достаточно.
Хуже того, иногда её умудряются навязать задним числом! Примеры из жизни:Яндекс через много лет потребовал ответы на контрольные вопросы, которые не сохранились. При регистрации, я это отлично помню, контрольные вопросы позиционировались исключительно как запасной выход на случай забытого пароля. Пароль не забыт, вот он, чего же тебе собака еще надо?! Лошадь_в_огурцах.жпг - аккаунт потерян со всеми вытекающими приключениями и перепривязкой почты в других сервисах.
Гугл тоже через годы потребовал подтверждения смс-кодом. Но код не приходит. То ли технический сбой, то ли санкции, но код теряется на просторах вселенной. Аккаунт потерян.
Снова Гугл, и он снова хочет смс-код. Нюанс в том, что к этому аккаунту никогда не было привязано никакого телефона. Что ты проверять собрался, болезный? При попытке ввести какой-то номер выдает ошибки, потом блочит. Вы уже догадались, что с аккаунтом.
Телега из экономии не любит слать смски, а любит слать коды через бот в своё же приложение. Угадайте, что будет, если ваш телефон вышел из строя? Код будет отослан в dev/null. Но это единственный случай из перечисленных, где выход все-таки есть.
Я хочу просто вводить пароли, без всей этой псевдозаботы о моей безопасности - в 90% случаев этого достаточно.
StraNNicK
20.02.2025 15:07у меня как-то сгорело кресло из-за того, что на работе в основном рабочем сервисе ввели 2FA + время сессии в три часа.
очень хотелось убивать.
спасло только то, что я нашёл authenticator.cc
ИБД + тот сорт "безопасности", из-за которого мы имеем стикеры с паролями на мониторах в химически чистом виде.
ничего более идиотского в плане безопасности я не видел ни до, ни после.
igorvarnavsky Автор
20.02.2025 15:072. Смски гугла не доходят на номера некоторых операторов (например, некоторых казахстанских операторов). Говорят, проблема временная и ее решают.
3aBulon
20.02.2025 15:07Мне на вполне себе российские номера не приходят. Давно не входил в добавочные гмайлы, пересылка почты перенастроена, но войти не могу, получаю только алярмы - кто-то входит в ваш аккаунт.
eps
20.02.2025 15:07Оно ещё и часто не 2FA. Возможность получить SMS на номер — единственный необходимый фактор.
Попробуйте посмотреть и потыкать в кнопочки «забыл пароль», там довольно часто восстановление по SMS без лишних вопросов. А значит пароль как фактор авторизации не используется.
Junecat
20.02.2025 15:07Телега из экономии не любит слать смски, а любит слать коды через бот в своё же приложение. Угадайте, что будет, если ваш телефон вышел из строя? Код будет отослан в dev/null. Но это единственный случай из перечисленных, где выход все-таки есть
А теперь представьте, что телерамм установленн у Вас только на ноуте, и этот ноут сломался. Как Вы думаете, какой выход при авторизации на другом устройстве?
Никакого. Мне пришлось нести старый ноут в ремонт, чтобы аторизовать телеграмм на другом ноуте
force
20.02.2025 15:07Выглядит очень странно. Недавно устанавливал телефон на новый телефон и что предлагал телеграм:
Посмотреть на другом устройстве
Позвонить
Отправить SMS
Или из-за какого-то сетевого глюка или происков организации на 3 буквы ничего не приходило, но прямо видно было, что не обязательно было наличие второго устройства, чтобы добавить новое.
evgen609
20.02.2025 15:07Есть ощущение что 2FA в случае яндексов/гуглов нужна для более качественного мержа юзеров из разных систем единого мегаюзера, полезного для продажи маркетологам.
wadowad
20.02.2025 15:07Тоже не приходят СМС от Гугла на один старый аккаунт. Звонки тоже ни приходят. Пароль от аккаунта знаю. Телефон в доступе. Как можно ещё авторизоваться?
inkelyad
20.02.2025 15:07Телефон в доступе. Как можно ещё авторизоваться?
При входе в учетку Гугла есть под надписью 'использовать другой способ' предложение послать запрос на авторизацию на смартфон, который к этой учетке Гугла привязан. А так же код на запасной email, использовать одноразовый код восстановления, использовать резервный(другой, тоже предварительно заполненный) номер телефона, авторизоваться аппартыным ключиком и сейчас - еще и passkey-ем.
Но вообще, гугл очень и постоянно надоедает с "добавь еще способов доступа/восстановления входа" (а их у него полно). Если этих советов не слушаешься - то жаловаться несколько странно.
wadowad
20.02.2025 15:07В том то и дело, что это тот же телефон, на котором уже была авторизация, но был сделан аппаратный сброс. Резервная почта точно указана, Гугл не предлагает такой вариант для восстановления. Возможно проблема в том, что этот номер телефона указан в трёх других аккаунтах Гугла. Видимо, есть какой-то лимит. Есть еще старый планшет, но он не включается уже года три по причине умершего аккумулятора. Там должна остаться авторизация от этого аккаунта. Возможно, если его восстановить, то есть шанс.
erydit
20.02.2025 15:07Поддерживаю! В настройках безопасности яндекса указано использовать пароль для входе в аккаунт, но нет, он каждый раз спрашивает все что угодно кроме пароля: смс пароль, push пароль, котрольный вопрос, фазу луны в момент регистрации...Это все постоянная трата времени ожидания пароля, который еще не всегда приходит. Пробовал жаловаться в техподдержку, их ответ - ну не удаляйте куки.
Ambiphonic
20.02.2025 15:07По п.1: Я так почту на Яндексе потерял, пароль известен, но о том, что я писал в ответе на контрольный вопрос не имею ни малейшего представления.
ocagpt
20.02.2025 15:07Сбер сделал вход по пяти цифрам за секунды
Ziptar
20.02.2025 15:07И это самый большой идиотизм, который можно было придумать для банка. Вообще сбер помойка редкостная.
