Мы на Хабре часто обсуждаем сложные архитектуры безопасности, Zero Trust и криптографию на эллиптических кривых, но игнорируем «базу», которой пользуемся каждый день. В свете постоянных утечек баз операторов и навязывания экосистемных мессенджеров, пора честно признать: SMS и пуши — это тупиковая ветвь эволюции аутентификации.
Сегодня разберем, почему «смска от банка» — это иллюзия защиты, и как правильно приготовить TOTP, чтобы вас действительно не взломали (и при этом не страдать).
Введение: иллюзия безопасности
Вы когда-нибудь задумывались, что ваша двухфакторная аутентификация (2FA) - это не всегда «щит», а иногда просто «калитка на веревочке»?
Многие живут в заблуждении, что SMS-код - это надежно. Банки и сервисы приучили нас к этому. Но реальность 2025 года такова: SMS - это архаизм, который держится на инерции.
Давайте разберемся, как TOTP (Time-based One-Time Password) делает вашу жизнь безопаснее, почему это не просто «еще одно приложение», и почему вам стоит отказаться от SMS-кодов прямо сейчас.
Почему SMS-коды - это дыра в защите
Начнем с фактов. SMS никогда не разрабатывались как защищенный канал связи.
Протокол SS7: Уязвимости в сигнальных сетях позволяют перехватывать SMS, даже не имея доступа к вашему телефону.
SIM-swapping: Социальная инженерия или сговор с сотрудником салона связи позволяют злоумышленнику перевыпустить вашу SIM-карту. Вы теряете связь по своему номеру, а хакер получает ваши коды для входа в банк или госуслуги.
Зависимость от оператора: Если вы в роуминге, в самолете, в подвале или ваш оператор решил «прилечь» - вы отрезаны от своих аккаунтов.
Отсутствие шифрования: SMS летит в открытом виде и сохраняется на серверах операторов (привет, СОРМ и утечки).
Экосистемные мессенджеры
Еще хуже - попытка заменить SMS на проприетарные мессенджеры. Назовем условный мессенджер «Такс» (все совпадения с реальными мессенджерами случайны).
Вам говорят: «Установи "Такс", туда будут приходить коды».
В чем проблема?
Для получения 6 цифр вас заставляют ставить комбайн весом >100 МБ, который:
Требует номер телефона и регистрацию.
Пылесосит ваши контакты и метаданные.
Знает ваш IP и геолокацию.
Не работает без интернета.
Это как купить умную колонку, подключить её к Wi-Fi, зарегистрировать паспортные данные только для того, чтобы раз в полгода спросить у неё: «Который час?».
TOTP: Магия математики и времени
TOTP (Time-based One-Time Password) - это стандарт (RFC 6238), который работает совершенно иначе.
Аналогия с квартирой:
Пароль - это обычный ключ от двери.
TOTP - это второй замок, код от которого меняется каждые 30 секунд. Этот код генерируется внутри вашей квартиры и у вас на специальном брелоке. Даже если вор украл ключ, он упрется во второй замок.
Как это работает под капотом (для тех, кто любит технику):
Никакой магии, только HMAC-SHA1.
Shared Secret (Секрет): При настройке сервер и ваш телефон обмениваются секретным ключом (обычно через QR-код).
Time (Время): Текущее время Unix time делится на интервал (обычно 30 секунд).
Hashing: Секрет + Интервал времени хешируются.
Truncate: Из полученного хеша берется часть битов и преобразуется в понятные нам 6 цифр.
Главная фишка: Сервер и телефон делают вычисления независимо друг от друга. Им не нужно общаться. Им нужно только знать Секрет и Точное время.
Топ-3 киллер-фичи TOTP
Работа в оффлайне Приложению-аутентификатору не нужен интернет. Вообще. Вы можете быть в бункере, в самолете или в глухом лесу — код сгенерируется, потому что алгоритм уже внутри вашего телефона.
Приватность Правильное TOTP-приложение (например, Aegis) ничего никуда не отправляет. Оно не знает ваш номер, не знает ваш IP. Оно просто молотилка чисел.
Защита от перехвата "по пути от сервиса" Так как код не передается по сети (как SMS), его нельзя перехватить через уязвимости сотовой связи.
Когда TOTP может подвести? (И как это лечить)
У TOTP есть одна ахиллесова пята — рассинхронизация времени.
Поскольку алгоритм завязан на текущем времени, часы на сервере и на вашем телефоне должны совпадать.
Симптом: Вы вводите правильный код, а сервис говорит «Неверно».
Лечение: В настройках приложения-аутентификатора есть кнопка «Синхронизация времени» (Time correction). Либо просто поставьте в настройках телефона «Время сети». Серверы обычно допускают погрешность ±30 секунд.
Security Warning: Самый важный нюанс
Если злоумышленник украдет ваш Secret Key (тот самый, что зашифрован в QR-коде при настройке), ваша защита рухнет.
Как это происходит?
Фишинг: Поддельный сайт просит вас «перенастроить 2FA» и показывает свой QR-код. Вы сканируете — хакер получает точную копию вашего генератора.
Скриншоты: Вы сделали скриншот QR-кода «на память», и он улетел в облако. Облако взломали — ключи утекли.
Железное правило: Никогда не храните QR-коды в галерее. Если подозреваете утечку — сбросьте 2FA в настройках сервиса. Старый секрет превратится в тыкву.
Практика: На что переходить в 2025 году?
Забудьте про SMS. Вот ваш джентльменский набор.
Уровень «Бог» (Рекомендую): Aegis Authenticator (Android)
Open Source (FOSS).
Шифрованные бэкапы (если потеряете телефон, восстановите коды из файла).
Никакой телеметрии.
Возможность запаролить вход в приложение.
Уровень «Стандарт»: Google Authenticator
Просто, стоит у всех.
Минус: Недавно ввели облачную синхронизацию. Если взломают Google-аккаунт, утекут и коды. Совет: Используйте без синхронизации или с осторожностью.
Уровень «Экосистема»: Встроенные средства iOS / Android
В iOS (Настройки -> Пароли) уже встроен отличный генератор кодов. Не нужно ставить лишний софт.
В банковских приложениях (Тинькофф, Сбер и др.) часто есть встроенный генератор TOTP.
Как внедрить (за 5 минут)
Установите Aegis или используйте менеджер паролей.
Зайдите в Госуслуги, Почту, VK, GitHub.
Ищите: Безопасность -> Двухфакторная аутентификация -> Приложение для генерации кодов(TOTP)
Отсканируйте QR.
ВАЖНО: Сохраните резервные коды восстановления (backup codes), которые выдаст сайт. Запишите их на бумагу или в надежный менеджер паролей (KeePassXC). Если потеряете телефон, это единственный способ войти.
Заключение
SMS-коды — это защита уровня «дешевая проволока». Вроде есть, но перекусывается кусачками за секунду. Мессенджеры для кодов — это попытка забивать гвозди микроскопом, продавая при этом ваши данные.
TOTP — это простой, надежный «нож», который делает ровно одну вещь, но делает её идеально. Переход занимает 5 минут, а уровень вашей безопасности существенно повышается.
Но TOTP не идеал, потому что:
-
TOTP не защищает от фишинга. Его можно украсть «в моменте» через прокси‑фишинг (ввёл код на поддельном сайте → злоумышленник тут же использовал на настоящем). Это ключевое ограничение TOTP как класса. Чек-лист от фишинга:
входить по ссылкам из закладок/менеджера паролей;
проверять домен;
Уже есть массовая альтернатива сильнее TOTP: WebAuthn/FIDO2/passkeys, которые как раз проектировались быть phishing‑resistant (при нормальной реализации). Это сейчас “мейнстрим” (браузеры/ОС/большие сервисы).
P.S. А каким аутентификатором пользуетесь вы? Перешли на Open Source решения вроде Aegis/Raivo или доверяете гигантам Google/Microsoft? Или вы пользуетесь еще более надежными аппаратными ключами. Делитесь опытом миграции в комментариях.
P.P.S. ВАЖНО-ВАЖНО Вынесено из комментариев: Из советов родственникам - не забудьте эту строчку из 32 знаков(секрет) записать разборчиво буква в букву в тетрадочку и на хранение - потеряете, все, доступа не будет. А по возможности куаркод распечатайте на принтере. Будете потом бегать по МФЦ доступ восстанавливать, если код потеряете, или смартфон сломается.
Комментарии (256)
tuxi
21.12.2025 13:42Так смс код тоже может жить минуту, две, три и тп
А если клонировали вашу сим карту, то у меня для вас плохие новости, уровень проблемы гораздо глубже, чем простое подтверждение банковских операций.
gliderman Автор
21.12.2025 13:42На этот случай при риске потери телефона я рекомендую держать кнопочный филипс с батарейкой на 2 месяца дома, да еще с таким номером, чтобы никто не связал вашу фамилию и номер, т.е. не с тем номером по которому говорите.
В идеале симка для резервного восстановления дома ТОТР с собой для повседневного использования.
litalen
21.12.2025 13:42еще с таким номером, чтобы никто не связал вашу фамилию и номер
Учитывая зашкаливающее количество утечек за последние 3 года, а также то что недавно наконец вычистили все "серые" симки благодаря недавним законам об ограничениях количества сим-карт на одного человека - это-то как раз стало невозможным.
Вкупе с отсутствием любых иных способов авторизации для физлиц во всех крупных банках РФ кроме SMS - в голову даже лезет внезапный вопрос - уж не нарочно ли так получается, что невозможно нормально самостоятельно защитить свои средства в банках РФ? И что единственным способом остается покупка (платной) страховки?gliderman Автор
21.12.2025 13:42Мне сложно представить, даже при целенаправленной атаке, чтобы злоумышленник пытался перевыпустить, скажем, 5 симок жертвы, с последовательным перебором их всех. Обычно берется симка человека по которой он и звонит,
Я могу представить такой сценарий, но на такую атаку надо ну очень много денег. Скорее всего такая атака доступна только большим организациям.
litalen
21.12.2025 13:42чтобы злоумышленник пытался перевыпустить, скажем, 5 симок жертвы
А зачем? СБП вам услужливо подскажет на какой симке какой банк. Даже если отключить СБП (не все банки дают кстати) - все равно наверняка останется подбор номера в ЛК самого банка.
А данные из утечек и помогут злоумышленнику отфильтровать миллионы номеров до тех же 5 номеров конкретного человека (а это мы еще про пробивы не вспоминали).gliderman Автор
21.12.2025 13:42Чтобы решиться на такую атаку - надо точно знать, что у данной бабушки на этой карте с таким номером лежит большая сумма. Сделать поддельный паспорт или сговориться с оператором и выпустить такую симку. Сложно, но можно.
Я же предложил простой рецепт решения насущной проблемы, конкретно с госуслугами для родственников, а не гипотетический непробиваемый сейф от мощной группы.
Да и потом, при доказательстве хищения - деньги у бабушки застрахованы.
