За семь лет, которые прошли с момента включения Google двухфакторной аутентификации, менее 10% из более чем миллиарда пользователей начали ей пользоваться.
Гжежож Милка (Grzegorz Milka), программный инженер Google
На странице Google, посвящённой двухфакторной аутентификации в сервисах компании, пользователей встречает надпись «Миллионы пользователей уже защитили свой аккаунт с помощью двухэтапной аутентификации. Присоединяйтесь!». Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.
На конференции по информационной безопасности Usenix's Enigma 2018 программный инженер Google Гжежож Милка (Grzegorz Milka) рассказал, что менее 10% пользователей выбрали двухфакторную аутентификацию в сервисы Google, и всего 12% американцев используют менеджер паролей.
В теории, Google могла бы подключить двухфакторную аутентификацию всем пользователям сразу, вместо них позаботившись о безопасности аккаунтов. На вопрос, почему компания этого не сделала, Milka на конференции ответил «Вопрос в юзабилити. В том, как много людей перестанут пользоваться нашими сервисами, если мы заставим их использовать дополнительные инструменты безопасности».
После проникновения в аккаунт в Google мошенники используют один и тот же сценарий. Сперва отключают уведомления, затем ищут нужную им информацию — в том числе данные банковских карт, личные фото, информацию, связанную с криптовалютными кошельками, копируют список контактов и «стирают» за собой все следы.
Как видно на слайде ниже, всё работа по получению информации и очистке ящика от каких-либо следов мошенничества занимает четверть часа.
В 2016 году в Великобритании и США провели опрос 4000 человек на тему сложности и количества используемых паролей, «угона» аккаунтов и использования двухфакторной аутентификации. Оказалось, что наиболее внимательно к безопасности относится поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет. Они реже других используют один пароль для всех аккаунтов и чаще используют двухфакторную аутентификацию.
Гжежож Милка (Grzegorz Milka), программный инженер Google
На странице Google, посвящённой двухфакторной аутентификации в сервисах компании, пользователей встречает надпись «Миллионы пользователей уже защитили свой аккаунт с помощью двухэтапной аутентификации. Присоединяйтесь!». Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.
На конференции по информационной безопасности Usenix's Enigma 2018 программный инженер Google Гжежож Милка (Grzegorz Milka) рассказал, что менее 10% пользователей выбрали двухфакторную аутентификацию в сервисы Google, и всего 12% американцев используют менеджер паролей.
В теории, Google могла бы подключить двухфакторную аутентификацию всем пользователям сразу, вместо них позаботившись о безопасности аккаунтов. На вопрос, почему компания этого не сделала, Milka на конференции ответил «Вопрос в юзабилити. В том, как много людей перестанут пользоваться нашими сервисами, если мы заставим их использовать дополнительные инструменты безопасности».
После проникновения в аккаунт в Google мошенники используют один и тот же сценарий. Сперва отключают уведомления, затем ищут нужную им информацию — в том числе данные банковских карт, личные фото, информацию, связанную с криптовалютными кошельками, копируют список контактов и «стирают» за собой все следы.
Как видно на слайде ниже, всё работа по получению информации и очистке ящика от каких-либо следов мошенничества занимает четверть часа.
В 2016 году в Великобритании и США провели опрос 4000 человек на тему сложности и количества используемых паролей, «угона» аккаунтов и использования двухфакторной аутентификации. Оказалось, что наиболее внимательно к безопасности относится поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет. Они реже других используют один пароль для всех аккаунтов и чаще используют двухфакторную аутентификацию.
aik
Я не пользуюсь двухфакторной аутентификацией, потому что это неудобно.
thauquoo
Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству. И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.
Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.
AlexanderS
Причём это сделать проще, чем отправлять SMS и по идее с этого стоило бы начинать, предоставляя пользователю в будущем выбор )
nickName0
А к SMS-переписке, кстати, можно получить доступ и через оператора сотовой связи
(у них ведутся журналы, подробнее — см. СОРМ-3).
aik
Мне вообще не нравится привязка ко второму устройству. Могли бы, к примеру, какой-нибудь графический код придумать в пару к паролю — картинку там заранее заданную показывать или что-то подобное.
Iv38
Тогда это по сути перестанет быть двухфакторной аутентификацией, ведь в обоих случаях используется один и тот же фактор «знания» просто в немного разной форме.
aik
Но разные «знания». Если пароль можно кейлоггером утащить, то графический ключ уже не так просто увести. Ну или действительно присылать код на вторую почту или в аську ту же (ну или любой другой мессенджер).
nickName0
Есть приложение, например Google Authenticator,
что осложняет доступ другого пользователя к вашим данным.
zenkz
Не только другим пользователям, но и вам. Если вдруг понадобилось зайти проверить почту, а телефон забыли дома или его украли…
nickName0
Если так смотреть, то и замкИ на дверях — это усложнение
(а сколько времени потеряно, если забыл/{взял не тот} ключ)?
