
Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией.
Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на каждом шагу встречаются гораздо более будничные проблемы, которые съедают впустую не меньше времени, чем капчи.
Одна из них — срок жизни авторизации в приложениях.
В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Отрицательных примеров гораздо, гораздо больше:
Headhunter: не измерял срок жизни авторизации, но сброс происходит достаточно часто, чтобы это действовало на нервы. Что такого ценного в аккаунте Headhunter оправдывает сброс авторизации раз в несколько недель?
B2BCenter: будь добр вводить логин и пароль почти ежедневно. Зачем? На аккаунте могут быть деньги, но это же не банковский счет. Как минимум можно дать возможность настроить срок жизни авторизации. Справедливости ради надо сказать, что тендерные площадки — это особый уголок ада, и B2BCenter на фоне конкурентов выглядит хорошо. У многих тендерных площадок буквально каждая деталь продумана так, чтобы доставлять максимум боли.
PlayStation App: зачем-то сбрасывает авторизацию на смартфоне раз в несколько месяцев.
Rutube на iOS: не знаю, как сейчас (приложения больше нет в App Store), но когда я пытался пользоваться «Рутубом» на айпаде, то регулярно сталкивался с проблемой сброса авторизации. Авторизация — критически важная вещь на видеоплатформе. Тебе нужны твои подписки, лайки и плейлисты. Ты заходишь на Rutube и хочешь открыть свой плейлист, но черта с два — авторизация опять слетела. В итоге я забросил Rutube, благо, кроме дурацких шоу, смотреть все равно почти нечего. Западные платформы в некоторых областях заместить можно, но с YouTube это нереально.
Телевизоры LG под управлением WebOS: для скачивания приложений из магазина нужна авторизация в аккаунте LG. Где-то раз в полгода авторизация сбрасывается. А здесь-то какой смысл? Телевизор стоит в одном месте, потерять его, как смартфон или ноутбук, нельзя. Сам аккаунт LG имеет низкую ценность. Более того, каждый раз сбрасывается не только токен, но и пароль. Приходится открывать сайт LG на другом устройстве, менять пароль и потом логиниться на телевизоре.
Примеры, к сожалению, можно приводить бесконечно. Мораль проста: в большинстве приложений токен авторизации должен жить долго. Это же настолько очевидно.
Кто-то может сослаться на безопасность, но, во-первых, во многих случаях вопрос безопасности не стоит остро. А во-вторых, в реальности к безопасности мало кто относится серьезно.
Яркий пример: в большинстве банков двойная аутентификация работает через SMS-коды. Угнать сим-карту не составляет труда, каждый день множество людей становятся жертвами мошенников. Давно следовало бы внедрять вход через приложения-аутентификаторы. Пусть не для всех клиентов, хотя бы в качестве опции для самых продвинутых. Но банки не торопятся этого делать. Я несколько раз обращался в свой банк с запросом, планируют ли они такое решение. Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
В мире много интеллектуально сложных проблем. Но еще больше проблем создано на пустом месте. И одна из них — бессмысленная трата времени на бесконечные вводы логина и пароля там, где без этого можно было бы обойтись.
Комментарии (106)
muxa_ru
20.02.2025 15:07Только недавно я наконец-то услышал от банка, что да, действительно, скоро можно будет отказаться от SMS в пользу приложения-аутентификатора.
А как это должно работать на десктопе?
igorvarnavsky Автор
20.02.2025 15:07А в чем проблема с десктопом? Вводишь пароль, потом код из Google Authenticator.
muxa_ru
20.02.2025 15:07То есть, чтобы войти в браузере на десктопе нужно будет поставить приложение на смартфон?
Ziptar
20.02.2025 15:07Их и под винду полно
https://apps.microsoft.com/search?query=2fa&hl=ru-ru&gl=TM&department=Appsmuxa_ru
20.02.2025 15:07Вот смотрите.
Есть веб-сайт на который я захожу раз в несколько дней.
Могу с десктопа, могу со смартфона.
Капчи там нет.
Это приложение точно ускорит процедуру логина и сохранит моё время?
Ziptar
20.02.2025 15:07А это не ко мне вопрос, я лишь сказал, что аутентификаторы есть не только под ведроид/огрызок
santjagocorkez
20.02.2025 15:07Vaultwarden с клиентом Bitwarden. Работает в браузере и в приложении. Приложение работает без подключения к серверу очень долго, месяц точно. Насколько знаю, все виды TOTP волтварденом поддерживаются.
13werwolf13
20.02.2025 15:07а в чём проблема? любой нормальный totp аутентификатор позволяет экспортировать ключ и/или синхронизировать базу между своими устройствами любым удобным способом.