Rio
20.02.2025 15:07Это не только Сбер, это теперь наверное все такие. Тбанк тоже надоел своими предложениями код придумать. Но это ладно. Обидно, что ты когда-то заморочился, хороший надёжный пароль придумал, обновляешь его периодически, всё вроде как по-уму делаешь. А потом внезапно узнаёшь, что войти в твой аккаунт можно просто, зная только номер карты (публичная, в общем-то, инфа) и короткому коду в смс-ке на твой номер. И все эти твои заморочки с надёжными паролями безопасностью — коту под хвост.
xSVPx
20.02.2025 15:07Так пароль обычно можно поменять путем звонка с этого телефона... Нет никакого пароля, ныне всё что нужно - телефон жертвы. Что с этим делать неясно. ЦБ не озабочен совершенно :(.
ВТБ кстати присылал сообщение, что вроде бы перестанет менять пароли не в офисе... Если и правда введут, то перееду туда, наверное. Хотя к самому банку вагон вопросов все они гораздо мельче, чем вопросы безопасности.
Ziptar
20.02.2025 15:07Так пароль обычно можно поменять путем звонка с этого телефона...
Вообще раньше требовали кодовое слово для любых чувствительных операций, либо паспортные данные. Уже не требуют?
baldr
20.02.2025 15:07Ну это тоже не очень метод - позвонят мошенники "мы из банка, с вашим аккаунтом что-то страшное, но нам нужно кодовое слово чтобы вам сказать что".
Rio
20.02.2025 15:07У меня с год назад была такая история с Тбанком. Пользователю внезапно нужно было зайти в личный кабинет, а пароля с собой не оказалось (или он был утерян, уже не помню точно). Позвонили в банк, сотрудник спросил кодовое слово. Пользователь его не помнил. Сотрудник спросил детали про последние покупки по карте. Пользователь тоже весьма смутно ответил. И доступ в кабинет дали. То есть, по факту, хватило только того, что пользователь позвонил с известного банку номера и что-то знал про того, кому номер принадлежит.
Я понимаю, почему такое происходит. Пользователи в какой-то мере сами виноваты: им удобно, они довольны, что проблема решилась просто. Но я бы всё-же предпочёл, чтобы банк давал возможность пользователям самим включить/отключить такие обходные пути. Чтобы те, кто хотят безопасности, могли бы активировать доступ исключительно при предъявлении пароля.
DaneSoul
20.02.2025 15:07ВТБ кстати присылал сообщение, что вроде бы перестанет менять пароли не в офисе...
В онлайн банке там была отдельная опция в настройках безопасности запрещающая смену пароля по звонку, только в офисе.
DaneSoul
20.02.2025 15:07Зеленый банк хоть позволяет пока эту фигню не подключать, а пропускать.
А вот другой очень крупный и известный банк сделал недавно это принудительно и внезапно.
Пароль у меня был куда длинней и сложней (вхожу только с компа где вводить не проблема), чем эти максимум 6 цифр что есть там сейчас :(
anna_meow
20.02.2025 15:07Ещё эти капчи вообще безумие какое-то! Лучше бы уже нормальные биометрические системы внедрили
mayorovp
20.02.2025 15:07Фундаментальная проблема биометрии - в том, что её невозможно необратимо хешировать, и при утечках невозможно сменить. Любая организация, куда была передана ваша биометрия для проверки доступа, потенциально может пройти аналогичную проверку от вашего имени в другой организации.
Единственный масштабируемый вариант - защищать биометрией свой смартфон или компьютер, а на все сайты входить через коды, генерируемые на этом самом смартфоне или компьютере.
svv27
20.02.2025 15:07Ощутимая проблема при повсеместной авторизации через смартфон в том, что в один "прекрасный" момент смартфон может стать недоступен - жена недавно утопила телефон (включился, но тачскин перестал работать), так при установке на новом телефоне большинство приложений при установке (и вводе соответствующих паролей) просило ещё ввести код со старого телефона, на который они проходили, только посмотреть их возможности не было, т.к. экран телефона на нажатия не реагировал. :(
В итоге, конечно, решили, но это показало, что защита "так себе" - обойти-то удалось.
baldr
20.02.2025 15:07Фундаментальная проблема биометрии - в том, что её невозможно необратимо хешировать, и при утечках невозможно сменить.
Биометрия тоже может, гм, стать неиспользуемой. Ваш палец с любимым отпечатком тоже может потеряться, как и глаз с радужкой. И голос, в общем-то, тоже не такая постоянная вещь. FaceID, скорее всего, также затруднится распознать силуэт вашего лица в некоторых случаях, которые вы можете представить с небольшой долей фантазии. Возможно, ДНК останется постоянной, но как раз получить образец вашего ДНК будет несложно.
Cas_on
20.02.2025 15:07Не очень умная идея. Вы не можете поменять свои биометрические данные в случае утечки. А они обязательно утекут.
fedorro
20.02.2025 15:07Приложение Ю-Мани на телефоне постоянно сбрасывает авторизацию, а там и код, и заново настроки спрашивают, и онбординг этот триклятый, а, как бы, платежное приложение часто открываешь в момент, когда надо заплатить, и иногда быстро. Тоже не понятно зачем - и так есть код на телефоне, отпечаток и пин в самом приложении, и т.д...
MountainGoat
20.02.2025 15:07У меня не сбрасывает никогда. Вхожу по отпечатку. Что-то у вас сбивается. Может с приватностью перемудрили и приложению что-то стирает настройки?
omxela
20.02.2025 15:07Насчёт LG не совсем ясно, в LG ли дело, или в конкретном телевизоре. Я завёл логин три года назад. Телевизор LG/WebOS. Ничего не сбрасывается ни на телевизоре, ни на ПК.
RKrop
20.02.2025 15:07Подтверждаю. Лет пять уже пользую телевизор LG/WebOS - сбросов логина/пароля не припоминаю. Ну может быть один раз за всё время.
igorvarnavsky Автор
20.02.2025 15:07Возможно, дело в прошивке. У меня несколько телевизоров LG. На более новых прошивках чистый домашний экран загадили рекламой. Заодно могли и с авторизацией начудить.