Несколько раз помогал подключать и настраивать 2FA, разным людям.
Зато 2FA — это гарантия, что без особых ухищрений
(как то: доступ к отправляемым Вам сообщениям;
речь о ваших затратах на эту доп.защиту),
никто не «залезет» в ваш ящик
(а если и попробует, Вы об этом узнаете, получив сообщение с кодом подтверждения).
Узнать пароль можно, например, через троянца (на скомпрометированной системе),
или через незакрытую дыру в настройках вашего аккаунта/(используемого софта).
Если Вы признаёте замки на дверях (в т.ч. продублированные/усиленные), то должны понимать, что 2FA работает на Вас.
Да, впринципе, лучше иметь несколько разных ящиков, для разных целей.
Насчёт потери телефона (нет его рядом, когда нужен):
виноват тот, кто не подумал об этом.
Чем проще система, тем меньше её стойкость (чаще всего) ко взлому.
Всё просто :)
firk
> Если так смотреть, то и замкИ на дверях — это усложнение
Только вот 2FA на почте — как замок на туалете, для большинства. Вроде бы и хочется иметь возможность запереть, но не настолько важно чтобы из-за этого терпеть неприятности из-за забытого ключа. Поэтому запирается на защёлку и не более того.
nickName0
И почта разная бывает:
для аккаунта, куда привязаны кошельки (напр-р, криптовалют):
поверьте, если у Вас «угонят» такой ящик, Вы радикально измените взгляды на 2FA :),
и самый общий, для всего не очень важного.
yokotoka
Использую для всех TOTP (в том числе гуггл) приложение Authenticator Plus с синхронизацией через Dropbox. С одного устройства добавил — на всех появилось. Очень удобно.
vsespb
осталось только скомпрометировать ваш дропбокс
nickName0
+1
ProRunner
У меня подобная схема, дропбокс также защищен 2FA через смс. Для и утечка бэкапа Authenticator Plus не страшна — она зашифрована мастер-паролем.
ilyakos
Что-то вообще непонятно, кто разработчик этого приложения. Ну и правила использования еще более мутные.
stardust1
Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.
Если это ваша основная почта, то они эти данные наверное и так имеют.
thauquoo
thauquoo
Я бы больше доверял своему домашнему серверу.
Нет, основная почта у меня на Kolab, на публичных сервисах вроде GMail — только для рассылок, некоторых регистраций на сайтах, и иногда общение с шифрованием GPG.
ilyakos
Ага, WD Cloud c их специальными паролями для d-link
thauquoo
Нет, я не имел ввиду WD Cloud, использующие проприетарную My Cloud OS. Это вообще плохой пример, когда мы говорим о приватности.
Я больше доверяю домашнему серверу на основе любого популярного свободного дистрибутива Linux или *BSD.
ilyakos
У меня просто Wd Cloud и я до сих пор бешусь от той истории с паролями… Но работает для моего кейса использования хорошо и теперь только локально (надеюсь с настройками они не врут). По поводу любого свободного дистрибутива — я бы предпочел лучше платный, но с надежными и быстрыми обновлениями. Не доверяю я ничему бесплатному. За хороший продукт надо платить — иначе получается и спрашить не с кого. Если продукт не выдержал эксплуатации и имеет дыры — голосую кошельком в пользу другого. Но это личное мнение конечно.
Meklon
Red Hat Enterprise Linux?)
Barnaby
Просто с TOTP нет привязки, я на нескольких сервисах так freeOTP использую. Но гугл как выяснилось не дает включить 2FA без привязки к номеру, а потом еще удивляется что его никто не использует.
powerman
Именно! Я использую Google Authenticator (тоже TOTP) на других сайтах, и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона. Так что в этом плане они ССЗБ, слишком хамски-требовательно собирают личные данные.
profesor08
Вот вы свой номер пораздовали всем своим друзьям, у кого-то телефон на адндроиде, и наверняка есть синхронизация контактов с аккаунтом гугла. Получается независимо от вашего желания, ваш номер уже известен корпорации.
powerman
Это, безусловно, огорчительно, но я могу контролировать только то, что я могу контролировать. Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email и IP. На самом деле мой номер, безусловно, есть у гугла и так — я использую Google Play. Но для регистрации в Google Play использован отдельный email, который используется только для телефона. В общем, делаю что могу, чтобы не упрощать им жизнь. На самом деле, при сильном желании, гугл сможет увязать вместе все мои телефоны и email-ы, не всё автоматически, и не всё со 100% уверенностью, но сможет — но я сомневаюсь, что кто-то там будет этим заниматься сейчас, когда абсолютное большинство людей сами добровольно отдают всю эту инфу.
sptor
Я бы не был так уверен в этом. У многих в контактах, на смарте по крайней мере, пишется и мэйл, причем обычно таки основной — если он известен.
powerman
Я в этом уверен, потому что во-первых знаю, с кем общаюсь по email и как у них настроена почта, а во-вторых потому, что у меня основной email на своём домене, а вовсе не на gmail, так что даже если кто-то и указал email к моему телефону, то не gmail-овский, так что это практически ничего не даст (примерно ту же инфу можно найти у меня на сайте и в публичном резюме).