ну либо есть второй вариант - kdeconnect умеет показывать уведомления с телефона на компе (и наоборот), с возможностью скопировать тот самый секрет прямо из уведомления, или он же позволяет без синхронизации уведомлений просто копировать на одном устройстве а вставлять на другом. это в любом случае удобнее и безопаснее чем код в смс или на почту. а главное не требует доступа в интернет.в моём случае это две базы keepass с приложением keepassxc на пк и keepassdx на телефоне, одна база с паролями другая с totp ключами. обе базы синхронизируются при помощи syncthing между рабочим, домашним компами и телефоном и бекапятся в дополнительные пару мест на всякий случай с версионированием.
igorvarnavsky Автор
20.02.2025 15:07Обычно на телефон, но не только. А что в этом неожиданного? :) Приложения-аутентификаторы давно и широко используются.
muxa_ru
20.02.2025 15:07Неожиданное тут следующее.
ИНОГДА Вам приходится вводить капчу и это отнимает у Вас столько сил и времени, что Вы хотите КАЖДЫЙ РАЗ задействовать ещё и приложение на смартфоне.
Это выглядит очень странным обменом.
Я вот не уверен, что второе будет жрать меньше моих человеко-часов, чем первое.
K0styan
20.02.2025 15:07Здесь, в исходном комменте, речь об обмене одноразового пароля в SMS на одноразовый пароль в приложении. И так, и так тянуться за телефоном и прикладывать палец. Окей, с приложением на пару тапов больше нужно.
Сильно упростил бы ситуацию отказ от второго фактора как такового, но это уже совместное решение и пользователя, и владельца сервиса, в одно лицо не отказаться.
vikarti
20.02.2025 15:07Ну вот например мне - за кодом двухфакторки не надо тянутся до телефона посколько иконка расширения Bitwarden вынесена на панель браузера и коды - через него (да - с синхронизацией но если есть основания недоверять тому как e2e сделан у них - есть opensource selfhosted версия(точнее 2 - родная и реверс-имплементация сервера))
Если тот же Keepass который много где активно хвалят так НЕ умеет - я удивлюсь сильно
SquareRootOfZero
20.02.2025 15:07Я тут недавно побывал в жилом доме, где, чтобы войти в квартиру, нужно поставить приложение на смартфон.
kenomimi
20.02.2025 15:07И каждый раз вводить капчу, чтобы роботы в лифтах отработаное масло не сливали.
vikarti
20.02.2025 15:07Я же правильно понимаю что поддерживается и Aurora и старые iphone и андроиды как с lineageos (и разумеется тест-ключами подписи и рутом), и grapheneos (которая намного более защищенная чем сток но например гуглосервисы там в песочнице из-за чего бывают разные интересные глюки если приложения хотят странного а некоторый софт считает что не сток = хуже и что bootloader бывает либо доверяющий ключам производителя или разлоченный а yellow mode (с установленными пользователем ключами) не бывает)?
SquareRootOfZero
20.02.2025 15:07Я не тестировал, но уверен, что поддерживаются даже PinePhone и UbuntuPhone, инфа 100%, но это не точно.
unwrecker
20.02.2025 15:07Тот самый Google Authenticator который однажды поменял формат базы между версиями без обратной совместимости, лишив всех бэкапов? ;)
Я заменил его на Aegis.
Ziptar
20.02.2025 15:07Пользуюсь гугл аутентификатором чуть не с момента его появления - не испытывал никаких проблем с ним. "Бэкапы" должны храниться в отдельной папочке в распечатанном виде в виде резервных кодов/кодов восстановления. В худшем случае в виде зерна, которое используется для настройки.
unwrecker
20.02.2025 15:07Не дело это когда у каждой софтины собственные методы. Так настроил Titanium или Swift backup, и он с заданной периодичностью льёт бэкапы всего софта в заданное место. И очень неприятно обнаружить однажды, что бэкап неконсистентен. И хорошо если обнаружится более старая версия, снятая ещё до смены методики шифрования хранилища. Или те самые резервные qr-коды (как сохранились у меня). А некоторые люди остались без своих ключиков навсегда...
Ziptar
20.02.2025 15:07В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Стим имеет административные щупальца в системе, и может прощупать всё железо, надёжно привязав токен к его отпечатку, так что красть бессмысленно. Токен входа, выполненный через браузер, почти что и не живёт.