TheMrWhite
20.02.2025 15:07рекламу можно отключить. у меня тоже лыжи (пароль кстати не просит уже много лет), после очередного обновления домашний экран первратился в тормозящее рекломное месиво, я сначала погоревал и уже искал методы как откатить прошивку, но потом полазил по настройкам и поотключал всё что мне не нужно, чистый экран вернулся.
RoasterToaster
20.02.2025 15:07С Ivideon смешно получилось, руководство наставило камер, подключили в телефоны, поигрались, а потом начали у меня пароль спрашивать, их выкидывало из аккаунта (по соображениям безопасности особо одаренного разработчика) довольно быстро, месяц что-ли. Пару раз повосстанвливали пароль через почту, потом вовсе забили. Ну и мы больше не оплачивали сервис, камеры где то валяются
SquareRootOfZero
20.02.2025 15:07Андроид через сколько-то разблокировок по отпечатку пальца спрашивает пароль - говорит, для дополнительной безопасности. В какой ситуации это должно обеспечить дополнительную безопасность? У меня отняли смартфон, отрубили пальцы и забрали с собой, но пароль выпытать не смогли, потому что я стойкий Мальчиш-Кибальчиш? Более реалистичных сценариев моё воображение сгенерировать не смогло. Разве что это помогает юзеру не забыть пароль (непонятно, правда, при чём тут "дополнительная безопасность"). Но я не забуду пароль, и, кроме того, он записан в парольный менеджер, база которого забэкаплена в разные места, можно мне не надо? Нет, никак нельзя, вводи, сцуко, пароль для дополнительной безопасности. Аудиофайл на бегу сменить - и так та ещё эквилибристика, а ты давай, сперва введи-ка пароль. Или как-то надумал стать продвинутым пользователем и платить уже в магазине смартфоном через гугльпэй - для оплаты его надо разблокировать, что само по себе, наверное, правильно, но, попав пару раз на пароль, понял, что ну его, такое счастье (тем более, пароль-то длинный, хороший, ввести его одним пальцем по тачскрину с первого раза удаётся не только лишь всегда). Так и не стал гугль следить ещё и за моими покупками - и поделом ему!
aik
20.02.2025 15:07Это напоминалка, чтобы вы пароль помнили. Знали бы вы, сколько народу ко мне телефоны притаскивает со словами "забыл пароль", разблокировал пальцем, а оно раз - и пароль хочет.
SquareRootOfZero
20.02.2025 15:07Я не забуду пароль. Даже если я вдруг забуду пароль, я открою парольный менеджер на том же смартфоне и найду там этот пароль. Ладно, по умолчанию там с народом вы что хотите делайте - можно специальную отдельную галку "не спрашивать пароль" для таких, как я, аристократов духа?
Да и потом, если человек забыл пароль к телефону, это значит, что этот пароль ему был не нужен, нигде не используется, для всего палец работает. Зачем ему помнить пароль - просто чтобы помнить пароль?
aik
20.02.2025 15:07Это вы не забудете. А люди забывают. Используют везде палец, а потом не могут программу поставить или на новый телефон данные перевести.
SquareRootOfZero
20.02.2025 15:07И то, что я зачем-то тоже вынужден страдать этой хернёй, им как-то помогает, или что?
muxa_ru
20.02.2025 15:07Мир строится под идиотов.
В том числе потому, что с Вам можно говорить, а они будут тупо истерить.
SquareRootOfZero
20.02.2025 15:07Но ведь палец как раз весьма идиотоустойчив: в отличие от пароля, его легко заиметь, трудно потерять и невозможно забыть.
DaemonGloom
20.02.2025 15:07И достаточно всего одной неудачной трещины на экране, чтобы этот сканер отпечатков перестал работать.
SquareRootOfZero
20.02.2025 15:07"Эти печальные пессимисты без конца нас спрашивают: "А если, если, если, если?" (не помню, из Ленина что-то) Достаточно всего одного неудачного удара молотком (а вдруг пользователь - кузнец?), чтобы экранная клавиатура тоже перестала работать, поэтому за каждой разблокировкой лучше ходить в госучреждение и писать запрос от руки на гербовой бумаге в трёх экземплярах. Но подождите! Достаточно одного неудачного падения в тигель (а вдруг пользователь - сталевар?), чтобы в смартфоне отказало буквально всё, поэтому... что?
k4ir05
20.02.2025 15:07Палец то потерять не так уж сложно. Достаточно даже кожу повредить (или сильно намочить). В перчатках, кстати, он тоже бесполезен. Ну и заиметь ваш палец кто-нибудь другой тоже может.
omgiafs
20.02.2025 15:07Ну да, не забудете. Люди, которых "Лиза алерт" находит и которые память потеряли - это приколисты, которые от скуки фигнёй страдают.
"Смерть - это то, что бывает с другими".
SquareRootOfZero
20.02.2025 15:07Я не знаю, кто такая Лиза Алерт и кого она там находит, но у меня все пароли записаны и забэкаплены. Если со мной случится потеря памяти, а тем более смерть - проблема вспоминания пароля для меня будет, думаю, малорелевантна на фоне прочих.
Cas_on
20.02.2025 15:07" Я не забуду пароль " - Вы так в себе уверены? Ну хорошо, нам больше работы по восстановлению.
SquareRootOfZero
20.02.2025 15:07Если одновременно произойдут все следующие события:
я таки забуду пароль
мой дом сгорит до основанья, уничтожив в пламени все накопители с базой данных парольного менеджера
метеориты, ядерная война, атака инопланетян (нужное подчеркнуть, недостающее вписать) уничтожат все датацентры облачного сервиса, на котором лежит бэкап базы парольного менеджера
То будет, наверное, немного обидно потратить очередные 300 баксов на новый смартфон (factory reset ведь не сделать без пароля?) на год-другой раньше, чем это станет реально необходимо в силу запланированного устаревания, жуткого торможения, отказа батарейки и вот этого всего. И только. Хранить там - и только там - данные, которые потребовали бы кому-то поручать работу по восстановлению, я как-то не привык.
andmerk93
20.02.2025 15:07Какой же вы молодец, не передать словами.