Суть не в том, чтобы от кого-то скрываться, а в том, что я готов сообщать свои личные данные только в обмен на что-то, что нужно лично мне — например, свой сайт и публичное резюме мне нужны, чтобы получать хорошую работу. А когда из меня пытаются требовательно вытягивать излишние (для функционирования нужного мне сервиса) личные данные, на пустом месте, не давая ничего взамен — я это воспринимаю как хамство и, по мере сил, сопротивляюсь.
Возвращаясь к теме статьи, про двухфакторную авторизацию, суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP), и она не требует знания номера телефона. Но гугл требует сообщить ему номер телефона и без этого не даёт включить двухфакторку через TOTP. Это — наглое вымогательство, и я лично этому потакать не собираюсь.
nickName0
суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP)
— Речь, как понимаю, о том, что именно номер телефона абонента — это не есть тот номер, по которому сеть (сотовой связи) обеспечивает абонента связью. Абонентский номер — нужен лишь для людей (чтобы могли связаться).
Это — наглое вымогательство, и я лично этому потакать не собираюсь.
— Теоретически — согласен. Практически-же — имею больше плюсов, чем минусов, от той-же 2FA.
profesor08
Суть в том, что вы хотите пользоваться сервисами гугла, и ничего не давать в замен. Причины понятны, гугл настолько приелся уже, его сервисы как само собой разумеющееся, стали частью нашей жизни. Но существование этих сервисов обеспечивается рекламой, цель рекламы — продавать, чтоб продавать хорошо, надо знать что пользователю нужно, для этого нужно иметь как можно больше информации о пользователе.
powerman
В большинстве случаев Вы были бы правы, но в моём случае — это не совсем так.
Лично я из всех сервисов гугла реально пользуюсь только Play Market-ом, потому что мне кажется (возможно — зря, я из альтернатив использую только F-Droid, другие даже не смотрел пока), что в других маркетах нет нужных мне приложений (широкого выбора игр, в первую очередь, и некоторых платных приложений) и даже такого поверхностного контроля вредоносных приложений как в гугле.
Почтой гугла я практически не пользуюсь — у меня есть несколько аккаунтов, но используются они исключительно через POP3, а не веб-интерфейс gmail, так что в гугле они или любом другом сервисе — для меня не имеет значения, где исторически открыл аккаунт там и живёт.
Поиском не пользуюсь — предпочитаю duckduckgo.
Документами не пользуюсь — предпочитаю paper.dropbox.
Диском не пользуюсь — предпочитаю dropbox и акционный терабайт в mail.ru (должна же быть от mail.ru хоть какая-то польза) через webdav.
Отдельно я иногда вынужден пользоваться почтой/документами/диском гугла потому что этого требует компания, на которую я в данный момент работаю — но для меня это не является поводом делиться персональными данными с гуглом, на самом деле я для таких рабочих вещей тупо завёл отдельный телефон с отдельной симкой — если компания хочет отдавать свои данные гуглу, это её право, я возражать не стану и буду рабочие документы держать в гугле, но только рабочие, а не личные.
Ну и последнее, что касается рекламы — даже если я вообще все личные данные передам гуглу это никак не повлияет на его доходы и ту рекламу, которую я вижу — потому что последний раз я рекламу в инете видел лет 15 назад, примерно когда стали популярны анимированные баннеры — с тех пор всё заблокировано намертво, и на компе и на телефоне.
powerman
Перечитал сейчас этот коммент, и увидел любопытную закономерность — в том, что из меня получился такой вот "невыгодный" пользователь виноваты сами рекламодатели и компании:
Я понимаю, что реклама нужна, что бедным компаниям нужно получать прибыль… просто помимо денег надо иметь ещё и совесть! И вот с последним у них проблема. Пока это не изменится — не надо рассказывать мне какой бессовестный я, что лишаю компании их "недополученной прибыли".
nickName0
+1
rogoz
Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
Телефона нигде нет, специально проверил.
lonelymyp
Вы серьёзно считаете что гугл и остальные корпорации ещё не знают ваш номер телефона?