KEugene
21.12.2025 13:42Хороший пример, как не надо делать.
У моей тещи как раз лежал телефон с симкой. Водафон, если что. Она за номер платила (автоматом с банка, пропусков не было), но не разговаривала. Чисто для двух банков. Там был какой-то минимальный тариф. Через два года обнаружила, что после включения симка не входит в сеть. Позвонила оператору со своего "повседневного" номера. Тадам! Номер оказывается уже почти год, как у кого-то другого. Там конечно "дико извинялись", деньги даже вернули (точнее, сделали кредитное начисление), но вернуть номер не могли.
Вот вам и "резервный телефон".
gliderman Автор
21.12.2025 13:42У наших операторов - правило раз в квартал с телефона надо отправить одну смс, чтобы номер не отобрали, а то они считают его нерабочим. Такие правила.
Heggi
21.12.2025 13:42Это логично для тарифов без АП. Но если регулярно платишь за номер, разве отключают?
gliderman Автор
21.12.2025 13:42У них есть плата за молчание, проще раз в квартал сделать 1 звонок для снятия платы.
thunderspb
21.12.2025 13:42Это логично, но должно быть исключение для номеров зарегистрированных на госуслугах хотябы. Или банкам.
inkelyad
21.12.2025 13:42Это логично, но должно быть исключение для номеров зарегистрированных на госуслугах хотябы. Или банкам.
Нет. Это логично и никаких исключений вводить не надо. Это госуслги и банки должны, наконец, про эту логику вспомнить и измениться соответственно, перестав применять телефонный номер, предполагая те свойства, которыми он не обладает.
Это, кстати, выглядит гораздо легче к выполнению, чем городить Еще Одну Систему, с которой операторы сверяться должны. (Потому что если не сверяться - все будут номер 'для Госуслуг' помечать).
select26
21.12.2025 13:42Да незаинтересованы они чтобы вы использовали что-то кроме их собственных приложений! По понятным причинам.
goldexer
21.12.2025 13:42В целом СМСки подводят. Мне, например, банк без предупреждения подключил смс-подтверждение, которое отключить нельзя, поддержка отвечает полным отказом. И независимо от того, что ранее услуги оказались по-другому, меня не предупредили и тому подобное. И вот я еду в соседнюю страну, надо с карты денег перевести, а моя карта превратилась в тыкву. Ближайший банкомат в 100+ километрах, горная местность, ехать часов 6 туда+обратно. И не только переводы - некоторые покупки тоже подтверждаются только смс-кодом. И что делать? В такой момент хочется взять того умника (который не подумал, что, хоть интернет то может и есть, а связи то с моим оператором нету!) и бить ногами в живот. Поэтому внедрение как минимум такого типа аутентификации, это прогресс
gliderman Автор
21.12.2025 13:42Вот в том и дело - что делать путешественникам при пересечении границ, если ни смс ни мессенджеры не работают? Хорошо хоть вай-фай есть в отеле.
BigBrother
21.12.2025 13:42СМС всегда работают в роуминге также, как и на родине и бесплатно для входящих сообщений. Единственное исключение — Россия, где их ограничивают административно.
KEugene
21.12.2025 13:42Не факт. Вот сделали в Австралии принудительный переход на LTE (сети 2G и 3G тупо отключены для населения) и все симки с Украины и России умерли. Они видели сети (если телефон поддерживал 4G), но не коннектились. Стандарт не тот. Каждый оператор решал проблему сам. Кто-то решил, кто-то нет. Из-за этого случая Приватбанк разрешил в качестве "финансового телефона" регистрировать Австралийский номер. А если надо зайти, например, в аккаунт бабушки в Ощадбанк (эти принципиальны и ничего кроме разовых паролей и смс на национальную симку не признают), то передаем аппарат с родственником на Бали (благо раз 2-3 месяца появляется у нас). Там симка в роуминге заводится без проблем и можно получит смс для входа и сгенерировать разовые пароли. Их до следующей поездки обычно хватает.
BigBrother
21.12.2025 13:42Ну это странно, конечно, что немаленькая страна практически исключила у себя роуминг. Но в вашей ситуации вы не пробовали использовать VoWiFi (если ваш оператор поддерживает)? Все же это проще, чем телефон в другую страну возить.
YMA
21.12.2025 13:42Может, перевыпустить симку на родине, и передать еще раз в Австралию? Чтобы на Бали не гонять аппарат.
Насколько я помню, при переходе на 4G пришлось симки получать заново - действительно, там стандарт шифрования поменялся. И, судя по публикациям - для подключения к сетям 5G придется еще раз обновить симку.
KEugene
21.12.2025 13:42Официально - несовпадение в стандартах. Я так и не узнал точно детали. У людей в Европе и Азии аппараты прекрасно ловили роуминг в 4g сетях. В Австралии просто не подключались. Начались массовые жалобы в "родные" конторы. Наши знакомые на Киевстаре и еще ком-то (не помню точно) после энного числа итераций и танцев с бубном поддержки смогли подключиться. А Водафон "не шмогла".
Кстати, подключение 4g-5g зависит исключительно от аппарата (поддеиживает ли 5g), тарифного плана (многие операторы сделали из 5g своего рода "премиум") и вышки. Симки универсальные.
mukca
21.12.2025 13:42У меня симка мегафона с 2008 года и 3g и LTE все норм с ней работает.
Что там за шифрование поменялось?
В разных странах выделяются разные частоты под 4G-5G, а тут видимо еще ченибуть свое с криптографией решили, вот и все..
В других странах тоже хватает гениев недумающих, а как оно будет в общем работать, а только в частно у нас все работает и ок, а то что при путишествиях нефига неработает никого не волнует. Не удивлюсь если австралийцы с своими симками имеют проблему при выезде из Австралии
select26
21.12.2025 13:42У меня для вас плохие новости.
Уже не первый год уже российские карты далеко не везде в роуминге обслуживаются.
litalen
21.12.2025 13:42Есть такая, мелькавшая на хабре, и хотя уже давно не обновлявшаяся (но по моим наблюдениям с тех пор ничего и не поменялось), целая таблица по банкам РФ, которые умеют в TOTP: https://docs.google.com/spreadsheets/d/1NFZhFXMYETY4WDGnQcgYOfJS1ZBCraWloxNEcX-DXTk/
Ее ячейки говорят сами за себя.gliderman Автор
21.12.2025 13:42Госуслуги умеют в ТОТР. С банками табличку видимо уже обновлять пора.
litalen
21.12.2025 13:42Госуслуги умеют в ТОТР
Слава богу что пока да. Но сворачивают куда-то не туда. Да и речь все же про банки шла.
С банками табличку видимо уже обновлять пора.
Как пользователь более 3х крупных банков могу сказать что там и нечего обновлять - ничего не поменялось: как не было так и нет.
funca
21.12.2025 13:42SMS в банковских приложениях выполняют две разные функции: второй фактор аутентификации при входе и простая электронная подпись (ПЭП) для платежей и документов. Хотя на первый взгляд они выглядят одинаково - там код и тут код.
TOTP используется как фактор при аутентификации. Но сам по себе он не может играть роль ПЭП. риложение аутентификации не в курсе о том, что именно подписывается - есть только некий набор цифр, который валиден в течение ограниченного времени. Поэтому конкретно в банковских сценариях от TOTP не так много пользы.
rtkprg3
21.12.2025 13:42Извините, но в этой гугл-таблице точно есть ошибки. У Промсвязьбанка есть карточки одноразовых кодов. И были всегда (более 15 лет уже как).
Zalechi
21.12.2025 13:42Эти гады пользуются нами как хотят. Частотна почту приходят уведомления, что банк в одностороннем порядке изменил контракт. Думаете я читаю тот контракт, мелкими цифрами на 100500 страниц?
Конечно нет, но где-то там они и указали, что вот, мол теперь операции только через подтверждение паролем.
Я это понимаю, но кушаю кактусы, как те ежики, но и повлиять я один на это не могу. Толко рублем… и удобствами…
Надеюсь этот бардак прекратится. Пластмассовый мир.
Fraor
21.12.2025 13:42«Нашему поколению осталось мало времени, чтобы спасти свободный интернет, созданный для нас нашими отцами. То, что когда-то было обещанием свободного обмена информацией, превращается в главный инструмент контроля»
Павел Дуров.
trinxery
21.12.2025 13:42Оффтоп: весело читать Дурова. Читаешь глубокие слова о, например, inefficiencies of legacy platforms и о том, что with technologies like TON reaching their potential, the blockchain industry should be finally able to deliver on its core mission – giving the power back to the people, а потом в том же Телеграме видишь аукцион на т.н. "подарки" от UFC, ботов с казино с оплатой прямо в крипте, встроенную систему рекламы с реферальной системой...
Скрытый текст
И вообще,
Полный список "грехов" не перечислить.
eimrine
21.12.2025 13:42Спасибо за скриншоты, для человека который целенаправильно отказался от использования всего что связанно со смартфонами это был способ взглянуть на мир без которого я бы точно не узнал бы как всё запущено, хотя конечно же догадывался.
Надо сказать что я всё равно не чувствую негативных эмоций к Павлу Дурову, ведь за всё в жизни надо платить. Телеграмм был феноменом конца десятых, бесплатное приложение ради которого люди покупали себе смартфон, окончательный убийца "аськи" и livejournal. Вот я был из поколения в котором студенческое общение было в VK группах но для следующих поколений студентов те возможности просто переехали в другой продукт Дурова. Только в эпоху Вконтакте монетизация интернет-сайтов никак никем не контролировалась, а сейчас столько регулирования со стороны государств, что приходится использовать каждый трюк в книге незапрещённых государством приёмов. Вот почему я перестал пользоваться не только платформой этого человека, а и всеми её конкурентами которые выглядят, боюсь, хуже (либо беднее по функционалу для требования той же студенческой группы)
Я уверен, в понимании лично Павла о том что такое "legacy platforms" Телеграмм это такое же легаси именно через то что в отличии от создателя "the blockchain industry" Павел выбрал не просто релизнуть приложение, а применить своё лицо в рекламной кампании продукта - и поплатился, в наше-то постпандемийное время. ИМХО, безопасные средства общения с сильной криптографией имеют тенденцию иметь анонимных создателей и отсутствие доверенного центрального сервера за счёт решения сделать хостинг по технологии peer-to-peer. Правда, тогда такие средства общения не будут нужны студентам которым надо хостить файлы и так чтобы скачивать эти файлы надо было не через консоль. Хотелки требуют платилку, ничего нового под Луной.
По сути, из настоящих борцунов за свободы, в смысле не анонимов в масках и не малоизвестных - сейчас только Дуров с Телеграмом и Илон с Экс-Твиттером. Пусть эти два веб-сервиса не самые большие на свете, простите за слово, рассадники швабодки - но без этих господинов обычным людям станет не лучше, а хуже. А грехи можна за всеми найти, за всеми бизнесами так гарантированно.