То, что аппаратура и сервисы делаются не только для вас, а ещё и для других людей - это сложная мысль?
Если так принципиально важно - ну, поставьте кастомной прошивку с тонкими настройками всего, чего угодно. Андроид это позволяет, чай не эпол. Чем щитпостить в комменты, за это время можно было успеть прочитать целиком 3 темы на 4pda и 2 на xda-developers, скачать 5 прошивок от васянов, и 4 поставить. Тыж программист.
Детские проблемы какие-то.
Ziptar
20.02.2025 15:07В какой ситуации это должно обеспечить дополнительную безопасность? У меня отняли смартфон, отрубили пальцы и забрали с собой, но пароль выпытать не смогли, потому что я стойкий Мальчиш-Кибальчиш?
Ваши отпечатки можно снять с вашего же смартфона, и воспроизвести, так то.
SquareRootOfZero
20.02.2025 15:07Есть ссылки на прецеденты?
Тогда отпечаток пальца должен быть вообще "ни о чём", и пароль нужно спрашивать каждый раз. А то, получается, смартфон украли, отпечаток сняли-воспроизвели, один раз с его помощью успешно разблокировали, второй раз разблокировали, и т. д., и т. д., десятый раз разблокировали, на одиннадцатый оно у них пароль спросило?
Ziptar
20.02.2025 15:07Есть ссылки на прецеденты?
Нет, и не будет. Если такие прецеденты и есть - они не публичны. И это не означает, что такая ситуация невозможно.
Тогда отпечаток пальца должен быть вообще "ни о чём"
А так и есть. Это слабая защита, как и любая "биометрия".
А то, получается, смартфон украли, отпечаток сняли-воспроизвели, один раз с его помощью успешно разблокировали, второй раз разблокировали, и т. д., и т. д., десятый раз разблокировали, на одиннадцатый оно у них пароль спросило?
Отпечаток далеко не всегда можно снять идеально, его, разумеется, придётся немного побрутить. Поэтому смартфон требует пароль/пин после того, как не смог распознать отпечаток несколько раз подряд.
SquareRootOfZero
20.02.2025 15:07Нет, и не будет. Если такие прецеденты и есть - они не публичны. И это не означает, что такая ситуация невозможно.
Если бы это был реалистичный сценарий - давно бы какие-нибудь "белые хакеры" всё это проделали и результат опубликовали. То и дело читаешь: опубликовали уязвимость такую, опубликовали уязвимость сякую, по клацанью клавиш пароль стырили из соседней комнаты, по вибрации оконного стекла записали переговоры с расстояния 7 кабельтовых. Опубликовали, а не обнаружили чисто для себя и сидят, тихонько подворовывают. А тут вдруг настолько очевидный сценарий - и "нет, не будет, не публичны". Ага, ага.
Nick0las
20.02.2025 15:07То и дело читаешь: опубликовали уязвимость такую, опубликовали уязвимость сякую, по клацанью клавиш пароль стырили из соседней комнаты, по вибрации оконного стекла записали переговоры с расстояния 7 кабельтовых.
Я думаю, это способы рабочие но только в неких идеальных условиях, и применить их на практике малореально. Поэтому их и публикуют.
Ziptar
20.02.2025 15:07но только в неких идеальных условиях, и применить их на практике малореально.
Какие-то да, какие-то нет. Что, в общем, довольно очевидно само по себе.
Ziptar
20.02.2025 15:07давно бы какие-нибудь "белые хакеры" всё это проделали и результат опубликовали
Давно проделали, и давно опубликовали
https://www.kaspersky.ru/blog/sas2020-fingerprint-cloning/28101/SquareRootOfZero
20.02.2025 15:07(...)простому пользователю опасаться нечего: уличные воришки на коленке фальшивый отпечаток не сделают.
Другое дело, если вами могут интересоваться хорошо финансируемые преступные группировки или спецслужбы. В этом случае лучше всего защищать устройства старым добрым паролем
Собственно, что и требовалось доказать. А если вами заинтересуются хорошо финансируемые преступные спецслужбы, то криптоанилитический паяльник им не то что включать - вставлять не придётся.
Ziptar
20.02.2025 15:07Между "терморектальным криптоанализатором" и уличным воришкой есть довольно большой промежуток в виде обычного мента, который пальчик ваш к экрану приложит, вашего разрешения не спросив, а пароль выбивать сильно поостережётся. Не знаю на сколько такая "серая зона" актуальна за бугром, но в нашей скрепной очень даже актуальна. Хотя в соседней великокрахмальной уже нет.
Да и вообще говоря, а вы так уверены, что прям везде ультразвуковые датчики отпечатков стоят? Это их обмануть трудно. А оптические с емкостными нет. Чё у нас там по андроидам до 100 баксов то?
SquareRootOfZero
20.02.2025 15:07Если в вашем ареале обитают подобные менты, а у вас есть что от них прятать, то тут, вероятно, следует уповать на что-то более серьёзное, нежели блокировка смартфона, какими бы средствами она ни производилась.
Ziptar
20.02.2025 15:07Если в вашем ареале обитают подобные менты
бодро Широка-а страна моя родна-а-я
а у вас есть что от них прятать
мрачно ...где так вольно дышит человек
SquareRootOfZero
20.02.2025 15:07По вашей ссылке, вроде, пишут, что, наоборот, ультразвуковые обмануть легче остальных?
Но речь-то, вообще, изначально была не об этом. А о том, что, может, мне самому-то виднее, что у меня там на этом смартфоне: деньги, пароли-явки-шифровки, дата и время народного восстания или, максимум, стыдная ссылка на недетский порносайт, и скольки степеней защиты, соответственно, всё это заслуживает?
Ziptar
20.02.2025 15:07По вашей ссылке, вроде, пишут, что, наоборот, ультразвуковые обмануть легче остальных?
Да, действительно. По-диагонали пробежал. Но тут нюанс есть - они трёхмерные слепки печатали. В 2013-м обошлись куда более простым методом, который против ультразвукового, вероятно, не поможет.