Ваш номер с ФИО засветился у гугла давным давно, когда кто-то из ваших знакомых синхронизировал свой андроид, вы могла этого человека вобще один раз в жизни видеть, это мог быть банально сантехник из жека которого вы просили позвонить и оставили свой номер.
Гугл даже знает как вы выглядите, что покупаете и что любите есть/пить, проанализировав фотки ваших друзей которые они на гуглофото хранят и прочитав все ваши письма об онлайн заказах.
Скрыться от корпораций невозможно, не прекратив общение с внешним миром, всегда найдётся кто-то кто тебя сдаст, даже не подозревая.
powerman
От одного номера с ФИО пользы мало. Чтобы делать на этой информации деньги или нанести ущерб, нужно привязать к этому кучу других данных — email-ы, геолокацию, фоточки, интересы, посещаемые сайты, поисковые запросы… И вот доступ к этой информации частично можно ограничить (заблокировать геолокацию, не заливать фоточки, …), частично осложнить объединение этих данных в общую запись (использовать для телефона отдельный email, использовать на андроиде XPrivacy а в браузерах плагины вроде uBlock Origin и uMatrix, …).
lonelymyp
Автор камента наивно полагает что его личные данные ещё пока что неизвестны =) Обычно данные сначала попадают к корпорации, а потом уже люди задумываются о приватности.
Что потом делают корпорации с этими данными это уже другой большой вопрос.
PS
А чтобы блокировать геолокацию, надо обладать нужными знаниями, перепрошить смартфон на прошивку без сервисов гугла (для многих телефонов таких нет) или под рутом выпилить сервисы гугла.
Простое отключение геолокации не прекращает отправку данных о локации в гугл, лишь в аккаунте перестают отображаться твои перемещения на карте, это может быть полезно в ситуации когда злоумышленник угнал твой аккаунт (воспользовавшись отсутствием 2fa) и может посмотреть твои перемещения по карте.
powerman
Автор коммента не настолько наивен, и задумался о приватности задолго до того, как об этом стало модно говорить (и, да, до того, как добровольно сообщать о себе корпорациям что-либо, чего не хотел сообщать). Нужными знаниями автор так же обладает, телефон прошит как полагается, более того, автор выложил здесь статью о том, как это правильно делать: Защита личных данных на Android-телефоне. За прошедшие годы она несколько устарела, основная проблема — XPrivacy не работает на версиях Android начиная с 7.0, поэтому автор пока, скрипя сердцем из-за отсутствия обновлений, остаётся на 6.0.1. Рано или поздно, скорее всего, необходимость в обновлениях перевесит потребность в контроле над телефоном и приватностью, но пока — я предпочитаю сохранять XPrivacy.
lonelymyp
Раз вы так близко с ним знакомы, расскажите как он умудрился запретить всем с кем общается по телефону, особенно малознакомым людям, заносить его номер в их список контактов.
powerman
Про это уже было выше.
lonelymyp
Даже вы, с учётом всех предостережений, признаете что ваш номер всётаки есть у гугла и вопрос стоит лишь в продвинутости алгоритмов сопоставлений, что уж говорить про автора комментария, который наивно полагает что его личная информация не доступна =)
PS
Есть такие штуки как цифровой отпечаток компьютера, как с этим бороться? Для каждой почты использовать отдельный ПК?
На мой взгляд нет смысла в полумерах, типа не включать 2fa и убирать галочку геолокации в настройках, тут нужен либо сверхпараноидальный режим во всём что касается коммуникаций, либо вообще не париться, полумеры бесполезны.
Animegravitation
И? Тут была статья как на основе всего 4х точек в пространстве времение можно вычислитьс отдельного человека из миллионов по логам базовых станций. Собственно вот
Ну вы поняли? :) Анализ бигдаты позволяет деанонимизировать всех. А те кто не поддаются деанонимизации увы сразу привлекут внимаение систем, как необычные элементы
Собственно вот
powerman
Не путайте возможность получить немного каких-то данных через анализ бигдаты, и добровольный слив вообще всех возможных данных в удобной для анализа форме.
Что касается привлечения лишнего внимания — на здоровье, пусть развлекаются. Даже если меня целевым образом взломают и сольют всё, что смогут — они получат не более, чем все остальные отдают добровольно, а вот ресурсов на это им придётся затратить намного больше. Мои данные принадлежат мне, и делиться ими со всеми любопытствующими желающими я не считаю необходимым или полезным для себя. Если им очень-очень любопытно, они готовы сильно потратиться на получение этих данных, и у них получится взломать мои системы — ну и ладно, значит моей квалификации не хватило для их защиты, и в этом никто кроме меня самого не виноват. Ну и кроме того, чем больше людей будут понимать вред от добровольного слива всех своих данных корпорациям, тем больше будет стараться это предотвращать, и тем меньше внимания будет привлекать каждый из нас.
ilyakos
У сервисов Майкрософт можно на почту получать ну и на телефон тоже. Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!