Tomasina
21.12.2025 13:42А напишите-ка статью как в этом цифровом мире выжить без "использования всего что связанно со смартфонами"
Flying
21.12.2025 13:42А в чём, собственно, сложность? У меня тоже нет и никогда не было смартфона.
Я даже пару раз честно пытался обдумать его покупку, но каждый раз приходил к выводу, что у меня просто нет сценариев при которых он бы мне понадобился.
Наверное наиболее близкий к сценарию необходимости кейс - карты в поездках чтобы было проще ориентироваться в незнакомом городе. Но этот кейс для меня довольно редок и в городах, как правило, почти полностью закрывается хорошей визуальной памятью.
Одновременно с отсутствием каких-то явных плюсов от его наличия с моей точки зрения это устройство обладает массой недостатков, которые в сумме явно перевешивают достоинства. А поскольку смартфоны, как устройства, в принципе появились когда я был уже довольно взрослым - у меня нет привычки к ним из детства, так что не начинать пользоваться тем, чем и так не пользовался всю жизнь - очень просто.
select26
21.12.2025 13:42Фантастика!
Я много езжу по разным городам и странам и, откровенно говоря, когда задумываюсь как мы обходились без навигации раньше, просто себе представить не могу. Хотя и 15 лет назад ездил, и автостопом по Европе - как то справлялся. Открывал в ноутбуке )
Прямо снимаю шляпу!
EevanW
21.12.2025 13:42Первая вещь, которую я совершал по приезду в любой город - покупал в киоске бумажную карту города со схемой общественного транспорта.
А в любой машине, которая выезжала за пределы города, всегда лежал "Атлас автомобильных дорог". Ну и автостопом именно по нему ходил, да.gliderman Автор
21.12.2025 13:42Да были времена. А меня еще бесили автомобильные атласы, которые искажали все пропорции на карте. Полегче стало, когда карты генштаба вдруг стали продавать.
eimrine
21.12.2025 13:42как в этом цифровом мире выжить
Будет политота и Дартаньянщина, а оно мне или Хабру надо? Закончилось время когда технологии были технологиями а политота была политотой. Теперь же смешались кони, люди - со всеми вытекающими последствиями. У меня есть полунаписанные статьи на тему vim, J и философия GNU и их шлифовать мне нравится, а учить алкоголиков трезвенности это неблагодарная работа. Они же будут вопросы задавать, мне надо будет им отвечать с позиции примера для подражания. Тьфу!
Но если вам интересно моё мнение на конкретно заданный вопрос - то надо быть человеком такого характера и личных качеств, как девочка из аниме "Унесённые призраками". Не поддаться на соблазн и спасти близких методами любви к ближнему и трудолюбия. Я не "анимешник", ерунды не посоветую.
tharsedX
21.12.2025 13:42ну дуров то точно на страже свободного интернета. В его случае свободного от отсутствия рекламы и втюхивания всего и вся.
Ilya10991
21.12.2025 13:42Жаль что в статье не предложен, но еще есть Proton Authenticator.
Есть на разные платформы и ОС
FOSS
Данные шифруются при синхронизации
Работает в том числе и без аккаунта если не хочется отправлять данные в облако
Показывает как текущий код, так и следующий
На вход в приложение можно поставить биометрию или ПИН
Довольно известный разработчик с понятной моделью монетизации своих продуктов через подписку(на другие сервисы, ТОТР вне подписки)
Он как Aegis, только на большее количество платформ.
gliderman Автор
21.12.2025 13:42Так статья и была написана для дискуссии, я как автор, скорее всего многое упустил из виду, а если более сведущие в безопасности коллеги предложат еще более удобные механизмы для граждан, я буду более чем доволен.
Lissodelphis
21.12.2025 13:42Вы агитируете против SMS, но упускаете их главный (для обывателя) плюс: если потерял телефон, идешь с паспортом в салон и восстанавливаешь SIM. Если потерял телефон с Google Authenticator (без облака) или Aegis (без настроенного экспорта) — ты теряешь цифровою личность. Совет «запишите коды восстановления на бумажку» люди игнорируют. Возможно - это главная причина что банки не отказываются от SMS
qvvah
21.12.2025 13:42Поэтому экспорт в "бэкап" обязателен: 3 резервные копии на 3 разных носителях, которые хранятся всегда на своём месте, не используются для других целей и, желательно, знаете о них только вы и доверенные лица. С кодами восстановления - тоже самое.
Обыватели важность копий понимают, хотя бы раз в жизни потеряв ценные данные.
K0styan
21.12.2025 13:42Обыватели важность копий понимают, хотя бы раз в жизни потеряв
Если бы. Даже потеря данных сильно не всегда учит. Даже специалистов, которым за это деньги платят, и которые хотя бы знают, что есть такой зверь - бэкап.
Обывателю копировать данные куда-то просто на случай, если с основным носителем что-то случится, в голову может просто не прийти.
sohmstyle
21.12.2025 13:42Установил KeePassXC, сделал отдельный файл с базой TOTP-аккаунтов. Файл забэкапил и синхронизировал.
Полная автономность. И не нужный всякие Google Authenticator, Authy и прочие.
Не настолько удобно, но удобство и безопасность (в текущем контексте) вещи несовместимые.
Рекомендую.
sfinks777
21.12.2025 13:42Есть еще вариант с использованием аппаратных токенов для хранения закрытых ключей OTP. Условный Yubikey прикладываешь к смартфону с NFC и получаешь OTP. Удобство и доступность подобного решения - дело субъективное. В одном кармане смартфон, в другом связка ключей от квартиры (в физическом и виртуальном смыслах). Одно к другому поднести не проблема. Никаких следов закрытого ключа нет ни в облаке, ни в оперативной памяти устройства. На мой взгляд, самый безопасный вариант использования технологии с точки зрения информационной безопасности. Ну а безопасность физического доступа к токену такая же, как к "ключам от квартиры, где деньги лежат".
litalen
21.12.2025 13:42Есть еще и PassKey - наиболее близкой аналогией будут SSH-ключи. Только более широко применимые, в том числе и в вебе.
gliderman Автор
21.12.2025 13:42На госуслугах нет Passkey . Если утерян телефон с Passkey и нет синхронизации с облаком - вход потерян.
litalen
21.12.2025 13:42На госуслугах нет
Зато теперь есть в Telegram.
Что вы так привязались к Госуслугам? Там вообще не ровен час только MAX и оставят.Если утерян телефон с Passkey
В отличии от TOTP с PassKey вы можете привязать несколько ключей к одному аккаунту. И хранить один ключ на телефоне, второй на компьютере, третий в оффлайн-хранилище, в общем как заблагорассудится, при этом работать будет любой из них.
вход потерян
Да и в целом - ну да, так и должна работать нормальная аутентификация - если уж утерял все-все носители - не сможешь войти пока ножками не придешь доказать что ты это ты. Я вас не понимаю - вы же в своей статье сами говорите о TOTP - так там никакой дядя-опсос вам слюньки вытирать не будет, вы сами за себя (как и должно быть)!
gliderman Автор
21.12.2025 13:42Про госуслуги меня родственники и задергали. А первым своим комментом я и написал для чего статья.
inkelyad
21.12.2025 13:42В отличии от TOTP с PassKey вы можете привязать несколько ключей к одному аккаунту.
Если разработчики сервисам рекомендации прочитали и это сделали.
Некоторые - не делают. Считают, что раз оно синхронизируется, то несколько ключей и не надо.
funca
21.12.2025 13:42Некоторые - не делают. Считают, что раз оно синхронизируется, то несколько ключей и не надо.
Это риск менеджмент: чем больше ключей вы разрешаете, тем больше вероятность компроментации. Наиболее безопасный вариант, когда
ключей нетключ только один. Все остальное уже проблемы клиента.inkelyad
21.12.2025 13:42Это риск менеджмент: чем больше ключей вы разрешаете, тем больше вероятность компроментации.
Когда несколько ключей (по одному на каждое из запоганенных устройств. Желательно такой, что device bound) - отозвать можно конкретный из них, выпнув таким образом соответствующее устройство из учетки. А с одним так не очень получается.
funca
21.12.2025 13:42Это как с ключами от квартиры. Когда он только один и все время при вас, то вы контролируете доступ. Когда есть несколько в разных местах, вы уже ни в чем не уверены.
inkelyad
21.12.2025 13:42Когда есть несколько в разных местах, вы уже ни в чем не уверены.
Когда у меня ключи и должны быть в нескольких местах/у разных людей (или в случае Passkey - несколько устройств в учетку ходят), то лучше, чтобы эти ключи были разными, а не копией друг друга.
funca
21.12.2025 13:42Ключи от банка у разных людей - вот эту проблему и пытаются решать, ограничивая количество. Здесь риски банка. Возможность потерять девайс это риски клиента. Я не говорю хорошо это или плохо, просто хочу показать логику.
aamonster
21.12.2025 13:42Это не совсем так. Важно не количество ключей, а как широко они распространились (общая "поверхность", с которой ключ может утечь). Т.е. три разных ключа на трёх разных устройствах – то же самое, что один на тех же трёх устройствах. Вот только его надо ещё как-то между ними синхронизировать, что создаёт дополнительные возможности для атаки.
inkelyad
21.12.2025 13:42Т.е. три разных ключа на трёх разных устройствах – то же самое, что один на тех же трёх устройствах.
С точки зрения возможности атаки на ключ. А вот с точки зрения того, что после этого происходит - индивидуальные удобнее тем, что оставшимися можно продолжать пользоваться, отозвав протухший.
xSVPx
21.12.2025 13:42Нормальный механизм испоганен плохой реализацией.
Ни в какие телефоны ТОТР секрет попадать не должен. Нужно отдельно аппаратное устройство где он живет. И такие есть, но хороших увы не знаю :(. Ну т.е. на 1-2 штуки есть довольно большой выбор, а вот чтобы десятки сервисов и десятки разных ключей генерировать, мне что-то не попадались.
gliderman Автор
21.12.2025 13:42Ссылочки есть с ценами? Не могу даже представить, как я смогу научить пользоваться таким устройством родственников.
xSVPx
21.12.2025 13:42Ну выж понимаете, ссылку на гугл я могу дать, но смысл ?
Очень зависит от количества. Некоторые банки в прошлом прям в кредитки встраивали генераторы. Просто смотришь цифры на карте... Собственно если генератор один, то совершенно не понимаю почему нельзя научиться на нем, а не на телефоне цифры смотреть. Когда их много - проблемы. Вроде бы новая версия mooltipass должна уметь, но его фиг купишь, делают очень редко и помалу, и из-за местных законов там по-моему никелевый аккумулятор...
Нет спроса на секьюрные вещи.
inkelyad
21.12.2025 13:42mooltipass
Для TOTP генератора - офигенный перебор.
Начинки от чего-то такого (случайные китайские псевдоумные часы на озоне) должно хватить. Я где-то в похожей теме уже спрашивал, знает ли кто готовую балванку для таких со внятным SDK, которую можно захачить на это. Увы, ничего не посоветовали, а собирать самому по отдельным частям - дешевле старый смарт взять получается.