А о том, что, может, мне самому-то виднее, что у меня там на этом смартфоне
Нет, с этим согласен. Но это общая проблема - чем крупнее it-компания, тем меньше она любит делать широкий набор опций. Ей проще всех под одну гребёнку загрести. И это работает, потому что большинству и не надо что-то специальное.
SquareRootOfZero
20.02.2025 15:07Да ладно. Сотни всяких опций везде, возможно, даже тысячи, и куда более задроченных - но вот когда дело доходит до одной простой галки "не спрашивайте у меня пароль, я ССЗБ" - сразу становится проще всех под одну гребёнку? При том что это не что-то изысканное, исключительно для эстетов-педерастов, а задалбывает прям самые что ни на есть ширнармассы.
Ziptar
20.02.2025 15:07Сотни всяких опций везде, возможно, даже тысячи
Только почему-то нужных среди них регулярно не оказывается.
При том что это не что-то изысканное, исключительно для эстетов-педерастов, а задалбывает прям самые что ни на есть ширнармассы.
Вот я буквально вчера я столкнулся с ситуацией у пользователя, когда у него на домашнем пк в винде привязан мелкософтовский аккаунт, но стоит автологин в систему. А возникла необходимость посмотреть сохранённый в яндекс браузере пароль. А без пароля от учётки майкрософт не даёт. пользователь её, разумеется, не помнит, и найти не может. И восстановить невозможно, ибо к учётке только телефон привязан, а мелкософт смски не шлёт в рф. Спасибо хоть, что битлокер не включён, а то могло бы стать совсем грустно в некоторой ситуации. И что характерно - время от времени кому-то становится грустно, потому что на ноутбуках таки битлокер бывает по-дефолту включён.
Короче говоря, наличие такой опции закончится тем, что её будут включать все поголовно, и 10 подтверждений со страшным предупреждением на весь экран не помогут. И потом будет куча проблем у кучи народу.
Ширнармассы, к сожалению, иногда просто необходимо задалбывать.
Ну а для гиков кастомные прошивки есть таки ж.
AuroraBorealis
20.02.2025 15:07Как раз наоборот, обычный мент таким заниматься не будет, ибо не за чем, да и не платят за это, а необычному менту не нужно - у него и так все данные уже есть.
Эта прослойка на самом деле - следователь. Но тут очень простая рекомендация - к следователю по любому вопросу ходим только с адвокатом и никак иначе. Переквалификаций из свидетеля в обвиняемого по результатам снятия показаний видел массу.
Ну и полноте, такие подходы актуальны разве что за МКАДом, но там и так люди одеты в отличнейшие меха, так что справятся как-нибудь сами.
Ziptar
20.02.2025 15:07Как раз наоборот, обычный мент таким заниматься не будет, ибо не за чем, да и не платят за это, а необычному менту не нужно - у него и так все данные уже есть.
А то ж не было такого никогда, нудаконечно
SquareRootOfZero
20.02.2025 15:07Поэтому смартфон требует пароль/пин после того, как не смог распознать отпечаток несколько раз подряд.
Если бы он требовал пароль только после того, как не смог распознать отпечаток, я бы понял. Но он его требует просто так время от времени. Если со злоумышленниками не случилось фатальное невезение, что они воруют смартфон, а он, как назло, для следующей разблокировки уже сам надумал пароль просить, то они (допустим) без проблем разблокируют его поддельным отпечатком пальца и реализуют все свои злоумышления. Рассчитывать на то, что им так не повезёт (а юзеру, соответственно, повезёт) и называть это "дополнительной безопасностью" - это, я не знаю, тяжёлые органические поражения центральной нервной системы надо иметь.
vikarti
20.02.2025 15:07В как минимум некоторых юрисдикциях и ситуациях - есть и юридическая и практическая разница между приложенным пальцем (возможно - силой) и вводом хотя бы пинкода а тем более пароля.
Newbilius
20.02.2025 15:07(Пароль выбит той же силой, но "это другое")
Ziptar
20.02.2025 15:07Решается это паролем, который не раскрывает данные, а уничтожает их. Но такая опция есть только на специализированных девайсах, к сожалению.
vikarti
20.02.2025 15:07В как минимум некоторых странах - буква закона имеет значение хоть (и нарушение процедуры тоже имеет значение - доказательства могут стать).
В других - имеет хотя бы значение тот ньюанс что даже если заставили выдать пароль - ты знаешь что он тобой выдан (и скомпроментирован) (ну и можно в некоторых случаях поиграться с duress-паролями (хотя единственная известное более менее массовое использование на мобилках - партизанский телеграм у которого есть два пасскода и при вводе неправильного - доступ...будет выдан, к белопушистому списку каналов, а заодно - сделано еще много что интересного, на десктопах - TrueCrypt/VeraCrypt)). А пальчик могут прижать и если человек не в состоянии этого понять.
Ione1991
20.02.2025 15:07.По идее должна быть такая логика, например при использовании jwt: твой access token действует 15 минут а refresh token 1 неделю. Если первый истек то второй обновляет оба. И если ты заходишь хотя бы раз в неделю то твоя сессия будет бесконечной. Тут все зависит от того какое время у второго. Если на год, то чтобы не потерять сессию, нужно зайти раз в год. Чем меньше жизнь у второго, тем безопаснее, т.к. токен можно скомпрометировать или случайно не выйти из сессии с чужого пк. В таком случае можно генерировать первый токен пока жив второй. Если даже это не банковское приложение то ничего хорошего в утечке персональных данных тоже нет. Но я все же согласен с автором, удобнее было бы поставить время жизни сессии максимально долго, но для этого на сервисе должны быть механизмы отзыва токенов при подозрительной активности
Ione1991
20.02.2025 15:07Ну и логин пароль я уже считаю устаревшим. Гораздо удобнее через СМС например или oauth авторизацию через популярные соцсети. Стоило бы предусмотреть разные варианты чтобы не раздражать пользователей паролем
Ziptar
20.02.2025 15:07Через смс может и удобнее, но великие экономы на спичках из днс, например, упорно не хотят смс слать сразу, а звонят, что ДАЛЕКО не всегда удобно и приемлемо. В гробу я видал такой беспарольный вход.