Gmail стабильный токен авторизации имеет, только если зайти в гугл аккаунт в хроме. Токен входа, выполненного как на обычный сайт, а не через функционал хрома, живёт не шибко долго. В случае с workspace аккаунтами живёт ещё меньше.igorvarnavsky Автор
20.02.2025 15:07Gmail стабильный токен авторизации имеет, только если зайти в гугл аккаунт в хроме
У меня в FF и Brave нет никаких проблем
Ziptar
20.02.2025 15:07Сменится ip - тут же слетит. Во всяком случае, если существенно изменится, а не в той же небольшой подсети. С прецизионной точностью критерии не выяснял. Факт в том, что слетает такая сессия куда как чаще, чем сессия в хроме, как в приложении. Та вообще почти никогда не слетает.
muxa_ru
20.02.2025 15:07Я в процессе работы с гмейлом в браузере переключаю сервис меняющий мои айпишники на другие страны, и ничего не слетает.
Ziptar
20.02.2025 15:07Ну либо гугл видит, что вы пытаетесь его надуть, либо он учитывает сессии более хитро. Если я надёжно меняю ip/геолокацию, а не браузерным прокси - сессия гмыла гарантированно слетает, по крайней мере после перезапуска браузера. И это надёжно воспроизводится с разными vpn сервисами/собственными шлюзами у разных хостеров, как с пулами облачных хостинг-провайдеров, так и с пулами ISP, и из разных изначальных физических локаций на разных машинах.
muxa_ru
20.02.2025 15:07Фиг знает, но, реально, последнее что слетает это гугловская авторизация.
Последний раз это было когда закрыли эти эккаунты для доменов и разлогинили сразу из всех эккаунтов.
igorvarnavsky Автор
20.02.2025 15:07У меня IP меняются сотни раз в день. Ничего не слетает.
Ziptar
20.02.2025 15:07А у меня надёжно воспроизводимо слетает в разных условиях с разными аккаунтами. И чё делать будем? Как этот чёрный ящик работает - угадать сложно, но очевидно, что ваши сессии он может фиксировать по своим внутренним критериям, а мои нет. Но тут скорее вопрос к тому, как надёжно вы меняете ip/геолокацию, а не к чему-то ещё.
UPD Впрочем, подумав, тут ещё может быть дело в том, что я никогда не работаю с одним аккаунтом гмыла, у меня их всегда открыто несколько, и гуглу это может не нравиться.
Newbilius
20.02.2025 15:07У меня при смене IP в Firefox сессия гуглп не слетает и никогда не слетала. Т.е. классическое "такая же нога, но не болит", ни на одном предыдущем компьютере или провайдере такой проблемы нет.
Зато Apple-аккаунта сессия живёт день максимум, даже если поставить галку "запомнить меня" и "надёжный ПК")))
jhoag
20.02.2025 15:07Это положительные примеры.
Вы рассуждаете с позиции пользователя. Но у этой медали две известные стороны.
Headhunter
Если почитать исходники сайта, окажется, что соискателей «Хедхантер» считает потенциальными ботами, а аккаунты работодателей — потенциальной мишенью. Короткие куки нужны ему не для вашей защиты, а для защиты от вас.
igorvarnavsky Автор
20.02.2025 15:07По содержанию и истории аккаунта и по паттернам поведения пользователя можно определить, бот или нет.
Аккаунты Steam, Google или Mail.ru могут быть более ценными, чем аккаунты HH. Однако они не сбрасываются так часто.
jhoag
20.02.2025 15:07В вас снова говорит пользователь, физлицо. Представьте, что некто получил несанкционированный доступ к аккаунту какого-нибудь крупного работодателя. Навредить он сможет уже не Васе Пупкину, а организации. Например, отказать всем соискателям с формулировкой «К сожалению, вы пидор» и удалить все вакансии.
DrMefistO
20.02.2025 15:07Так, а с гмейлом какая разница? Кто-то получит доступ к почте билла гатеса и от него напишет всем контактам, что линус лох - получится тоже так себе ситуация.
dom1n1k
20.02.2025 15:07А я устал от повсеместно навязываемой 2FA, которая не нужна почти нигде, за исключением нескольких самых важных аккаунтов, и только создает лишние проблемы. Сложного пароля мне достаточно.
Хуже того, иногда её умудряются навязать задним числом! Примеры из жизни:Яндекс через много лет потребовал ответы на контрольные вопросы, которые не сохранились. При регистрации, я это отлично помню, контрольные вопросы позиционировались исключительно как запасной выход на случай забытого пароля. Пароль не забыт, вот он, чего же тебе собака еще надо?! Лошадь_в_огурцах.жпг - аккаунт потерян со всеми вытекающими приключениями и перепривязкой почты в других сервисах.
Гугл тоже через годы потребовал подтверждения смс-кодом. Но код не приходит. То ли технический сбой, то ли санкции, но код теряется на просторах вселенной. Аккаунт потерян.