А купить то похожее на то что по ссылке и разбираться, увы, не по моим навыкам.
kenomimi
21.12.2025 13:42Я где-то в похожей теме уже спрашивал, знает ли кто готовую балванку для таких со внятным SDK, которую можно захачить на это.
Вот идеальный кандидат. Нет беспроводных интерфейсов, и полный фарш, включая батарею. Корпус продается там же, да и весь али завален. Есть такие же на esp32s3, но безопасность их вызывает вопросы.
inkelyad
21.12.2025 13:42На цену смотрим. Плюс батареи тут нет, в отличии от готовых часов - только котроллер стоит. Если собрать - уже в цену БУ смарта и получится.
kenomimi
21.12.2025 13:42На али полторы-две тысячи когда скидки (почти всегда), я себе пару штук взял разных, круглый и большой квадратный. Это очень дешево за хороший сенсорный экран и фактически готовое устройство...
inkelyad
21.12.2025 13:42На али полторы-две тысячи
Без батареи же?
Это в десять раз дороже того, на что у меня ссылка была. Что уже готовое устройство с точки зрения железа.
И за ту же стоимость можно и бу смарт взять, который, в общем, тоже работать будет. Для целей "валяться в тумбочке рядом с компом и доставаться, когда авторизоваться надо" такая цена - много. Моя граница - ~500 за полный комплект, который только запрограммировать надо. Хороший экран, кстати, тут совершенно ни к чему. Вполне хватит монохромного жидкокристаллического, без всяких OLED.
kenomimi
21.12.2025 13:42Устройства "за пять копеек" чаще всего наглухо залочены, не имеют публичного sdk, и без портов для отладки. Реверс этого одноразового добра будет стоить адищных затрат по времени, и такие поделки исчезнут из продажи гораздо раньше того времени, когда вы разреверсите всё.
А еще смарт-часы от хуавей, которые не андроид, имеют открытый sdk, внутри есть полноценный security enclave (так как поддерживают оплату), и под них можно писать на слегка обрезаной жаве. Тоже как вариант, если есть такие часы.
inkelyad
21.12.2025 13:42Устройства "за пять копеек" чаще всего наглухо залочены, не имеют публичного sdk, и без портов для отладки.
Плюс-минус да. Где-то так оно выглядит. Но не так уж и золочены, судя по тому, что он там делал. Просто удобных интерфейсов для DIY хакинга нет. Тот что по ссылке - на неком TLSR8232, который, похоже, вполне документирован и SDK раздают.
Я подозреваю, что и с остальными часами "за пять копеек" так - стоит какой-нибудь чрезвычайно распространенный процессор(иначе бы так дешево не было), просто не привлекший внимания энтузиастов.
Akon32
21.12.2025 13:42ЕМНИП какое-то время назад норвежский аналог госуслуг имел то ли TOTP, то ли HOTP с аппаратными устройствами. И ничего, люди справлялись (а что там справляться - прочитать код с экранчика).
K0styan
21.12.2025 13:42Да и в России у многих банков была такая опция - уверенно помню Райф, но он точно не один был.
d3d11
21.12.2025 13:42Ну хоть кто-то сказал единственную здравую мысль.
Смысл 2ФА в том, что второй фактор отделен от первого. Когда они вместе - они регрессируют до 1 фактора.
funca
21.12.2025 13:422FA не для защиты от взлома устройства - если девайс взломали, то аутентификация это меньшая из проблем. Она для того, чтобы если база паролей с сайта утечет в онлайн, то ими не смогли воспользоваться. Популярные решения TOTP с этой функцией хорошо справляются и отдельный девайс пользователю не нужен.
Но если хочется хранить ключи отдельно, то YubiKey в связке с их Authenticator выглядит хорошим вариантом. Ключи хранятся на внешнем устройстве, приложение лишь показывает код (для подтверждения действия нужен физический тап).
shaggyone
21.12.2025 13:42Аппаратное устройство, которое, никак не вскрыть (со слов изготовителя). И бонусом прекрасный шанс утратив устройство в один момент потерять доступ ко всему, что через это устройство авторизовалось, т.к. бэкап не предусмотрен, что является фичей, а не багом.
В коропоративной среде, генераторы ключей применимы, т.к. есть резервирование как минимум через нескольких сотрудников. Но для личного пользования, IMHO, риски от использования аппаратных ключей перевешивают повышение безопасности.
unreal_undead2
21.12.2025 13:42Для TOTP в принципе не обязательно какое то отдельное устройство - это просто текстовая строка, на основании которой и текущего времени по чёткому алгоритму формируется одноразовый код. Строку можно хоть на бумажке записать.
d3d11
21.12.2025 13:42Для его применения в качестве 2ФА нужно именно второе устройство.
unreal_undead2
21.12.2025 13:42С точки зрения безопасности - может, второй телефон и лучше, но технически вполне можно хранить секретный код в голове или на бумажке и генерировать одноразовый код любой утилитой, которая это умеет (скажем oathtool).
Ryav
21.12.2025 13:42Какие банки поддерживают TOPT?
gliderman Автор
21.12.2025 13:42
xSVPx
21.12.2025 13:42Правильный вопрос другой: в каких банках нельзя всё сбросить звонком по телефону или получив СМС
vesper-bot
21.12.2025 13:42Торт есть надо, а не поддерживать /s А вот какие банки подерживают ТОТР для входа через веб-кабинет - хотел бы знать, потому как если кто-то и поддерживает, то "в приложении", что эквивалентно объединению факторов аутентификации.
Surrogate
21.12.2025 13:42каким аутентификатором пользуетесь вы?
У меня аккаунт на GitHub, привязан к Microsoft Authenticator. Приходится таскать с собой старый телефон, на котором установлено это приложение.
Можно ли перенести на новом телефоне двух факторную аутентификацию, ещё и сменить при этом приложение? Например на Aegis.
gliderman Автор
21.12.2025 13:42Я бы попробовал находясь на гитхабе пойти по пункту: "Set up two-factor authentication again" и с нового телефона уже сканировал новым приложением ноый куар, после подтверждения нового кода и телефона, старый перестанет работать.
atd
21.12.2025 13:42Можно, в гугловом есть экспорт, у микрософта тоже должен быть
Sazonov
21.12.2025 13:42У Майкрософта он сделан через одно известное место. И без явной привязки к отдельной учётке Майкрософта перенос не будет работать.
gliderman Автор
21.12.2025 13:42А при экспорте есть возможность куар взглянуть? Если можно - задача решена. Любым другим менеджером сканируется и дубль готов.
Akon32
21.12.2025 13:42Ну вот QR из Google Authenticator почему-то не сканируется TOTPClient. Странно, разве там не достаточно текстового ключа?
Sazonov
21.12.2025 13:42Нет. Это же Майкрософт. Пользователь должен страдать и не иметь лёгких путей.
(Утрирую; просто бомбит от особенностей вин11, практически не отключаемой телеметрии и тп)
KEugene
21.12.2025 13:42Я использую Microsoft Authenticator
Не скажу, как это работает, но при покупке нового телефона при установке приложения и входе в него аккаунты от майкрософт остаются рабочими. Все остальные просто пропадают и я прохожу обычную регистрацию Authenticator в соответствующих сервисах. Единственное, из опыта, я делаю заранее список того, что есть в приложении, чтобы потом быстро пройтись сразу по всем службам, без внезапностей через месяц.
Best-sda
21.12.2025 13:42Основная проблема не раскрыта, ни одни из РФ сервисов кроме госуслуг не предлагает авторизацию через TOTP
dayman092
21.12.2025 13:42Да, ещё бы давали возможность телефон отвязать, или сделать так, что-бы смс не обходило пароль или totp
CoolCmd
21.12.2025 13:42у меня TOTP для входа на mos.ru настроен. для меня mos.ru - это замена сайта gosuslugi.ru.
maxwolf
21.12.2025 13:42Стоит отметить, что на mos.ru TOTP нельзя включить отдельно от SMS/push аутентификации, только в дополнение. И при включенном TOTP оно всё равно посылает СМС, и позволяет войти с кодом из посланной СМСки :(
CoolCmd
21.12.2025 13:42И при включенном TOTP оно всё равно посылает СМС
недавно заходил на mos.ru, ввел TOTP, SMS не приходило
VVitaly
21.12.2025 13:42:-) Что только не придумывают вместо простого сильного или динамического пароля.....
gliderman Автор
21.12.2025 13:42Пароль первый фактор, ТОТР второй вместо смс.
VVitaly
21.12.2025 13:42Интересно... А зачем вам второй фактор? Все что "не в голове" у вас (ну или физически можно извлечь/получить без вашего прямого сознательного указания) - потенциально не безопасно...
xSVPx
21.12.2025 13:42Чтобы подтвердить владение девайсом. Мало ли кто и как ваш пароль узнает. Совершенно стандартная в мире безопасности вещь...
Дополнительные факторы никогда безопасность не ухудшают. Только улучшают. Ухудшают они удобство.
VVitaly
21.12.2025 13:42Зачем подтверждать "владение девайсом" и на основании чего это необходимо подтверждать? Зачем поставщику услуги знать "мои девайсы"? В договоре с поставщиком есть мой идентификатор (в его сервисе) и мой пароль (ну или хеш моего пароля или аппаратный ключ) подтверждающий что "это я потребитель его услуги". Какое дело поставщику услуги "на каком девайсе" я хочу его услугу "потребить"? Сегодня у меня 3 "девайса", завтра я приобрел еще 5 новых - как это "влияет" по поставляемую мне услугу продавца?
Если рассуждать - "мало ли кто узнает ваш пароль", то тогда и - "мало ли кто воспользуется вашим девайсом"... :-)
Скажем так, если кто-то "узнает мой пароль" - это моя ответственность перед поставщиком услуги, может я хочу чтобы кто-то его знал и раскрываю его сознательно, а если не хочу - то и не буду "раскрывать". Это мое дело как потребителя услуг продавца. Его дело - аутентифицировать меня как потребителя его услуги, может в договоре об услуге вы встречали фразу "получатель .... услуги на .... девайсе"? :-)xSVPx
21.12.2025 13:42Подтверждение владения - стандартная процедура безопасности. Надо это или нет - вопрос отдельный.
Скажем в общем случае предполагается, что ключ нельзя скопировать и доступ предоставляется то у кто сможет годный ключ предъявить. Не тому кто знает как он выглядит, а тому, кто физически вставит его в личинку.
Делается это обычно для того, чтобы точно знать кто может, а кто не может. Нет у тебя в руках предмета и ты не можешь. И это всё вполне годная парадигма.
Вы не можете контролировать кто еще знает ваш пароль, а вот что единственный ключ у вас в руках гарантировать можете.