Acidter
20.02.2025 15:07Доверять авторизацию операторам через СМС чтобы по сути оператор имел доступ к аккаунту, а в случае чего и третье лицо имело доступ? Нет, спасибо, есть множество менеджеров паролей, тот же локальный KeePass за который в ответе только ты сам. Да хоть блокнот и ручка.
vikarti
20.02.2025 15:07И заставить пользователя уже в этих соцсетях регистрироваться, сливать им данные а потом если соцсеть захотела странного (или закон какой очередной приняли) - экстренно думать как сделать нормальную авторизацию?
СМС денег стоит и не на все номера всегда работает (с учетом борцов за все хорошее против всего плохого в разнообразных формах и глюков - как пример - 3ds secure код при оплате Белкарт(заявлено было что они должны как МИР работать) на российском сайте до российского номера не долетает (обычные СМС от банка который ее выдал - долетают) а исчезают в пустоте ).
Проблему со стоимостью смс некоторые ресурсы вообще решают...интересно - "мы вам выслали код на смс", реально кода на телефоне с этой симкой нет, повторной отправки либо нет либо не спасает, это может быть - пуш в приложение этого сервиса на всех устройствах/на случайно выбранном устройстве, сообщение от бота в ВКонтакте на аккаунт привязанный к этому номеру если он хотя бы когда то был(при этом у бота в описании почему это ни в коем случае не разглашение персональных данных и вообще просто сервис отправки такой, ладно - допустим верим) или вообще в привязанный аккаунт Viber/Whatsapp/Telegram, на привязанный e-mail (код разумеется имеет ограниченный срок действия, ведь e-mail от неизвестного сервера всегда доставляется мгновенно - graylisting'а и спам-фильтров не бывает).
А еще есть прикол когда вместо смс - последние 4-6 цифр номера с которого звонок (или совсем жлобский вариант - "позвоните с вашего привязанного номера телефона"/"вашего телефона для входа им" на номер X в течении Y минут)
Ziptar
20.02.2025 15:07"позвоните с вашего привязанного номера телефона"/"вашего телефона для входа им" на номер X в течении Y минут
Такого не видел, но если увижу - этот сервис будет исключён из списка моих интересов пожизненно. Охреневшие.
Kilmez
20.02.2025 15:07Гигтест.ру - Пару дней назад восстанавливал пароль для доступа. ЛК жены.
В QR коде так же указан номер телефона из сообщения.
vikarti
20.02.2025 15:07Может оказаться что это внезапно добавят вместо нормального. Ну или что это будет сервис который вам нужен.
И да - пример описания как это круто https://habr.com/ru/companies/newtel/articles/761276/
https://habr.com/ru/companies/newtel/articles/796485/ пример где это использовали
Двухфакторная авторизация через SMS предполагает, что при входе в систему на телефон будет отправлено сообщение с кодом для передачи сервису и дальнейшего подтверждения личности. Для многих компаний это стало обычным делом, к которому привыкли и клиенты.
Аудитория UDS за 10 лет активно выросла. Рост был характерен и для цены SMS-сообщения. Если представить, что сервисом пользуются более 30 миллионов человек, каждого из которых нужно авторизовать сообщением стоимостью 2 рубля, то общая сумма затрат окажется более чем внушительной.
Нужны были альтернативные решения, которые нашлись у New-Tel. В частности, следующей ступенью авторизационной эволюции стал метод Call Password — авторизация по звонку.
В этой реализации уникальный на момент времени код отправляется пользователю как 4 цифры номера из входящего звонка. Отвечать на звонок и слушать код не нужно, что в целом упрощает процесс, однако все оказалось не так просто.
UDS столкнулась с неожиданным неприятием метода: многие пользователи в отсутствие SMS не понимали, что делать, не воспринимали звонки. Часть даже обращалась в техподдержку с запросом о «потерянных» сообщениях. Медиация заняла несколько лет, за это время большая часть аудитории привыкла к новому методу.
Но проблемы на этом не закончились. В 2023 году платформа столкнулась с блокировкой номеров, с которых шли авторизационные звонки. Сотовые операторы начали внедрять спам-фильтры, негативно сказавшиеся на работе процесса.
Необходим был альтернативный, надежный способ авторизации — особенно в условиях увеличения пользователей до 35 миллионов человек.
Call Password ID — сегодняшняя альтернатива всем методам двухфакторной авторизации
Решение нашлось у той же компании New-Tel, с которой у UDS уже было налажено партнерское сотрудничество. Специалисты развили идею и развернули метод Call Password в обратную сторону от клиента к сервису — так родился Call Password ID.В основе метода лежит генерация и выдача пользователю уникального номера телефона, на который он сам осуществит бесплатный звонок в момент авторизации. Система считает входящий номер и сопоставит его с данными из базы клиентов — в случае успеха произойдет вход.
Теперь компания избавлена от необходимости исходящего звонка или сообщения, которые стоят приличных денег: за каждый контакт она выплачивает на 70 % меньше. Второе важное преимущество — оплата идет только за успешную связь клиента с сервисом. SMS может затеряться или быть проигнорировано, звонок — пропущен или заблокирован. Но если клиент сам звонит для авторизации, он уже не будет потерян.
И да - пользователи хабра оценили эту прогрессивную идею.
Ziptar
20.02.2025 15:07Ну или что это будет сервис который вам нужен.
Не на столько.
И да - пользователи хабра оценили эту прогрессивную идею.
Соболезную хабру, что у него такие пользователи.
Ruwster
20.02.2025 15:07Даже не заикайся про популярные соц сети. Есть люди, которые не сидят в популярных соц сетях. И есть сайты, которые привязали вход к популярным соц сетям. И это вот "через смс удобнее " - так и выдача кредитов мошенникам по смскам стала гораздо удобнее, вместо старого доброго похода в банк.
vikarti
20.02.2025 15:07На самом деле ситуация когда кредит выдается удаленно может быть удобной но...нужна нормальная авторизация а ущерб от НЕнормальной - не должен быть проблемой клиента.