Exchan-ge
Что здесь не так?
ilyakos
Они для проверки просят последние 4 цифры телефона. Из них 2 последние показаны на предыдущем экране.
Exchan-ge
Знание двух последних цифр ничего не дает — код будет выслан на полный номер телефона, состоящий не из двух и не из четырех цифр.
Две цифры — всего лишь напоминалка владельцу аккаунта о том, какой именно номер был использован для аутентификации.
У меня, например — используются три разных номера для трех разных групп аккаунтов. Без подсказки их легко перепутать.
zagayevskiy
Смартфонами вы тоже не пользуетесь?
Igrek_L
У Google есть Google authentificator в качестве второго этапа. Ему не нужен номер, только более менее точное время.
osipov_dv
Достаточно спорное заявление, 2FA требуется только при логине на новом компьютере. Если на компе не выходить все время из учетки, то ее требуется сделать только один раз.
aik
Гуглопочта где-то раз в неделю на всех компьютерах просит повторно пароль ввести.
Ну и вообще я за себя говорю. Кому-то может и удобно.
osipov_dv
двухфакторная включена, ничего не просит…
Iv38
У меня тоже. Никаких повторных запросов тоже не случается, если гугл уже знает это устройство. Иногда при совершении опасных действий может повторно запросить основной пароль. Мне кажется у Гугла одна из самых ненавязчивых форм 2ФА. А самая настырная и раздражающая — у LastPass.
theWaR_13
В плане Гугла, у меня так же не запрашивает повторной авторизации, у LastPass включена проверка каждые 30 дней, но включил я ее намеренно. Все это можно изменить в настройках.
ourlive
За последние пол года два раза одновременно на всех компах вылетал в перелогин. Возможно гугл что-то считает подозрительной активностью.
osipov_dv
два раза за полгода перелогиниться, разве это проблема?
ourlive
Говорить, что "совсем ничего не просит" не корректно. А перелогиниться нет, не проблема.
CaptainFlint
Попробуйте это Стиму объяснить. Клиент ещё более-менее держит сессию, но и то иногда требует снова залогиниться. А если браузером пользоваться, да ещё на разных машинах, да ещё разными браузерами — постоянно слетает авторизация. Причём вход отдельно в магазин, отдельно в Community.
skyscaper
В чем проблема пользоваться клиентом стима и не любить себе мозг? За 2 года владения текущим ПК логиниться приходилось раза 3 максимум.
CaptainFlint
В том, что клиент Стима не позволяет ставить расширения, зачастую здорово упрощающие жизнь. В том, что ссылки из почтовых уведомлений Стима открываются в браузере, а не в клиенте. В том, что интеграция сторонних сервисов со Стимом тоже производится в браузере, а не в клиенте.
vsespb
нет, если гуглю кажется что-то подозрительным (например ваш ип) то попросит ввести код.
zomby
Эти неудобства причем иногда сам гугл создает на ровном месте. Купил недавно телефон на андроиде, вставил симку, включил, и мастер начальной настройки радостно сообщил — мы подключились к мобильной сети, давайте теперь залогинимся в гуглосервисы! Ввожу логин, пароль. «Введите код, отправленный вам в SMS». Только SMS прочитать мы вам не дадим. Потому что нехер, ты сначала залогинься, а смски свои потом почитаешь. Гугл, вы идиоты.
sashamorozov
1Password имеет поддержку одноразовых паролей, доступно на всех возможных системах и расширениях браузеров.
Я давний пользователь, и это очень удобно. Особенно после историй друзей как они потеряли телефоны, а у них не было бэкапа, и 2FA исчезала. Даже если я все устройства потеряю, то всё равно при синхронизации с сетью я верну все свои пароли и 2FA.
rub_ak
Интересно через сколько на минут кокой-нибудь GM отреагировали власти, если бы они сказали: Мы знаем что ремни безопасности спасают жизни, но из юзабилити включать в стандартную комплектацию их не будем.
logran
Не равнозначное утверждение. 2fa в комплекте есть, просто её не используют клиенты.
Это как если бы сказали «мы знаем, что ремни безопасности спасают жизнь, но из-за юзабилити не станем автоматически принудительно пристегивать каждого севшего в машину».
vics001
Во многих автомобилях есть неотключаемое предупреждение о не пристегнутом ремне, иногда это ужасно неудобно, но это правила регуляторов.
jaiprakash
И заглушки в замках не помогают?
uu_69
Коллега жены разбился, да еще и удавился ремнем, так как имел привычку перекидывать через голову постоянно пристегнутый ремень.
dmitry_dvm
Всегда интересно — кого такие люди пытаются перехитрить?