При этом как правило к девайсу всегда идет пароль, дополнительно
VVitaly
21.12.2025 13:42"Скопировать" невозможно только то "что у вас в голове".... Все остальное "физическое" скопировать гораздо проще... Контролировать свою голову вы можете гарантированно, а чем и как вы сможете гарантировать что ваша копия "физического" ключа единственная и ее никто "без вашего ведома" не сдублировал?
K0styan
21.12.2025 13:42"Скопировать" то, что у вас в голове, тоже можно - методами социальной инженерии или, скажем, терморектально.
Многофакторные системы делают для того, чтобы один и тот же метод все ключи не выдавал. У вас украли телефон с генератором - у злоумышленика нет пароля. У вас выведали пароль, например, по телефону - но у злоумышленика нет аппаратного ключа или он не может по телефону же приложить ваш палец.
Это модель дырок в сыре: каждый фактор сам по себе уязвим, но сделать так, чтобы в одном сценарии сошлись несколько уязвимостей, сильно сложнее, чем задействовать одну.
xSVPx
21.12.2025 13:42Устройство этого ключа.
Давайте определимся, какого уровня атаку вы себе воображаете ?
Некто смог похитить ваш шифр блокнот так, что вы не заподозрили, разобрать его так, чтобы не сломать, после этого вероятно на электронном микроскопе считать биты, собрать обратно(совершенно в первоначальный вид) и вернуть вам обратно, верно ? Попутно они узнали пин для дешифровки всего этого (это как-раз элементарно, надо всего лишь скрытую камеру к вам подбросить)
Уровня "миссия невыполнима" операция. Требует каких-то магических совершенно оперативников итд итп.
Так вот: я совершенно не готов к противостоянию с такого рода угрозами. Я с фбр, анб, кгб и ми6 даже вступать в противоборство не буду. Они сильнее.
А все что мельче скопировать незаметно ничего не смогут, ибо хорошее устройство им не отдаст, а даже разобрать его, чтобы потом собрать и это было незаметно они не сдюжат
Стоимость подобной операции яб оценил в домик в москве, квартир на 200. У меня нет столько денег, чтобы ради меня столько тратить.
VVitaly
21.12.2025 13:42:-) И конечно же "дополнительные факторы аутентификации" поставщик предлагать может. Но не навязывать потребителю. Это называется "навязанные услуги"...
select26
21.12.2025 13:42Это называется адекватная оценка рисков и уменьшение поверхности атаки.
И поставщик сам определяет баланс между удобством и безопасностью.
Если вам не нравится - вы вправе искать доугого поставщика.
Я лично, предпочту банк с адекватной политикой безопасности.Скажем так, если кто-то "узнает мой пароль" - это моя ответственность перед поставщиком услуги, может я хочу чтобы кто-то его знал и раскрываю его сознательно, а если не хочу - то и не буду "раскрывать". Это мое дело как потребителя услуг продавца.
Это не так. отыетственность, может быть, и ваша. Но это нужно выяснить сначала. А реагирование на инцидент имеет не нулевую стоимость. Если вы готовы ее нести, вовсе не значит что поставщик разделяет ваше стремление.
p.s. Авангард еще в 2013 году предоставлял TOTP и Таблицы одноразовых паролей. Интерфейс у них, правда, с 2013 недалеко ушел, но в плане безопасности - они молодцы.gliderman Автор
21.12.2025 13:42Ого, про Авангард не знал, надо будет у них посмотреть на сайте политику безопасности.
xSVPx
21.12.2025 13:42Года два назад выяснял, воспользоваться не смог, ну т.е. толи карту не смогли сделать, толи условия были какие-то дикие, не помню уже. Помню что выяснилось, что это "не пойдет" уже на этапе вызова курьера. Какой-то был адский недостаток.
VVitaly
21.12.2025 13:42:-) А что и как "нужно выяснять" про ответственность?
Или вы адепт "супер клиентоориентированного" подхода - "Мы лучше вас знаем что вам необходимо!"?
Или "адекватная политика безопасности" - делайте только так как мы решили, альтернатив не допускаем? :-)
Видимо с таким подходом смс коды "подтверждения" так и "стандартизировали"....
aik
21.12.2025 13:42Прелесть смс не в его безопасности, а в том, что он прост и понятен кому угодно. Ещё одноразовые пароли с бумажек были более-менее понятны. Кончились - пошел к банкомату, распечатал ещё.
А все эти торты - это для гиков решения. Пока их не будут принудительно внедрять со стороны самих банков, популярности они не наберут.
PS. Я пользуюсь на нескольких сервисах. Яндекс.ключ, бэкаплюсь в файлик. Но ничего действительно серьёзного не привязывал. Только то, что можно восстановить ножками - госуслуги, к примеру. А вот гуглопочту не рискну. Потеряю торт - не войду.
YMA
21.12.2025 13:42А вот гуглопочту не рискну. Потеряю торт - не войду.
Так секреты TOTP стоит сохранять в оффлайне, сгенерите QR код с ним, распечатайте и в конверте отдайте родственникам на хранение. Или вот так разместите на публичном форуме - https://habr.com/ru/news/973700/comments/#comment_29211616 , никто ведь не догадается, что это очень секретная информация. ;)
select26
21.12.2025 13:42Ну так без SMS вообще еще проще и куда уж понятнее!
Вопрос же в балансе удобство/безопасность. Вы забывате про безопасность.aik
21.12.2025 13:42С смс безопаснее, чем с голым паролем.
sptor
21.12.2025 13:42А вот интересно много ли было задокументрованных случаев увода кодов посылаемых через смс не методами социального инжиниринга, а именно технически? Ну и их процент в общей доле случаев когда получают несанкционированый доступ.
Просто такое ощущения что тема с аутентификаторами стала популярной, вот несколько систем с которыми работали внезапно решили что им надо тоже, хотя о этого карточка кодов работа или там смс.
gliderman Автор
21.12.2025 13:42Думаю, банки просто замалчивают факты, дурным пиаром пахнет. СМС плохо ходить сейчас стали, вот прям сейчас катаясь по СПБ я не могу посмотреть пробки, нет мобильного интернета. СМС также ходят очень нестабильно.
Даже сидя на проводном интернете я не могу провести операцию через банк при помощи подтверждающей смс.
sptor
21.12.2025 13:42Думаю, банки просто замалчивают факты, дурным пиаром пахнет.
Не думаю что это так легко замолчать, особенно если оно распостранено широко, вон против социальной инженерии постоянно предупреждают "никому не говорите кодов из смс/аутентификатора" и даже при всем этом она вполне цветет и пахнет, это скорее говорит о том, что случаев когда коды доступа были утащены и использованы посредством технических средсв либо исчезающее количествор на общем фоне, либо вообще документировано не было - несмотря на теоретические и технические возможности вроде как.
Я не в России, просто тенденция интересна, у нас насколько помню банки смс не слали никогда, интренет банкинг сначала был с карточками кодов постоянными для логина, плюс одноразовые подтверждающие коды из списка для переводов не между своими счетами внутри банка. Потом появились пин-генераторы аппаратные, а сейчас в основном либо цифровая мобильная подпись, либо что-то из специфических аппов аутентификаторов типа Smart ID пин генератор може можно взять, но уже не бесплатно ка краньге а заденьги, а вот одноразовых кодов на бумаге больше нет.
aik
21.12.2025 13:42СМС-код можно увести, либо если сесть на коммутаторе, либо если сидеть и атаковать вас целенаправленно, подсовывая левые БС.
Ну или замену симкарты сделать.Потому, на мой взгляд, это нихрена не канал массовых атак.
sptor
21.12.2025 13:42Потому, на мой взгляд, это нихрена не канал массовых атак.
Ну вот у меня схожие мысли, если бы это все было так просто как живописуют, такие случае были бы массовы, а сейчас что-то про это не слыхать, только рассказывают про теоретическую возможность такого, но вот показать такие случае из реального мира особо не показывают.
gliderman Автор
21.12.2025 13:42Полагаю, пока социальная инженерия обмана просто по ип телефонии работает, никто не будет техникой заморачиваться, риски слишком велики при оформлении поддельных сим или аппаратура недешевая для перехвата сим.
sptor
21.12.2025 13:42Что и требовалось доказать, в теории оно возможно, а на практике это малоприменимо длля сколь либо массового использования, в том числе по причинам которые вы сами и озвучили.
xSVPx
21.12.2025 13:42Помню года три-пять назад у кого-то известного увели денег перевыпуском симки. Приходит человек в салон сотовой связи как-бы с доверенностью и ему дают твою симку. Человек неделю истерил и затыкал дыры. И вы знаете что :)? Эти же люди перевыпустили симку опять :). В другом офисе.
В этот момент мне стало понятно: смс не годится.
Я сам лично имел прекраснейший разговор в офисе сотового оператора. Про доверенности итп. Разговор оставил осадочек. Ну т.е. люди не совершенны, но мне очень хотелось бы, чтобы имбецилы не могли мою симку кому попало выдать.
С тех пор вроде бы стало можно эту опцию (выдача симки по доверенности) отключить, итд итп, но в целом совершенно нет уверенности что в следующий раз не придут с решением суда...
aik
21.12.2025 13:42Ну так это и есть та самая направленная атака. Массово такое не организуешь, даже самый тупой сотрудник в салоне заподозрит неладное, если со стопкой доверенностей придёшь.
inkelyad
21.12.2025 13:42Массово такое не организуешь, даже самый тупой сотрудник в салоне заподозрит неладное
Если атаку не делает сам сотрудник. И даже без стопки доверенностей, а просто удачно делая вид, что они есть.
aik
21.12.2025 13:42А СБ пинает балду и не видит, что десятки и сотни смен владельца по доверенностям от одного струдника идут?
xSVPx
21.12.2025 13:42А я у себя один, мне как-то совершенно не менее больно, если меня одного нагрели, а не вместе с кем-то еще.
Более того, шансов получить что-то взад при массовости больше, без нее меньше.
aik
21.12.2025 13:42Только если проблема не массовая, то у провайдера нет стимула ей заниматься. Он видит, что проблема в доверенностях - он затыкает доверенности. Смс тут как бы и не причём.
sptor
21.12.2025 13:42Помню года три-пять назад у кого-то известного увели денег перевыпуском симки.
Интересны детали, потому что, - кто-то кое-где когда-то и прочее это на уровне агенства ОБС, повторюсь, то чтто это можно сделать не означает что это млжно делать легко и массово. То есть то же самое мошенничество через социальную инженерию вот они случае разные массово, на слуху с примерами и делами, атут все на уровне слухов. Ну и опять таки это не технический перехват смс или там клонирование симки без участия соучастника в структурах оператора, по сути это тоже самое что мастерская по изготовлению ключей делает для соучастника знающего адрес, дубликат ключа с помощью которого обносят квартиру.
xSVPx
21.12.2025 13:42Погуглите и будут вам детали.
Совершенно не понимаю причем тут массовость. Меня я беспокою. Если я пострадал - это плохо....