И нужно учитывать как сценарии когда банк типовые сценарии мошенников рекламирует (или они взяли?) - пример - у альфа-банка была услуга в которой прямо так и называлось что безопасный счет (что-то околоипотечное насколько помню, позднее сменили чуть формулировки). И ситуации когда пользователь БУДЕТ и пароли и коды доступа вводить не в банковское приложение и внезапно оно не будет мошенническим при этом сам факт что в некоторых случаях имеет смысл нарушать рекомендации - это проблема (пример - ДзенМани, ранее - BudgetBackers, для тех банков у которых есть хоть какой API - они используют API, для остального - парсинг. Потому что (с точки зрения тех кто этим софтом пользуется) как то учет делать надо же ). И получается дыра в безопасности.
aik
20.02.2025 15:07В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Стим постоянно пароли переспрашивает, раз в неделю точно. Gmail тоже примерно раз в неделю требует ему "подтвердить личность".
А вот от чего я точно устал - это от двухфакторной авторизации и отказа некоторых сайтов от паролей вообще, замена их на смс. Я понимаю её в банке или на госуслугах, допустим. Но нафиг она мне на каком-нибудь али, спортмастере или в пятёрочке? Возможность пусть будет, я не против. Но каждый раз идти за телефоном, когда нужно вдруг на какой-то сайт зайти?
eps
20.02.2025 15:07Но нафиг [смс] мне на каком-нибудь али, спортмастере или в пятёрочке?
А оно не вам, оно им.
В России номер телефона уже почти как номер паспорта, по нему особенно удобно собирать ПД и продавать её рекламщикам.
Плюс удобный, неотключаемый канал доставки рекламы.aik
20.02.2025 15:07Я не против того, чтобы они знали мой телефон. Всё равно его и так все вокруг знают, особенно всякие главные следователи фсб. Но это не повод отменять вход через пароль.
k4ir05
20.02.2025 15:07Тут ещё, подозреваю, дело в лени или оптимизации. Один способ проще в реализации и обслуживании. С нынешним не надо за паролями следить, меньше мёртвых аккаунтов.
K0styan
20.02.2025 15:07Я работал в одном ритейле. И мы тоже сначала сделали чистый логин-пароль.
И нас начали очень жёстко брутфорсить. Чего ради - хз, там на аккаунтах 95% пользователей какие-то десятки рублей были, и те в виде непередаваемых баллов лояльности. Но ломились так интенсивно, что брутфорс превращался в ДДоС.
Пробовали и на сетевом уровне бороться, и протоколы авторизации обфусцировать (вскрыли за сутки)... Единственное, что обрубило всю эту хрень, причём очень резко - добавление второго фактора в виде SMS.
А ещё через несколько месяцев мы и пароли убрали, т.к. одного фактора в целом хватало для баллов лояльности.
tempick
20.02.2025 15:07Стим постоянно пароли переспрашивает, раз в неделю точно
Я с таким не сталкивался. Сессия у меня живет полгода точно (пока не переустановлю винду, чтобы вручную не удалять весь накопившийся мусор)
aik
20.02.2025 15:07Винду я переустанавливаю только со сменой материнки, да и то не всегда. Предпочитаю не мусорить. А вот стим при каждом входе пароль хочет. Возможно, как-то связано с тем, что он у меня на нескольких девайсах стоит.
Newbilius
20.02.2025 15:07У меня стим не переспрашивает пароль годами в приложении, вот буквально, даже если я неделями его не запускаю. А вот в браузере - да, если не заходить неделю - разлогинвает.
Aggle
20.02.2025 15:07В ту же степь требования (не рекомендации) разных говносайтов к сложности пароля. Тебя заставляют выдумывать мегапароль из 100 000+ символов с буквами английского, русского, тайского алфавита, в разных регистрах, с цифрами, спецсимволами и псевдографикой. Притом, что самое страшное, что может сделать злоумышленник, если ему удастся завладеть твоим аккаунтом (на вопрос "зачем" - ответить сложно), это обложить матом посетителей местного форума.
Newbilius
20.02.2025 15:07Ну почему: он может от вашего имени оскорбить верующих, написать что-нибудь "дескредитирующее армию" и как итог - как минимум административку получите уже вы.
Ziptar
20.02.2025 15:07Не, всё сложнее. Если личность пользователя не установлена, к примеру, привязкой телефона, то там только по логам. Может, конечно, случиться такая ситуация, что злоумышленник действует с девайса жертвы, но тут уже и двухфакторка не поможет, как правило.
dom1n1k
20.02.2025 15:07Я как-то регался на говнофоруме (даже не помню названия), там были очень сложные требования - буквы, цифры, разные регистр, спецсимволы, большая длина пароля.
А потом они его присали на почту в открытом виде.
Директед бай роберт какой-то там...
JoshMil
20.02.2025 15:07С ключом достаточно везде входить.
Но нужна везде поддержка алгоритмов и считывателей. А с этим есть сложности.
andmerk93
20.02.2025 15:07Все сложности с паролями - они существуют не для пользователей, они для сайтов и сервисов, чтобы избежать потенциальных юридических рисков. Решение есть - сторонняя авторизация через какие-нибудь госуслуги, через лицо на вебке / телефоне. Но я бы не сказал, что это хорошо. Мне не нравится такое будущее.
В комментах перепись рукожопов. Это, конечно, печально.
kalitkinvlad
20.02.2025 15:07Решение есть - сторонняя авторизация через какие-нибудь госуслуги
Через госуслуги было бы хорошо подтверждать свою личность/аккаунт при потере старого телефона/симки в банках/сайтах.
inkelyad
20.02.2025 15:07Через госуслуги было бы хорошо подтверждать свою личность/аккаунт при потере старого телефона/симки в банках/сайтах.
Вот только в распространенном сценарии входа в ЕСИА это же не сработает - там тоже телефон нужен, который потерялся.
Fedorkov
20.02.2025 15:07такие экзотические, как NFT с биометрией.