Снова Гугл, и он снова хочет смс-код. Нюанс в том, что к этому аккаунту никогда не было привязано никакого телефона. Что ты проверять собрался, болезный? При попытке ввести какой-то номер выдает ошибки, потом блочит. Вы уже догадались, что с аккаунтом.
Телега из экономии не любит слать смски, а любит слать коды через бот в своё же приложение. Угадайте, что будет, если ваш телефон вышел из строя? Код будет отослан в dev/null. Но это единственный случай из перечисленных, где выход все-таки есть.
Я хочу просто вводить пароли, без всей этой псевдозаботы о моей безопасности - в 90% случаев этого достаточно.
StraNNicK
20.02.2025 15:07у меня как-то сгорело кресло из-за того, что на работе в основном рабочем сервисе ввели 2FA + время сессии в три часа.
очень хотелось убивать.
спасло только то, что я нашёл authenticator.cc
ИБД + тот сорт "безопасности", из-за которого мы имеем стикеры с паролями на мониторах в химически чистом виде.
ничего более идиотского в плане безопасности я не видел ни до, ни после.
igorvarnavsky Автор
20.02.2025 15:072. Смски гугла не доходят на номера некоторых операторов (например, некоторых казахстанских операторов). Говорят, проблема временная и ее решают.
eps
20.02.2025 15:07Оно ещё и часто не 2FA. Возможность получить SMS на номер — единственный необходимый фактор.
Попробуйте посмотреть и потыкать в кнопочки «забыл пароль», там довольно часто восстановление по SMS без лишних вопросов. А значит пароль как фактор авторизации не используется.
Junecat
20.02.2025 15:07Телега из экономии не любит слать смски, а любит слать коды через бот в своё же приложение. Угадайте, что будет, если ваш телефон вышел из строя? Код будет отослан в dev/null. Но это единственный случай из перечисленных, где выход все-таки есть
А теперь представьте, что телерамм установленн у Вас только на ноуте, и этот ноут сломался. Как Вы думаете, какой выход при авторизации на другом устройстве?
Никакого. Мне пришлось нести старый ноут в ремонт, чтобы аторизовать телеграмм на другом ноуте
ocagpt
20.02.2025 15:07Сбер сделал вход по пяти цифрам за секунды
Ziptar
20.02.2025 15:07И это самый большой идиотизм, который можно было придумать для банка. Вообще сбер помойка редкостная.
Rio
20.02.2025 15:07Это не только Сбер, это теперь наверное все такие. Тбанк тоже надоел своими предложениями код придумать. Но это ладно. Обидно, что ты когда-то заморочился, хороший надёжный пароль придумал, обновляешь его периодически, всё вроде как по-уму делаешь. А потом внезапно узнаёшь, что войти в твой аккаунт можно просто, зная только номер карты (публичная, в общем-то, инфа) и короткому коду в смс-ке на твой номер. И все эти твои заморочки с надёжными паролями безопасностью — коту под хвост.
anna_meow
20.02.2025 15:07Ещё эти капчи вообще безумие какое-то! Лучше бы уже нормальные биометрические системы внедрили
mayorovp
20.02.2025 15:07Фундаментальная проблема биометрии - в том, что её невозможно необратимо хешировать, и при утечках невозможно сменить. Любая организация, куда была передана ваша биометрия для проверки доступа, потенциально может пройти аналогичную проверку от вашего имени в другой организации.
Единственный масштабируемый вариант - защищать биометрией свой смартфон или компьютер, а на все сайты входить через коды, генерируемые на этом самом смартфоне или компьютере.
fedorro
20.02.2025 15:07Приложение Ю-Мани на телефоне постоянно сбрасывает авторизацию, а там и код, и заново настроки спрашивают, и онбординг этот триклятый, а, как бы, платежное приложение часто открываешь в момент, когда надо заплатить, и иногда быстро. Тоже не понятно зачем - и так есть код на телефоне, отпечаток и пин в самом приложении, и т.д...
omxela
20.02.2025 15:07Насчёт LG не совсем ясно, в LG ли дело, или в конкретном телевизоре. Я завёл логин три года назад. Телевизор LG/WebOS. Ничего не сбрасывается ни на телевизоре, ни на ПК.
RKrop
20.02.2025 15:07Подтверждаю. Лет пять уже пользую телевизор LG/WebOS - сбросов логина/пароля не припоминаю. Ну может быть один раз за всё время.