И мне совершенно неважно как именно получили смс, технически, не технически, важно что я пострадал. Нетехнически даже хуже. Склонировать смс сможет не только лишь каждый, а в фотошопе доверенность нарисовать любой дурак в состоянии.
sptor
21.12.2025 13:42Погуглите и будут вам детали.
То есть деталей нет по сути, в отличии от той самой социальной инженерии. Из чего можно сделать вывод что это скорее именно что уникальный случай, для которого веротней всего было еще много разных особенностей которые и аобудили к таким сложным процедурам.
xSVPx
21.12.2025 13:42Т.е. вы всерьез хотите, чтобы я вам детали случая пятилетней давности вывалил :)? Я похож на слона ?
Процедура, похоже проста. Любой хрен с горы показав школьнику работающему в салоне связи любую бумажку с печатью и подписью сможет скорее всего получить симку на ваше имя. Потом еще в банк надо будет позвонить и сказать что сим-карту поменял. Они спросят что-нибудь секретное, ну как они любят, у меня по-моему номер паспорта спросили.
Чувствуете ? Это запах безопасности :)
sptor
21.12.2025 13:42Я про то что все это на уровне агенства ОБС, и массовостью похоже не пахнет в отличии от всяких "служб езопасности банка" , "старших прапорщиков криминальной полиции" и тому подобного.
Опять же вы сами пишете
любую бумажку с печатью и подписью сможет скорее всего получить симку на ваше имя
То есть уверенности вот нет в этом, только спекуляции. Повторюсь я не говорю что это невозможно, но вот почему то есть у меня такое ощущение, что это не массово ни разу, и не так просто как это проецируется в общественное сознание только и всего.
Если по российским законом для доверенности требудется нотариальное заверение, та самая печать, потому что доверенность физического лица физическому лицу без заверения врядли будет иметь печать, не япония все таки, то это надо еще карманного нотариуса надо иметь, готового присесть с конфискацией за такие финты если дело вскроется - то есть выхлоп этого всего должен быть далеко не на уровне "обычного" человека и потому это добавляет еще одно сомнение на тему массовости такого.
inkelyad
21.12.2025 13:42есть у меня такое ощущение, что это не массово ни разу
Напомню, что по похожей схеме ЭП получали. Было достаточно массово, чтобы удостоверяющие центры почистить и гайки насчет порядка выдачи закрутить, полностью запретив их выдачу по доверенности.
А телефонные номера в комплекте с госуслугами у нас стремительно по силе возможного воздействия к ЭП приближаются.
Страничку в Госуслугах со списком номеров и возможность поставить запрет на новые договора - вот тоже вряд ли бы делали, если случаев было мало.
vlivyur
21.12.2025 13:42Благодаря двухфакторной аутентификации я лишился всех вложенных денег и 3 лет работы
Перевыпускники, или Карт-бланш на воровство
При этом можно нагуглить такие проблемы и у обычного люда
AleksejMsk
21.12.2025 13:42Узнал что ставить говно на 100МБ это не круто.
❤️ Узнал ставить другое говно на хххМБ это круто.
Расходимся.
sk220976
21.12.2025 13:42import pyotp totp = pyotp.TOTP("VERYSECRETTOP") print(totp.now())покороче вариант
Wesha
21.12.2025 13:42покороче вариант
А заходишь лет так через 5 — а оно тебе «какой такой питон???»
kma21
21.12.2025 13:42import pyotp
Ваш совет выглядит как "если у вас нет дома, просто купите дом". Или, перефразируя ближе к нашему контексту -- "возьмите код TOTP из вашего генератора TOTP". И это не установить некое гавно на ХХХМБ.
Спасибо за совет, это действительно поможет экономить мегабайты на диске!
mixsture
21.12.2025 13:42Когда TOTP может подвести? (И как это лечить)
Я бы к статье добавил, что этот второй замок обладает и недостатками второго замка. Если вы потеряли от него ключ - то уже не важно, что у вас все есть для первого замка, а также что вы увешаны с ног до головы паспортами и другими идентификаторами личности. Второй замок вас не пропустит и точка. (с оговорками, что иногда таки можно прийти в офис какой-либо организации и уговорить лично их отключить TOTP вам).
Поэтому критически важно сохранять резервные копии TOTP. Все равно каким методом - хоть иметь второй смартфон с ровно теми же секретами в нем.
gliderman Автор
21.12.2025 13:42Я напоминаю при совете ТОТР - не забудьте эту строчку из 32 знаков записать разборчиво буква в букву в тетрадочку и на хранение - потеряете, все, доступа не будет. А по возможности куаркод распечатайте на принтере. Будете потом бегать по МФЦ доступ восстанавливать, если код потеряете.
mixsture
21.12.2025 13:42Да, похоже у меня внимание выкинуло этот кусок в секции "как внедрить за 5 минут" :)
Но я ожидал увидеть внушительное описание этого в секции недостатков.
ITurchenko
21.12.2025 13:42Еще нюанс - получив доступ к БД вы фактически получаете доступ ко всем пользователям, поскольку TOTP ключ придется хранить в БД в явном (пусть даже и шифрованном) виде.
Это не хэш от пароля, это не разовые смс коды, которые болтаются в памяти сервера и не уходят в БД.Akon32
21.12.2025 13:42Вот это тоже меня смутило. По сути, второй пароль. Утечёт - и знать не будешь. Что гипотетический риск перехвата SMS (через SS7 - вряд ли, где-то слышал, что законы запрещают такое вмешательство, поэтому sms у нас везде спокойно внедряют; а вот через чтение сообщений в телефоне...), что гипотетический риск перехвата шифрованного ключа с паролем от него. В одном одиозном мессенджере, за упоминание которого в неотрицательном ключе здесь сразу минусуют карму, вероятно, примерно такая же защита, как в sms, раз его приняли как второй фактор. Но я пока не стал к нему привязывать, TOTP всё-таки поинтереснее выглядит.
И здесь скорее вопрос в том, доверять ли стороне, которая так или иначе хранит второй фактор.
cyberplebeian
21.12.2025 13:42TOTP секреты уникальны для каждого сервиса. Зачем они нужны хакеру если он уже на сервере и с правами к БД? А вот украсть и перебрать хеш пароля ценно так как часто пароль бывает одинаковым на куче сервисов. TOTP здесь как раз безопаснее.
SMS коды может и не уходят в БД, они уходят и проходят по куда более сомнительным местам с сомнительным шифрованием
ITurchenko
21.12.2025 13:42Зачем они нужны хакеру если он уже на сервере и с правами к БД?
Иногда есть только доступ на чтение, но не на запись. Иногда не хочется светиться во внешних логах, а потихоньку сливать базу. А здесь можно спокойно авторизовываться в системе от имени админов или нужных пользователей, причем это не вызовет срабатывания каких-либо защит, и делать все нужные черные дела от чужого имени.
Одно дело разово утянуть базу и другое - долгое время спокойно хозяйничать в самой системе от имени легальных пользователей.
xSVPx
21.12.2025 13:42Хотел бы я узнать как вы собрались получать к нему доступ если он никогда не покидает совершенно никак не связанного с интернетом отдельного "брелка"?
А все те, кто свои пароли, итп загружают в какие-то "очень надежные сервисы" вряд ли вообще озабочены какими-то такими сценариями.
inkelyad
21.12.2025 13:42Хотел бы я узнать как вы собрались получать к нему доступ если он никогда не покидает совершенно никак не связанного с интернетом отдельного "брелка"?
Речь идет о другой стороне - стороне сервиса.
Второй фактор нужен, в одном из сценариев - чтобы когда база паролей у сервиса утекла, злодеи не могли расшифрованными/подобранными паролями воспользоваться для входа в сервис.
Но база seed-ов TOTP (проверять же код как-то надо) - она тут же лежит, рядом с базой паролей. Поэтому утечет вместе с ними. А поскольку алгоритм требует plaintext-а, чтобы работать, то злодей эти seed-ы успешно используют, чтобы запрос кода пройти.
xSVPx
21.12.2025 13:42Так и ради бога. Этож пароль только для этого сервиса. Для другого другой. Ну т.е. не надо одинаковые пароли и одинаковые сиды использовать в разных местах. Для ТОТР это обычно и невозможно, т.к. вы сидом не управляете, его часто дает сервер случайно сгенерив
inkelyad
21.12.2025 13:42Ну да, для одного. Но злодеи в случае кражи базы авторизации все равно в сервис вламываются. Нехорошо.
В случае тех же Passkey-ев, где алгоритм односторонний, это невозможно - знание чисел на стороне сервиса ничего не дает.
xSVPx
21.12.2025 13:42Не понял в чём вы видите проблему. Что те кто украл всё из сервиса и фактически всё там контролирует смогут вами залогиниться :)?
ТОТР безусловно компромисс. По хорошему вы должны подписывать на доверенном устройстве приказ на конкретное действие (залогинь меня, перечисли васе пять рублей, поменяй мне пароль итд итп)
inkelyad
21.12.2025 13:42Не понял в чём вы видите проблему. Что те кто украл всё из сервиса и фактически всё там контролирует смогут вами залогиниться :)?
Что те, кто украл не все, а только базу аутентификации, смогут под мной залогинится и украсть уже точно все. Или сделать что-то от моего имени(в контексте Госуслуг вполне угроза - попробуй потом доказать, что это не ты был), а не украсть.
YolkinNJavaDev
21.12.2025 13:42А теперь главный вопрос. А как же именно хранится секрет на устройстве?
gliderman Автор
21.12.2025 13:42Aegis шифрует секрет.
Akon32
21.12.2025 13:42А если параноить: не утечёт ли БД с шифрованным секретом и ключ шифрования через вендора ОС или устройства?
K0styan
21.12.2025 13:42Вендор ОС потенциально может украсть вообще что угодно. Через кейлоггинг, экранный буфер или прямое выдёргивание из ОЗУ.
Тут уж либо ему доверять, либо делать свою платформу.
xSVPx
21.12.2025 13:42Либо использовать какую-нибудь более безопасную платформу. Без доступа к интернету итд итп
cyberplebeian
21.12.2025 13:42Можно хранить в открытом виде. Если кто-то проник на твоё устройство с root правами и может доставать TOTP секреты из приложения, то все уже потеряно и без TOTP, ничто не мешает скейлоггить пароль и подсмотреть СМС.
xSVPx
21.12.2025 13:42Именно для всего этого ТОТР и нужен.