Wolframium13
Пищалку в торпеде.
Finesse
Или просто вытащить провод из разъёма датчика на замке
lonelymyp
всего 7 лет езжу, но ни разу не испытывал неудобств, с удивлением смотрю на тех кто без ремня, расскажите хоть на словах, что за неудобство такое.
CaptainFlint
На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать. Плюс, когда пристёгнут, сложно дотянуться до бардчка или, скажем, достать что-то с заднего сиденья (понятно, что не во время движения, можно и на красном свете).
P. S. Ни в коем разе не агитирую против ремней, просто отвечаю на вопрос.
Meklon
Остановился, отстегнул, достал, застегнул, нет?
CaptainFlint
Я ж не говорю, что это нерешаемая проблема. Просто ситуация, когда без ремня существенно удобнее, чем с ним.
kolyan222
Если в это время другой водитель решит проскочить на красный/уснёт/другая причина, что будет с водителем копающимся в бардачке или на заднем сидении?
CaptainFlint
Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?
В любом случае, голову отключать никогда не рекомендуется, и любая ситуация оценивается самостоятельно. Я не думал, что к простой фразе начнутся придирки, поэтому не стал расписывать точную планировку дорожной ситуации и прикладывать план расположения всех транспортных средств с указанием их векторов скоростей, с теоретическим обоснованием того, что процедура залезания в бардачок и взятия нужного предмета, занимающая такое-то количество времени, в указанной ситуации будет безопасной. Какой смысл загромождать комментарий бесполезными очевидными деталями? Или вы будете утверждать, что таких ситуаций не может быть в принципе? Даже когда водитель стоит в дикой пробке, окружённый неподвижными машинами со всех сторон?
kolyan222
Не совсем понял насчёт телепортации.
У водителя сзади банально может свести ногу судорогой (или он перепутает педаль) и всё, впереди стоящую машину выбросит на перекрёсток/в кювет.
Но не суть. Писал я это не ради придирки, а что бы напомнить, транспортное средство является объектом повышенной опасности, а потому отстёгивать ремень, когда поблизости находятся другие транспортные средства не разумно ни под каким предлогом.
Exchan-ge
У меня таких проблем даже на жигулях не было )
Пристегиваюсь на автомате, даже если еду недалеко и небыстро.
В такси — тоже.
Sadler
Если бы двухфакторная аутентификация гугла представляла из себя просто SMS с кодом на телефон, я бы с удовольствием ей пользовался. К сожалению, по факту требуется установка приложения, в отзывах к которому масса негатива, связанного с проблемами входа в аккаунт после переустановки, обновления, утери телефона. Если SIM-карту и номер я могу восстановить у оператора, то в случае привязки к конкретному экземпляру софтины мне придётся дополнительно ещё связываться с техподдержкой гугла и доказывать им, что я не верблюд.
С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.
Sadler
UPD: мне в личку написали, что у меня устаревшая информация. Проверил, действительно, есть двухфакторная и по sms, и уведомлениями android без стороннего приложения. В общем, всё круто, включил.
dartraiden
Вы ведь как-то решаете вопрос с сохранением информации на случай переустановки или утери. Бекапы там, синхронизация с облаком? Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?
Sadler
Google Authenticator предлагается ставить на устройство с android, где никаких бэкапов у меня нет, т.к. никаких важных данных там не хранится. Не уверен, дублируется ли какая-то информация с GA в облако по умолчанию. Пока буду обходиться другими способами двухфакторной аутентификации, без установки софта.
Andrusha
Он на любой смартфон ставится, и даже не смартфон — есть реализации на J2ME, поддержка в KeePass/KeePassX/MacPass, отдельные приложения для ПК...
Iv38
В самом Google Authentificator такая возможность не предусмотрена, в Андроиде без рута тоже.
Доступ можно восстановить, воспользовавшись альтернативным каналом получения одноразовых паролей.
AlexanderS
У меня на каждый сервис пароль из не менее 16 случайных символов. Я это физически помнить не смогу)
Использовать хороший и большой, но одинаковый пароль везде — это еще большее снижение безопасности, т.к. при его компроментации со стороны какого-то одного сервиса под удар подставляется вообще всё.
Sadler
Я использую везде разные пароли от 16 до 30+ символов, но они не случайны, а компонуются по определённой схеме. Если не светить саму схему, то компрометация любого из паролей несущественна.
MiXei4
А если надо сменить пароль, то для этого есть вторая, третья… схемы?
А если скомпрометированы 2 пароля?