RoasterToaster
20.02.2025 15:07С Ivideon смешно получилось, руководство наставило камер, подключили в телефоны, поигрались, а потом начали у меня пароль спрашивать, их выкидывало из аккаунта (по соображениям безопасности особо одаренного разработчика) довольно быстро, месяц что-ли. Пару раз повосстанвливали пароль через почту, потом вовсе забили. Ну и мы больше не оплачивали сервис, камеры где то валяются
SquareRootOfZero
20.02.2025 15:07Андроид через сколько-то разблокировок по отпечатку пальца спрашивает пароль - говорит, для дополнительной безопасности. В какой ситуации это должно обеспечить дополнительную безопасность? У меня отняли смартфон, отрубили пальцы и забрали с собой, но пароль выпытать не смогли, потому что я стойкий Мальчиш-Кибальчиш? Более реалистичных сценариев моё воображение сгенерировать не смогло. Разве что это помогает юзеру не забыть пароль (непонятно, правда, при чём тут "дополнительная безопасность"). Но я не забуду пароль, и, кроме того, он записан в парольный менеджер, база которого забэкаплена в разные места, можно мне не надо? Нет, никак нельзя, вводи, сцуко, пароль для дополнительной безопасности. Аудиофайл на бегу сменить - и так та ещё эквилибристика, а ты давай, сперва введи-ка пароль. Или как-то надумал стать продвинутым пользователем и платить уже в магазине смартфоном через гугльпэй - для оплаты его надо разблокировать, что само по себе, наверное, правильно, но, попав пару раз на пароль, понял, что ну его, такое счастье (тем более, пароль-то длинный, хороший, ввести его одним пальцем по тачскрину с первого раза удаётся не только лишь всегда). Так и не стал гугль следить ещё и за моими покупками - и поделом ему!
aik
20.02.2025 15:07Это напоминалка, чтобы вы пароль помнили. Знали бы вы, сколько народу ко мне телефоны притаскивает со словами "забыл пароль", разблокировал пальцем, а оно раз - и пароль хочет.
SquareRootOfZero
20.02.2025 15:07Я не забуду пароль. Даже если я вдруг забуду пароль, я открою парольный менеджер на том же смартфоне и найду там этот пароль. Ладно, по умолчанию там с народом вы что хотите делайте - можно специальную отдельную галку "не спрашивать пароль" для таких, как я, аристократов духа?
Да и потом, если человек забыл пароль к телефону, это значит, что этот пароль ему был не нужен, нигде не используется, для всего палец работает. Зачем ему помнить пароль - просто чтобы помнить пароль?
aik
20.02.2025 15:07Это вы не забудете. А люди забывают. Используют везде палец, а потом не могут программу поставить или на новый телефон данные перевести.
SquareRootOfZero
20.02.2025 15:07И то, что я зачем-то тоже вынужден страдать этой хернёй, им как-то помогает, или что?
muxa_ru
20.02.2025 15:07Мир строится под идиотов.
В том числе потому, что с Вам можно говорить, а они будут тупо истерить.
SquareRootOfZero
20.02.2025 15:07Но ведь палец как раз весьма идиотоустойчив: в отличие от пароля, его легко заиметь, трудно потерять и невозможно забыть.
DaemonGloom
20.02.2025 15:07И достаточно всего одной неудачной трещины на экране, чтобы этот сканер отпечатков перестал работать.
SquareRootOfZero
20.02.2025 15:07"Эти печальные пессимисты без конца нас спрашивают: "А если, если, если, если?" (не помню, из Ленина что-то) Достаточно всего одного неудачного удара молотком (а вдруг пользователь - кузнец?), чтобы экранная клавиатура тоже перестала работать, поэтому за каждой разблокировкой лучше ходить в госучреждение и писать запрос от руки на гербовой бумаге в трёх экземплярах. Но подождите! Достаточно одного неудачного падения в тигель (а вдруг пользователь - сталевар?), чтобы в смартфоне отказало буквально всё, поэтому... что?
k4ir05
20.02.2025 15:07Палец то потерять не так уж сложно. Достаточно даже кожу повредить (или сильно намочить). В перчатках, кстати, он тоже бесполезен. Ну и заиметь ваш палец кто-нибудь другой тоже может.
omgiafs
20.02.2025 15:07Ну да, не забудете. Люди, которых "Лиза алерт" находит и которые память потеряли - это приколисты, которые от скуки фигнёй страдают.
"Смерть - это то, что бывает с другими".
SquareRootOfZero
20.02.2025 15:07Я не знаю, кто такая Лиза Алерт и кого она там находит, но у меня все пароли записаны и забэкаплены. Если со мной случится потеря памяти, а тем более смерть - проблема вспоминания пароля для меня будет, думаю, малорелевантна на фоне прочих.
Ziptar
20.02.2025 15:07В какой ситуации это должно обеспечить дополнительную безопасность? У меня отняли смартфон, отрубили пальцы и забрали с собой, но пароль выпытать не смогли, потому что я стойкий Мальчиш-Кибальчиш?