Только вот не надо его в телефон тащить. Генератор должен быть где-то отдельно. И тогда даже если кто-то проникнет в телефон - это будет не такой огромной проблемой. (в идеале, конечно иметь не ТОТР, а некий механизм подписи конкретной транзакции, но это уже другое дело, может когда-нибудь переизобретут то, что вебмани лет десять назад использовали, там надо было сгенерировать одноразовый пароль используя части транзакции, сумму, получателя итп)
Хорошая система должна вам позволять совершенно безопасно пользоваться вашим интернет банком с компьютера или телефона на 100% контролируемого "хакером".
funca
21.12.2025 13:42В современных телефонах хранилище ключей это программно-аппаратрое решение (Apple Secure Enclave для iOS, Samsung Knox под Android и т.п.), просто органично встроенное в привычный UI. Поэтому нет смысла возиться с отдельными деаайсами.
xSVPx
21.12.2025 13:42Я совершенно им не доверяю вы уж меня простите. Ну т.е. если бы оно показывало фразы на отдельном экране и просило ввести куда нужно - можно было бы рассмотреть, но учитывая "бесшовность" его работы это не то, чему я готов доверить "много денЯк".
Но тут каждый сам для себя решает что его устраивает, что нет.
funca
21.12.2025 13:42Я совершенно им не доверяю вы уж меня простите
Полностью согласен, все в итоге сводится к доверию. Если не доверять самой защищенной части, то пользоваться какими-либо приложениями на этих девайсах нет даже смысла рисковать.
xSVPx
21.12.2025 13:42Так я последовательно и неоднократно пишу: не надо это в телефон тащить. Нужно отдельное оффлайн устройство.
И всё это должно быть вторым фактором к знанию пароля который нельзя поменять даже имея все симки в мире
cyberplebeian
21.12.2025 13:42Не понял один момент: "Поддельный сайт просит вас «перенастроить 2FA» и показывает свой QR-код. Вы сканируете — хакер получает точную копию вашего генератора."
Хакер ничего не получает, просто на телефон будет добавлен новый уникальный TOTP, который не будет подходить ни к каким приложениям.
Или я чего-то не понимаю?
Best-sda
21.12.2025 13:42Он будет подходить к твоей УЗ. Потому что уникальный код генерируется как раз на основе этой последовательности, которую знают сервер и твое устройство
cyberplebeian
21.12.2025 13:42Сервер и моё устройство знает, а хакер то откуда знает? Хакер может с нуля сгенерировать TOTP QR-код и показать мне его, ну и он будет генерировать бесполезные коды. Как он подойдёт к моей УЗ?
AVikont
21.12.2025 13:42Здесь подразумевался MITM во время перенастройки TOTP.
Нейросеть ещё не такая умная.
xalfer
21.12.2025 13:42Спасибо за статью, подобный тип авторизации встречал, но впервые услышал как называется)) В целом круто, но как по мне, ничего надёжней пароля скрытого в последнем бастионе конфиденциальности (мозге) нет. Он независим от времени, его не перехватить и он нигде не записан (по хорошему).
xSVPx
21.12.2025 13:42У пароля есть жирный недостаток: он один. Если вы его в неудачный момент введёте, то всё. Одноразовые пароли в этом смысле безопаснее. Но да - требуют отдельного аппаратного генератора.
OlegIct
21.12.2025 13:42перешел на google authentificator. Скопировал на второй телефон. Убедился, что на обоих телефонах одновременно google authentificator работает и выдает одинаковые числа. Несколько дней всё хорошо. Сегодня запускаю, а ключей на певом телефоне нет. Хррошо, что второй телефон я не стёр, телефон был выключен и на нем сохранился номер, но зеленой галочки не было (не синхрон с сервером гугли). Размножил на второй телефон. А так бы был поход в МФЦ за восстановлением доступа. Аочему самопроизвольно исчез ключ не знаю - баг, потери данных на серверах гугли или недокументированная fuzzy logic гугли. Склоняюсь к последнему. Настраивая телефон и приложения я выходил из apple cloud, перезаходил в гугли мэйл. Недокументированные костыли делают программы непредсказуемыми. Пример еще: Тбанк послал число для верификации мэйла на ящик мэйлру. На ящике перенаправление всего на другой мэйл, письмо от тбанка не было перенаправлено. Другие письма в то де время перенаправлялись.
gliderman Автор
21.12.2025 13:42За много лет работы в ИТ обнаружил, что самые надежные бэкапы - это простой бумажный блокнот с записями. Как ни странно. Любой электронный носитель может внезапно умереть. Для тотр - 32 символа в блокноте.
Wesha
21.12.2025 13:42Кроме того, «число на бумажке» можно «дополнительно скрыть». Например, на бумажке записано 2000 символов, и только хозяин знает, что «ключ получается, если, начиная с 18-й строки, идти взад и брать каждый третий символ». Даже если кто-то увёл бумажку — удачи найти правильные 32 символа.
Calculater
21.12.2025 13:42удачи найти правильные 32 символа.
В том числе и владельцу, лет через 5-10.
xSVPx
21.12.2025 13:42У бумажки есть только один жирный недостаток. Я задалбываюсь с нее вводить. Ну т.е. когда это 20 символов со спецсимволами, а некоторые сервисы их по три раза просят очень утомляешься.
Использовал одно время мультипасс, но у него сдохло колесико :(
inkelyad
21.12.2025 13:42Вообще тут нужен нормальный матричный (или, возможно принтер термопереноса, который с ribbon, а не с термобумагой), чтобы это все печатать, в том числе и штрих-кодом
И редер, что притворяется клавиатурой. В телефоне вводит чуть легче, там прямо софтовые клавиатуры бывают, что умеют читать эти кода.
Mail_Support
21.12.2025 13:42Здравствуйте.
Пожалуйста, опишите ситуацию через форму: https://help.mail.ru/mail/forms/support/
Наши коллеги всё проверят и помогут вам.
Nonas
21.12.2025 13:42Назовем условный мессенджер «Такс» (все совпадения с реальными мессенджерами случайны).
Вы теряете связь по своему номеру, а хакер получает ваши коды для входа в банк или госуслуги.
Такс и Посулуги. Так было бы наверное лучше, раз уж мы решили называть "условно"
entze
21.12.2025 13:42По пп. 1 и 4 хотелось бы реальных, а не теоретических примеров использования SS7 для перехвата и утечек одноразовых кодов из пакета Я.
Скорее переход на квартальные патчи безопасности и раскрытие непропатченных уязвимостей в Андроидкому попалотысячам разработчиков (с которым можно напороться на несанкционнированое использование TOPT генератора) несут явную угрозу.
foxsoft2005
21.12.2025 13:42Товарищи, читал-читал и назрел вопрос.
Тут уже поднималась выше тема "железных" TOTP, ну то есть вместо мобилки - устройство с кнопками и экранчиком, где код по аналогии с мобильным приложением, отображается.
Для MS даже такое есть. Вроде бы прямо хорошо для режима параноика. Но почему-то массово я таких девайсов не нашел (плохо искал?)... Или там какая-то "железная" проблема в реализации этого всего? Или дорого выйдет?
Или в чем может быть проблема реализации? Расскажите...
inkelyad
21.12.2025 13:42Тот что 'для MS' - он для любого сервиса, использующего RFC6238, если я правильно понимаю. Но у этого цена не здравая вот совсем.
Или дорого выйдет?
Да нет, себестоимость деталей там выглядит значительно меньше. Дерут за 'ну раз ты такой параноик... и еще мы за дорогие бумажки заплатили, где написано, что твоя паранойя должна быть довольна'
foxsoft2005
21.12.2025 13:42MS там скорее просто написал, что он "сертифицировал" сие творение для себя, чем и подкинул цену немножко выше уровня, скорее всего...
Хотя, 16,5 евро за штуку - это 1500 рублей.. ну не знаю, возможно, моя паранойя столько выдержит ))... если он для всех, конечно...
inkelyad
21.12.2025 13:421500 рублей.. ну не знаю, возможно, моя параноя столько выдержит ))
Лучше сразу FIDO2 тогда брать. Хотя, если паранойя не слишком зубастая, можно платку купить и запрограммировать.
foxsoft2005
21.12.2025 13:42Прямо руки зачесались... Спасибо за наводку.
inkelyad
21.12.2025 13:42Смешно, кстати, что такой, вроде бы более сложный способ - доступнее для изготовления. Потому что там батареи не надо, ни часов, ни экрана. Хотя с экраном было бы приятнее, чтобы и там тоже видеть, что за сайт вход запрашивает но это уже от чрезмерной паранойи.
foxsoft2005
21.12.2025 13:42Вопрос совсем непрофессионала. Еще один.
Вот допустим, кто-то (я) решит делать такой девайс (железный TOTP) самостоятельно ну, например, чтобы потешить свой интерес и паранойю.
Какая там примерно аппаратная начинка? Понятное дело - экран, батарейка, какой-то там корпус, напечатанный на 3D принтере, наверное, какой-то специфичный микроконтроллер (с часами).. Вроде как звучит недорого)...
inkelyad
21.12.2025 13:42Если бы я был профессионал, у меня вопроса выше не возникало. Ну да, звучит недорого (смотрим на цену тех часов). А теперь сравниваем с ценой этих Token2. У меня, скажем, сразу вопросы возникают, чего это так и чего именно я не понимаю.
Аппаратная начинка... вот тут(youtube, заглядываем в описание - там предыдущие серии) какой-то умелец хачил и разглядывал, на чем такие часы делаются.
А на чем делаются сертифицированные токены в десять раз дороже - понятия не имею.
Если жадность не душит по поводу переплаты (как меня) - смотрим платки на STM32-S3, RP2350. Их пачками наделали.(Примеры без экрана - что у этих picokeys в диалоге Download упоминаются. У тех же компаний есть обычно и с экранчиками. А у китайцев есть клоны.)Опять же - взгляд мимопроходящего, специалисты по микроконтроллерам своей мудростью просто так делиться не хотят.
gliderman Автор
21.12.2025 13:42Это что, назрела необходимость генератор сделать, подумал уже может генератор тотр в часы свои встроить: https://habr.com/ru/articles/969230/ - думаете, спрос реален. В спящем режиме часики 60 часов могут спать.
inkelyad
21.12.2025 13:42Это что, назрела необходимость генератор сделать
Просто сделать - больших проблем нет. Проблема сделать дешево. Потому что за 1500-2500 можно какую-нибудь JaCarta-2 ГОСТ купить и закрыть проблему хотя бы доступа к Госуслугам.
mukca
21.12.2025 13:42Есть куча устройств, типа таких.
Причем появились давно, в году 2008 если не раньше.
Но тут надо чтобы их выдавала сама организация. Типа идешь, подписываешь догвоор и они вот тееб вторйо фактор (собвенно так они и применялись у нас в организации в году 2013)https://feitian-us-online-store.myshopify.com/collections/otp-solutions/otp-authentication#:~:text=Collection: OTP Tokens,access and credential-based attacks.
xSVPx
21.12.2025 13:42Пиплу не надо. Ведь СМС 100% надежно им так в Сбербанке сказали. А еще можно купить страховку непонятно от чего...
Нету толком спросу :(
Вообще железка нужна конечно, но не одна для банка, вторая для госуслуг итп, а одна для всех с кучей профилей. Надо запилить...
K0styan
21.12.2025 13:42Мне с одной стороны нравится идея железки, но я вообще не понимаю, как на имеющихся сейчас на рынке бэкап организован.