Sadler
В схеме есть параметр, определяющий необходимую сложность. Если пароль скомпрометирован, увеличиваем на 1. Из-за этого за десять лет использования схемы некоторые пароли значительно выросли, поэтому мне недавно пришлось модифицировать её и сменить все пароли на всех сайтах.
Iv38
Это известный подход, но нельзя сказать, что он чем-то значительно лучше менеджера паролей. Лучше он разве что тем, что не нужен менеджер паролей, и нет проблем с синхронизацией.
Тут то же самое: вы не помните пароли, вы помните схему их формирования.
Подобная методика имеет ряд известных недостатков перед менеджерами паролей. Например, сложно или невозможно подобрать схему, которая подошла бы сразу под все ограничения всех сервисов. Или невозможно хранить пароли, которые вы не можете формировать сами. Невозможно хранить дополнительную информацию, хотя бы тот же логин. Невозможно хранить более одного пароля для сайта. Если схема формирования пароля не очень сильная, то компрометация одного из паролей может привести к компрометации всех.
В общем, на мой взгляд, такой подход можно использовать в дополнение к менеджеру паролей, а не вместо.
Очень спорно, голова тоже не очень надежное место, особенно для редкоиспользуемых паролей, они просто забываются между использованиями. Парольные менеджеры обычно могут предоставить хорошую криптографию и ту же многофакторность, плюс можно самостоятельно окружить его дополнительными уровнями защиты в зависимости от уровня паранойи и позаботиться о хорошем мастер-пароле.
andrewenka
Если только схему не легко вычислить при знании домена/названия сервиса и пароля для этого сервиса (та самая компроментация какого-то одного сервиса).
А если схему вычислить сложно, то тогда скорее всего сложно и пароль по ней воспроизвести каждый раз, входя в сервис.
Vilgelm
Есть по СМС, но во-первых, это не безопасно (склонировать вашу симкарту стоит в районе 15к руб), во-вторых, если вы окажитесь вне зоны действия сети, то в аккаунт войти не сможете.
Приложение не обязательно использовать именно гугловское, там открытый стандарт, который много кто поддерживает. А ключи можно забэкапить (на бумажку или файлом, если есть рут).
Sadler
Ага, спасибо, я уже распечатал себе список резервных ключей и положил в укромное место.
SimSonic
Шёл вроде бы 2009 год, я поехал в Питер, а денег на счету не хватило для активации роуминга. Пытался пополнить, но единственным вариантом было «получить смс с кодом», чего я сделать не мог. Пришлось просить других людей. Да и сейчас живу в яме, где сигнал сотовой связи время от времени пропадает, если телефон не у окна. По этим причинам очень не люблю, когда для какого-то действия нужно дождаться смс. Понятно, что сейчас есть приложения для подтверждения. Но нет, просто эмоционально 2FA мне не нравится, я считаю что мои пароли уникальны и достаточно безопасны.
DrZlodberg
У знакомых ребят есть дача в относительно ближнем подмосковье, но относительно далеко (километров 5) от крупных населённых пунктов. Есть вполне приличный мобильный инет… На оплату ими чего-ли с карты без слёз взглянешь. Смс то не приходит, то приходит с опозданием на пол-часа… час, когда код уже не валидный. Да, с банком лучше перестраховаться, но при работе с почтой такой мазохизм не оправдан. Ну и с доступом в при дальних разъездах тоже могут быть проблемы да.
Renaissance
Аналогичная ситуация: на работе в моем углу сотовая связь почти не ловит (ирония в том, что в этом же здании располагается радиочастотный центр :D), поэтому получать СМС с двухфакторкой очень неудобно. Приходится тупо выходить из помещения, ждать пока мобильник поймает сигнал, примет СМС и возвращаться обратно.
Еще одна история в копилку минусов двухфакторки: у одного хостера включил, но СМС с кодом не приходило. Обращался к оператору — безрезультатно. В итоге позвонил хостеру, и девушка безо всяких дополнительных вопросов мне просто двухфакторку отключила. Вот она и безопасность…
3aicheg
У меня обычно вообще нет сотового телефона. Есть обычно смартфон без сим-карты, либо планшет без гнезда для таковой вообще. Плюс мобильный интернет. Для всего хватает! Несколько лет был телефон, года полтора назад потерял его, и до сих про ни разу(!) не понадобился. Всякий раз при упоминании всех этих двухфакторных авторизаций как чего-то само собой разумеющегося испытываю сложные противоречивые чувства: с одной стороны, с пониманием отношусь к тому, что никого не заботят ничтожные доли процента таких вот, как я, архозавров-извращенцев; с другой стороны, горите в аду, суки, про Microsoft tax вот любят бухтеть, а на фактический «сотовый налог» чё-то пофиг всем…
Alexeyslav
Трояну, например, насрать на уникальность и сложность пароля. Он его просто утянет как есть. Пароли сейчас наверно нет смысла подбирать прямым перебором, по хешам пароли ломаются быстрее вне зависимости от величины но хеш теперь солят, правда ещё не везде.