Ваши отпечатки можно снять с вашего же смартфона, и воспроизвести, так то.
SquareRootOfZero
20.02.2025 15:07Есть ссылки на прецеденты?
Тогда отпечаток пальца должен быть вообще "ни о чём", и пароль нужно спрашивать каждый раз. А то, получается, смартфон украли, отпечаток сняли-воспроизвели, один раз с его помощью успешно разблокировали, второй раз разблокировали, и т. д., и т. д., десятый раз разблокировали, на одиннадцатый оно у них пароль спросило?
Ziptar
20.02.2025 15:07Есть ссылки на прецеденты?
Нет, и не будет. Если такие прецеденты и есть - они не публичны. И это не означает, что такая ситуация невозможно.
Тогда отпечаток пальца должен быть вообще "ни о чём"
А так и есть. Это слабая защита, как и любая "биометрия".
А то, получается, смартфон украли, отпечаток сняли-воспроизвели, один раз с его помощью успешно разблокировали, второй раз разблокировали, и т. д., и т. д., десятый раз разблокировали, на одиннадцатый оно у них пароль спросило?
Отпечаток далеко не всегда можно снять идеально, его, разумеется, придётся немного побрутить. Поэтому смартфон требует пароль/пин после того, как не смог распознать отпечаток несколько раз подряд.
SquareRootOfZero
20.02.2025 15:07Нет, и не будет. Если такие прецеденты и есть - они не публичны. И это не означает, что такая ситуация невозможно.
Если бы это был реалистичный сценарий - давно бы какие-нибудь "белые хакеры" всё это проделали и результат опубликовали. То и дело читаешь: опубликовали уязвимость такую, опубликовали уязвимость сякую, по клацанью клавиш пароль стырили из соседней комнаты, по вибрации оконного стекла записали переговоры с расстояния 7 кабельтовых. Опубликовали, а не обнаружили чисто для себя и сидят, тихонько подворовывают. А тут вдруг настолько очевидный сценарий - и "нет, не будет, не публичны". Ага, ага.
Nick0las
20.02.2025 15:07То и дело читаешь: опубликовали уязвимость такую, опубликовали уязвимость сякую, по клацанью клавиш пароль стырили из соседней комнаты, по вибрации оконного стекла записали переговоры с расстояния 7 кабельтовых.
Я думаю, это способы рабочие но только в неких идеальных условиях, и применить их на практике малореально. Поэтому их и публикуют.
Ziptar
20.02.2025 15:07но только в неких идеальных условиях, и применить их на практике малореально.
Какие-то да, какие-то нет. Что, в общем, довольно очевидно само по себе.
Ziptar
20.02.2025 15:07давно бы какие-нибудь "белые хакеры" всё это проделали и результат опубликовали
Давно проделали, и давно опубликовали
https://www.kaspersky.ru/blog/sas2020-fingerprint-cloning/28101/SquareRootOfZero
20.02.2025 15:07(...)простому пользователю опасаться нечего: уличные воришки на коленке фальшивый отпечаток не сделают.
Другое дело, если вами могут интересоваться хорошо финансируемые преступные группировки или спецслужбы. В этом случае лучше всего защищать устройства старым добрым паролем
Собственно, что и требовалось доказать. А если вами заинтересуются хорошо финансируемые преступные спецслужбы, то криптоанилитический паяльник им не то что включать - вставлять не придётся.
Ziptar
20.02.2025 15:07Между "терморектальным криптоанализатором" и уличным воришкой есть довольно большой промежуток в виде обычного мента, который пальчик ваш к экрану приложит, вашего разрешения не спросив, а пароль выбивать сильно поостережётся. Не знаю на сколько такая "серая зона" актуальна за бугром, но в нашей скрепной очень даже актуальна. Хотя в соседней великокрахмальной уже нет.
Да и вообще говоря, а вы так уверены, что прям везде ультразвуковые датчики отпечатков стоят? Это их обмануть трудно. А оптические с емкостными нет. Чё у нас там по андроидам до 100 баксов то?
SquareRootOfZero
20.02.2025 15:07Если в вашем ареале обитают подобные менты, а у вас есть что от них прятать, то тут, вероятно, следует уповать на что-то более серьёзное, нежели блокировка смартфона, какими бы средствами она не производилась.
Ziptar
20.02.2025 15:07Если в вашем ареале обитают подобные менты
бодро Широка-а страна моя родна-а-я
а у вас есть что от них прятать
мрачно ...где так вольно дышит человек
SquareRootOfZero
20.02.2025 15:07Поэтому смартфон требует пароль/пин после того, как не смог распознать отпечаток несколько раз подряд.