Этот сайт майнит крипту? Когда я его открываю, мой RTX 3090 показывает 50% нагрузки.
jaguard
20.02.2025 15:07Как же у меня «пригорает», когда чертов драйвер нвидиа требует авторизацию. Причем авторизация через свое приложение, а значит нельзя воспользоваться сохраненной в хроме учеткой гугл авторизации — сиди и вспоминай и логин, и пароль.
Что дальше — чайник перед кипячением будет просить залогиниться?
igorvarnavsky Автор
20.02.2025 15:07Что дальше — чайник перед кипячением будет просить залогиниться?
Так это уже есть :) Во всю бытовую технику встраивают возможность ходить в интернет, даже когда это даром не нужно.
wataru
20.02.2025 15:07Это не драйвер, это улучшайзер и приблуды, которые не обязательно ставить. Но да, требовать там логин - дикая наглость.
jaguard
20.02.2025 15:07Как бы и "не драйвер", однако обновление видеодрайвера именно там, а также ряд ключевых настроек, которые недоступны без приблуды. А еще "там" какой-то бесконечный аэродром багов, например после очередного обновления стало периодически отваливаться что-то связанное с ускорением (проявляется в дико лагающем видео в играх): причем перезагрузка компьютера не помогает, зато простой запуск этой "Nvidia app" - помогает.
re0ah
20.02.2025 15:07Проблема с симкой и номером в том числе в том, что так-то оператор может взять да и продать твой номер другому человеку, если он освободится. Номер поменяешь свой - а твой прошлый отдадут другому. И он сможет зайти куда хочет. Я помню симку купил, там вк аккаунт чей-то был привязан. Я то человек приличный, и заходить не стал, но кто-то не чистый на руку зайдет и будет иметь доступ ко всем вашим перепискам и тд.
MikhailZakharov
20.02.2025 15:07Если посмотреть на определение двухфакторной аутентификации, то два фактора там: то что ты знаешь (пароль) и то чем ты владеешь (ключ). Сначала стали использовать SMS под видом второго фактора, но номером ты не владеешь по договору, а арендуешь его. Что уже не подходит. А потом вообще оставили только SMS
IceGerda
20.02.2025 15:07Проблема в том, что сейчас стали нагло, очень нагло навязывать связывать все сервисы между собой - контакты, госуслуги, мейл.. Это беспредел. Зато мы вводим пароль по сто раз. Сами же наплевали на безопасность, лишь бы пронюхать всего больше и скинули на пользователя.. А уж про шутки Cloudflare с их проверками и говорить нечего.. Но больше всего меня злить научный сервис elibrary Там и паролей запоминание не работает, и всё только на время Ну кому нужны подобные вещи, что там красть? Возможность скачать научную бесплатную статью. Для меня вывод: кое-кто из блатных тупо имитирует бурную деятельность таким образом. Как когда-то регулярно меняли дизайн сайтов
pae1
20.02.2025 15:07не понял, зачем писать такие статьи? предлагаете то Вы что??? в комментах тоже фантастов много, поиски злого умысла и бурной деятельности. Но ведь оценка зависит от точки зрения. Активно идет поиск наиболее адекватного решения вопроса безопастности при быстром изменении требований. При этом нет единого стандарта в виде закона или госта. Поэтому развиваются разные технологии и разные участники этого находятся на разныз этапах. Вас ведь наверно не смущает ситуация что сто лет назад одновременно существовал автомобиль, лошадь и самолет с паровозом. А современника наверняка такой винегрет смущал.
greenlittlefrog
20.02.2025 15:07Наконец-то кто-то поднял эту тему. На сайте местного магазина (Бауцентр) авторизация сбрасывается каждые 4 (!) часа! На мой вопрос - зачем?! Ответ - это безопасно!
igorvarnavsky Автор
20.02.2025 15:07Может там банковскую карту можно к аккаунту привязать? А то многие магазины любят без спросу сохранять данные карты, якобы для удобства.
greenlittlefrog
20.02.2025 15:07Нет, там только баллы. А сейчас они ещё и авторизацию только через мобильный телефон + код сделали. Стоишь так на кассе и ждешь пока тебе код придет чтобы войти в приложение и показать скидочную карту.
vikarti
20.02.2025 15:07А что в это время очередь делает и как реагирует?
А если код НЕ приходит потому что какие то приколы у оператора и надо обращаться к техподдержке (есть операторы с адекватной ТП, не из Б4)
Dmitry_604
20.02.2025 15:07..сделал механическую логинопаролевводилку и продал на маркетлейсах на 500 миллионов за год." (с)
navion
20.02.2025 15:07Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
В итоге окажется не TOTP, а Госключ с УКЭП для выдачи кредитов, передачи биометрии и других гадостей вместо пароля.
horon
HeadHunter и правда параноики какие то. Авторизацию постоянно сбрасывают. Коды на email отправляют. Зачем всё это? Мошенники могут украсть мою вакансию?
olegdymov
Для аккаунтов работодателей в этом хоть какая-то логика есть. А зачем часто сбрасывать пароль для соискателей - загадка, завернутая в тайну и покрытая мраком.
media808media
чтобы понять что соискатель жив а не просто таб в браузере
souls_arch
Мошенники украдут вакансию, устроятся вместо тебя на работу. Они будут работать, а деньги будут капать на карту тебе. Мошенники-мазохисты. Ну ладно, хватит о мечтах... ))
mayorovp
Не мошенники, а спамеры. Будут спам под видом резюме отправлять.
Grad02
В head hunter вся ваша жизнь расписана в резюме. Для мошенников и социальной инженерии, спецслужб иностранных государств - это кладезь
RichardMerlock
на работе жизни нет... пусть ужаснутся.
SuhoffGV
Да там поди всё украдено до нас. И с ХХ и с других сервисов.
KivApple
Резюме часто доступно просто по ссылке. Авторизация нужна для его изменения и для откликов на вакансии.
papadulo
чел, там просто UX г@вно, посмотри внимательно, там ниже строчка "Войти с паролем" и не нужно будет входить через сброс. Да, позор