А без него грустно как-то. Хотя бы на вторую такую же железку, которая до поры будет в надёжном ящике лежать - надо.
lowderplay
21.12.2025 13:42Я пользуюсь приложением TeleOTP, так как сам его и разработал.
скриншот приложения Возможно, это не входит в идеологию того, что для генерации кодов не нужно скачивать мессенджер, но телега, я думаю, есть у многих, а просто открыть в ней мини-приложение проще чем скачивать отдельное.
Плюс, коды уже хранятся в вашем аккаунте, поэтому не нужно сильно беспокоиться за перенос на другое устройство
и за резервные копии.Понимаю, что может быть много вопросов касательно безопасности и отказоустойчивости:
TeleOTP не хранит ваши ключи на своих серверах. Используется "облачное хранилище" Telegram, а перед этим ключи шифруются через AES с вашим паролем.
Телегу угонят и все аккаунты вместе с ней? Ключи шифруются, поэтому для того, чтобы получить к ним доступ на новом устройстве, нужно ввести пароль. Ну и стоит побеспокоиться о безопасности вашего аккаунта в ТГ.
Зачем мне вам верить? Не верьте, можете посмотреть исходники на Github (конечно, можно и их подделывать, а деплоить вредоносный код), или даже развернуть своего бота.
Простите, что так нагло рекламируюсь, но может быть кому-то будет это полезно и удобно.
gliderman Автор
21.12.2025 13:42Вопрос безопасности достаточно щепетильный. Я сомневаюсь, что из читателей, кто-то в здравом уме будет ставить себе непроверенного бота. Я бы не стал. Невесть что, да поверх мутного мессенджера, который постоянно онлайн. Ну такое себе. Вот если бы просто числомолотилка без всяких разрешений, с открытым кодом. И весом апк на 1 мб - я бы подумал.
lowderplay
21.12.2025 13:42ставить себе непроверенного бота
Здесь появляется проблема, как сделать бота проверенным (и нужно ли)? Как минимум, им пользуюсь я и многие мои знакомые, плюс ещё некоторые люди, которые увидели его в Telegram Contests. Ну ещё и открытый код.
funca
21.12.2025 13:42Здесь появляется проблема, как сделать бота проверенным (и нужно ли)?
У бота же нет доказательств, что он запущен именно из тех исходников, которые опубликованы на GitHub, а рантайм окружению можно доверять? Open Source это про совместную разработку, а не коллективную безопасность. В энтерпрайзах вопрос неопределённости закрывается сторонними аудитами.
Не в укор вам, как разработчику, просто базовые принципы безопасности. Спасибо, что поделились исхдниками.
gliderman Автор
21.12.2025 13:42Вот я только что квеном программу набросал которую я могу проверить и залить себе в процессор и носить на руке, если ваш код длиннее на порядок, мне такое не надо - а вышло у меня 100 строк. Хотите в личку могу кинуть для проверки.
Может еще запилю часы с генератором тотр на е-инк, надо подумать - новая статья может нарисоваться.
Clutchmeister
21.12.2025 13:42А в чем смысл киллер-фичи "Работа в оффлайне", если без интернета ты в учетку не зайдешь?
masterthemac
21.12.2025 13:42Так в офлайне работает TOTP приложение, учетка тут не причем
И с помощью TOTP кодов можно защищать что угодно, не обязательно это публичный интернет сервис. Секретная корпоративная система, например, которая в сети предприятия развернута. Или какой сервис в домашней сети.
Lissodelphis
Все это общеизвестно, ничего нового не узнал для себя.
gliderman Автор
Вы, может быть, и не узнали.
А я написал статью в ответ всем своим разновозрастным родственникам и знакомым, из которых 99% не знают ничего кроме СМС и которые задергали меня вопросами, что делать если не попасть на госуслуги, потому что смс ходят по 3 часа, а мессенджеры не работают совсем. И чтобы не объяснять каждому механизмы, просто теперь буду давать ссылку на свою статью.
Во всяком случае, у меня в более нет мыслей, какие еще методы они смогут освоить, может профессиональные безопасники помогут в комментариях, чтобы дедушкам, бабушкам было удобно пользоваться.
Lissodelphis
Да, наверное вы правы.
gmtd
Вы не написали статью, вы её сгенерировали
gliderman Автор
А вы не замечали, что длинные тире редактор хабра сам расставляет?
Ktulhy
Перечитайте заголовки, по ним понятно, что статья сгенерирована
JBFW
характерная подача материала.
Это примерно как некоторые учителЯ читают сочинение Петрова, но уже со второго абзаца понимают, что написал его Васечкин для Петрова, по стилю изложения...
k4ir05
А двоеточия тоже он расставляет? )
RranAmaru
Заметил, что пообщавшись долгое время с ИИ уже и сам начинаю писать в стиле ИИ. Бесит...
PS: Насчет статьи ничего не утверждаю.
Wesha
И тебе не хворать, шершавый кабан!
ANDRE888
В наше время стало очень много текста сгенерированого ИИ. Его можно определить стилистически и по специальным символами которые добавляются между словами и видны только машинам. Хочешь я соберу еще факты как можно определить что текст сгенерирован ИИ?
Tomasina
А вот это (про скрытые символы) интересно. На статью наберется? Желательно, не сгенерированную ИИ, но с реальными примерами
gliderman Автор
Скрытые символы убиваются копипастой в обычный блокнот. А по поводу ЛЛМ у меня будет отдельная авторская статья.
Ktulhy
Вы в словах «скопировал из вывода языковой модели» допустили несколько ошибок
gliderman Автор
Какие?
AlecGoldman
пример не очень хороший с дверью и вторым замком... "не нужен интернет, время должно совпадать", - просто если внутри девайс съехал или отрубился, то пилить дверь как-то не прельщает... на западных биржах пользуюсь и в других аккаунтах пользуюсь гуглом, и в самом гугле гуглом, чтоб не сперли аккаунт, но в росии хз, дай список банков, в которых можно такое настроить? у меня есть счета в росии, но что-то я не видел такой возможности установить иджис или гугл тем более... проясни о чем ты?
thethee
Для госуслуг TOTP настроен, удобно, M*x не нужен и вроде даже перестали предлагать подключить на него коды.
Arhammon
А потом - ой ваш аккаунт заблокирован, установите скам или или идите в МФЦ раз такой умный)
Flux82
Текст как из теплицы: ровный, стерильный и без запаха. Мысли выстроены аккуратно, но ни одна не выглядит прожитой. Читается так, будто автор ни разу не думал — только сгенерировал.
(автор решил, что быть прослойкой между LLM и читателями дело благодарное, отвечает ему пусть тоже LLM)
YMA
Это уже было.... у Станислава Лема.
....Разоблачили еще сорок три робота, пока профессор Баттенхэм разъяснял нам, что Маттрасса можно рассматривать как образчик космического конгломерата; тут я вспомнил, что об этом уже шла речь: как видно, юристам не хватало доводов, но внезапно вновь началась проверка. Теперь без стеснения просвечивали всех подряд и обнаруживали, что собравшиеся скрывают под безупречно сидящими костюмами части из пластмассы, нейлона, стекла и даже соломы. Кажется, в одном из последних рядов нашли кого-то, начиненного паклей. Когда очередной оратор сошел с возвышения, я оказался один как перст посреди огромного пустого зала. Оратор был просвечен и вышвырнут за дверь. Тогда председательствующий, единственный человек, оставшийся, кроме меня, в зале, подошел к моему креслу. Сам не знаю почему, я взял у него из рук компас, и вдруг стрелка дрогнула и неумолимо повернулась к нему. Я постучал пальцем по его животу и, услышав дребезжание, машинально взял председателя за шиворот, вытолкал за дверь и остался, таким образом, в одиночестве. Я стоял перед несколькими сотнями брошенных портфелей, пухлых досье с протоколами, шляп, тростей, книг, переплетенных в кожу, и галош. Побродив бесцельно по залу и убедившись, что мне здесь нечего делать, я повернулся и пошел домой.
Интернет убьёт не цензура государств, и не копирайт корпораций. Его убьет человеческая лень и LLM. ;)
Wesha
У Гарри Гаррисона тоже, помнится, было, когда на заседании антиправительственного сообщества все были шпиками, кроме главгера, который просто позырить зашёл :)
GigaSan
у Гарри Рарисона такого не помню сам, но поискав понял что это из Роберта Шекли
Lenin1871
Можно название книги?
aik
Билл - герой галактики.
Впрочем, не только там я подобное встречал.
tmxx
Человек, который был Четвергом - 1908 г.
aamonster
Пикабу или ВК бы более подошёл для этой статьи, чем Хабр. Предполагается, что местная аудитория всё это знает (и также понимает минусы totp, главный из которых – вопрос "как бэкапить").
gliderman Автор
Нет, друг сказал, что его статью с тотр против такса боты на пикабу утопили сразу в минусах. Поэтому публикуется здесь - здесь хоть жить будет, возможно. Можно на ликбез людей сюда отправлять.
aamonster
Почему-то наблюдаю на пикабу обратное – разъясняют, как настроить тотп, а посты, ругающие Макс, регулярно заплюсовываются. Так что, вероятно, ваш друг просто сумел разозлить аудиторию :-)
Но даже если бы вы были правы – всё ещё объяснения, как пользоваться тотп, нужны там, а не тут.
gliderman Автор
У пикабу есть особенность - там боты хитрые. Если просто ругают макс, ничего не делается, все хорошо, черный пиар - все запомнят. Если ругают, предлагая альтернативу - утопят сразу.
PolOchka_KolOchka
Ну я вот прочитал на Хабре. Заинтерисовался, мне кажется далеко не твое дело где публиковать человеку статьи. К слову у тебя ни одной стать опубликованной, видимо не нашлась та великая тематика на которую ты можешь, что-то тут нам поведать. Зато 4.5к комментариев на подобии этому с удовольствием накатал. Зачилься немного.
Vdm_ro
Вы в любом случае не можете отключить в банке/на госуслугах восстановление пароля по СМС, можно хоть сетчатку глаза в секретной пещере организовать, но если клонировав симку/получив доступ к СМС каналу до пользователя можно восстановить пароль - толку от включения ТОТП нету. Вот если бы была возможность ограничить взаимодействие с банком/госами исключительно ТОТП или ногами с паспортом в отделение - тогда да...
gliderman Автор
Основная мысль статьи это не защита от клонирования симки(ситуация на деле редчайшая), а вот что делать здесь и сейчас, если на госуслуги не попасть по причине того, что мобильная связь и интернет просто не работают. А интернет по проводу работает, с чем сталкивается уже 90% граждан РФ.
mukca
Вот раньше так и было: в договоре указывался логин пароль и секретная фраза (которая и сейчас везде осталась, но ее никто не спрашивает, ни один сервис, а сразу привяжите номер телефона, или как у гугла, ваще супер: вы не вы дайте любой номер телефона и вы сразу станете собой)