Если бы он требовал пароль только после того, как не смог распознать отпечаток, я бы понял. Но он его требует просто так время от времени. Если со злоумышленниками не случилось фатальное невезение, что они воруют смартфон, а он, как назло, для следующей разблокировки уже сам надумал пароль просить, то они (допустим) без проблем разблокируют его поддельным отпечатком пальца и реализуют все свои злоумышления. Рассчитывать на то, что им так не повезёт (а юзеру, соответственно, повезёт) и называть это "дополнительной безопасностью" - это, я не знаю, тяжёлые органические поражения центральной нервной системы надо иметь.
vikarti
20.02.2025 15:07В как минимум некоторых юрисдикциях и ситуациях - есть и юридическая и практическая разница между приложенным пальцем (возможно - силой) и вводом хотя бы пинкода а тем более пароля.
Ione1991
20.02.2025 15:07.По идее должна быть такая логика, например при использовании jwt: твой access token действует 15 минут а refresh token 1 неделю. Если первый истек то второй обновляет оба. И если ты заходишь хотя бы раз в неделю то твоя сессия будет бесконечной. Тут все зависит от того какое время у второго. Если на год, то чтобы не потерять сессию, нужно зайти раз в год. Чем меньше жизнь у второго, тем безопаснее, т.к. токен можно скомпрометировать или случайно не выйти из сессии с чужого пк. В таком случае можно генерировать первый токен пока жив второй. Если даже это не банковское приложение то ничего хорошего в утечке персональных данных тоже нет. Но я все же согласен с автором, удобнее было бы поставить время жизни сессии максимально долго, но для этого на сервисе должны быть механизмы отзыва токенов при подозрительной активности
Ione1991
20.02.2025 15:07Ну и логин пароль я уже считаю устаревшим. Гораздо удобнее через СМС например или oauth авторизацию через популярные соцсети. Стоило бы предусмотреть разные варианты чтобы не раздражать пользователей паролем
Ziptar
20.02.2025 15:07Через смс может и удобнее, но великие экономы на спичках из днс, например, упорно не хотят смс слать сразу, а звонят, что ДАЛЕКО не всегда удобно и приемлемо. В гробу я видал такой беспарольный вход.
Acidter
20.02.2025 15:07Доверять авторизацию операторам через СМС чтобы по сути оператор имел доступ к аккаунту, а в случае чего и третье лицо имело доступ? Нет, спасибо, есть множество менеджеров паролей, тот же локальный KeePass за который в ответе только ты сам. Да хоть блокнот и ручка.
vikarti
20.02.2025 15:07И заставить пользователя уже в этих соцсетях регистрироваться, сливать им данные а потом если соцсеть захотела странного (или закон какой очередной приняли) - экстренно думать как сделать нормальную авторизацию?
СМС денег стоит и не на все номера всегда работает (с учетом борцов за все хорошее против всего плохого в разнообразных формах и глюков - как пример - 3ds secure код при оплате Белкарт(заявлено было что они должны как МИР работать) на российском сайте до российского номера не долетает (обычные СМС от банка который ее выдал - долетают) а исчезают в пустоте ).
Проблему со стоимостью смс некоторые ресурсы вообще решают...интересно - "мы вам выслали код на смс", реально кода на телефоне с этой симкой нет, повторной отправки либо нет либо не спасает, это может быть - пуш в приложение этого сервиса на всех устройствах/на случайно выбранном устройстве, сообщение от бота в ВКонтакте на аккаунт привязанный к этому номеру если он хотя бы когда то был(при этом у бота в описании почему это ни в коем случае не разглашение персональных данных и вообще просто сервис отправки такой, ладно - допустим верим) или вообще в привязанный аккаунт Viber/Whatsapp/Telegram, на привязанный e-mail (код разумеется имеет ограниченный срок действия, ведь e-mail от неизвестного сервера всегда доставляется мгновенно - graylisting'а и спам-фильтров не бывает).
А еще есть прикол когда вместо смс - последние 4-6 цифр номера с которого звонок (или совсем жлобский вариант - "позвоните с вашего привязанного номера телефона"/"вашего телефона для входа им" на номер X в течении Y минут)
Ruwster
20.02.2025 15:07Даже не заикайся про популярные соц сети. Есть люди, которые не сидят в популярных соц сетях. И есть сайты, которые привязали вход к популярным соц сетям. И это вот "через смс удобнее " - так и выдача кредитов мошенникам по смскам стала гораздо удобнее, вместо старого доброго похода в банк.
aik
20.02.2025 15:07В Steam и Gmail токены авторизации живут достаточно долго. В Steam авторизация вообще может жить годами. Это положительные примеры.
Стим постоянно пароли переспрашивает, раз в неделю точно. Gmail тоже примерно раз в неделю требует ему "подтвердить личность".
А вот от чего я точно устал - это от двухфакторной авторизации и отказа некоторых сайтов от паролей вообще, замена их на смс. Я понимаю её в банке или на госуслугах, допустим. Но нафиг она мне на каком-нибудь али, спортмастере или в пятёрочке? Возможность пусть будет, я не против. Но каждый раз идти за телефоном, когда нужно вдруг на какой-то сайт зайти?
eps
20.02.2025 15:07Но нафиг [смс] мне на каком-нибудь али, спортмастере или в пятёрочке?
А оно не вам, оно им.
В России номер телефона уже почти как номер паспорта, по нему особенно удобно собирать ПД и продавать её рекламщикам.
Плюс удобный, неотключаемый канал доставки рекламы.aik
20.02.2025 15:07Я не против того, чтобы они знали мой телефон. Всё равно его и так все вокруг знают, особенно всякие главные следователи фсб. Но это не повод отменять вход через пароль.
K0styan
20.02.2025 15:07Я работал в одном ритейле. И мы тоже сначала сделали чистый логин-пароль.
И нас начали очень жёстко брутфорсить. Чего ради - хз, там на аккаунтах 95% пользователей какие-то десятки рублей были, и те в виде непередаваемых баллов лояльности. Но ломились так интенсивно, что брутфорс превращался в ДДоС.
Пробовали и на сетевом уровне бороться, и протоколы авторизации обфусцировать (вскрыли за сутки)... Единственное, что обрубило всю эту хрень, причём очень резко - добавление второго фактора в виде SMS.
А ещё через несколько месяцев мы и пароли убрали, т.к. одного фактора в целом хватало для баллов лояльности.
tempick
20.02.2025 15:07Стим постоянно пароли переспрашивает, раз в неделю точно
Я с таким не сталкивался. Сессия у меня живет полгода точно (пока не переустановлю винду, чтобы вручную не удалять весь накопившийся мусор)
aik
20.02.2025 15:07Винду я переустанавливаю только со сменой материнки, да и то не всегда. Предпочитаю не мусорить. А вот стим при каждом входе пароль хочет. Возможно, как-то связано с тем, что он у меня на нескольких девайсах стоит.
Newbilius
20.02.2025 15:07У меня стим не переспрашивает пароль годами в приложении, вот буквально, даже если я неделями его не запускаю. А вот в браузере - да, если не заходить неделю - разлогинвает.
Aggle
20.02.2025 15:07В ту же степь требования (не рекомендации) разных говносайтов к сложности пароля. Тебя заставляют выдумывать мегапароль из 100 000+ символов с буквами английского, русского, тайского алфавита, в разных регистрах, с цифрами, спецсимволами и псевдографикой. Притом, что самое страшное, что может сделать злоумышленник, если ему удастся завладеть твоим аккаунтом (на вопрос "зачем" - ответить сложно), это обложить матом посетителей местного форума.
Newbilius
20.02.2025 15:07Ну почему: он может от вашего имени оскорбить верующих, написать что-нибудь "дескредитирующее армию" и как итог - как минимум административку получите уже вы.
JoshMil
20.02.2025 15:07С ключом достаточно везде входить.
Но нужна везде поддержка алгоритмов и считывателей. А с этим есть сложности.
andmerk93
20.02.2025 15:07Все сложности с паролями - они существуют не для пользователей, они для сайтов и сервисов, чтобы избежать потенциальных юридических рисков. Решение есть - сторонняя авторизация через какие-нибудь госуслуги, через лицо на вебке / телефоне. Но я бы не сказал, что это хорошо. Мне не нравится такое будущее.
В комментах перепись рукожопов. Это, конечно, печально.
Fedorkov
20.02.2025 15:07такие экзотические, как NFT с биометрией.
Этот сайт майнит крипту? Когда я его открываю, мой RTX 3090 показывает 50% нагрузки.
horon
HeadHunter и правда параноики какие то. Авторизацию постоянно сбрасывают. Коды на email отправляют. Зачем всё это? Мошенники могут украсть мою вакансию?
olegdymov
Для аккаунтов работодателей в этом хоть какая-то логика есть. А зачем часто сбрасывать пароль для соискателей - загадка, завернутая в тайну и покрытая мраком.
media808media
чтобы понять что соискатель жив а не просто таб в браузере
souls_arch
Мошенники украдут вакансию, устроятся вместо тебя на работу. Они будут работать, а деньги будут капать на карту тебе. Мошенники-мазохисты. Ну ладно, хватит о мечтах... ))
mayorovp
Не мошенники, а спамеры. Будут спам под видом резюме отправлять.