kvazimoda24
Если большинство угонщиков аккаунтов действуют по одной схеме, может будет лучше при совершении подобных действий принимать какие-то меры, там лишний раз проверить телефон у пользователя или ещё что-нибудь. А так это похоже на то, что мы знаем, что аккаунт угнали, но делать ничего не будем с этим. Собственно, судя по отзывам и появляющимся даже на гиктаймсе статьям, у Гугла это официальная позиция. Им наплевать на угоны и пользователей. А сейчас у них с одной стороны какая-то дикая параноя, раньше использовал почтовые ящики на gmail, чтобы с серверов уведомления себе присылать, потом, в какой-то момент, уведомления приходить перестали, т.к. Гугл ужесточил какие-то настройки, и надо обязательно проходить доп. проверки, типа номера телефона. Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.
И всё это на фоне того, что люди предоставляют всю мыслимую и немыслимую информацию о своём аккаунте, который угнали, а гугл их шлёт лесом
AlexanderS
Я уже тоже к этому прихожу. А на чём делали?
kvazimoda24
iRedMail
Iv38
В поведении злоумышленника в представленной схеме мало необычного. Самое необычное поведение — удаление только что отправленных писем. Но на этом этапе бить тревогу уже поздновато.
Barnaby
Попробовал включить 2FA, а мне предложили указать телефон и смс или звонок. OTP все?
Dvlbug
Нет. Это на тот случай если будет потерян телефон с программой.
Для аутентификатора Гугла (ОТР), нужно чтобы просто время точное было на телефоне. Если про вход на сервисы Гугл, то даже при утере телефона можно зайти через «список резервных кодов» или смс.
powerman
Нет, это ни на какой-то там случай, это тупо потому, что гугл хочет получить номер Вашего телефона. После ввода и верификации номера телефона открывается возможность использовать вместо номера телефона (звонок/смс) другие методы, включая через приложения для TOTP. А на случай утери телефона/программы — скачиваются одноразовые коды (которые надо положить в менеджер паролей).
Nomad1
Такое можно утверждать только если бы было сказано «менее 0.999(9)%». Ведь даже 1% от 1 млрд (+ 1 человек) уже больше 10 млн, а для «менее 10%» верхняя граница выше 100 млн. Таким образом автор статьи намеренно создает окрас «это бесполезно» имея на руках относительно нейтральные неполные данные.
ivansychev Автор
Речь исключительно в формулировке на странице Google: Google пишет «миллионы», а не «десятки миллионов». Понятно, что менее 10% — это менее 100 млн, но почему-то выбрана именно формулировка с «миллионами». По поводу «бесполезно» — не имел этого ввиду и никоим образом не пытался сформировать такое мнение у читателя.
Nomad1
Я имел в виду, что если все аудитория составляет 1 000 000 001 человек, то промежуток [0%;10%) от этого числа = [0;100 000 000]. А формулировка уже в этом случае выбирается в зависимости от желания маркетолога. Например, есть данные, что «менее 10% населения Австрии имеют высшее образование», но в реальности процент составляет 9.9%, это около 850 тысяч высококлассных специалистов.
solariserj
Лично для меня миллионы означает от 3млн до 1млрд… Формулировка иногда зависит от толщины маркетологов и может гугл немного по другому на это смотрит. Например: Уау!!! Это видео!!! просмотрело более!!! 13500 раз!!! А для гугл на такое даже не обращает внимание.
AlexanderS
1) Нет выбора — сервисом без указания номера телефона просто не начнёшь пользоваться.
2) Корпорация надо все больше и больше данных. Им уже давно мало мой IP и куки. Хотите 2FA? Но вторым фактором может быть контрольное слово, второй почтовый ящик и т.д.
3) Если не приходит SMS — ничего не сделаешь.
4) Наличие уязвимости SS7 не делает защиту абсолютной, как многие полагают в финансовой сфере.
5) Если я меняю номер телефона, то меня ждёт куча геморроя, если у меня нет старого.
Я как-то для одного сайта сделал почту через Яндекс ПДД. Через 5 лет надо было ящик добавить. По бумажкам нашел реквизиты для доступа, но пароль не подошёл. Однако есть ящик почты с которого делали. Но… номера телефона уже давно нет. И всё встало. Вы пробовали когда-нибудь вообще обращаться в саппорт яндекса? Нет ни телефонов, ни почты тематической, форма для техподдержки зарыта где-то в глубинах фака и когда я через неё отправил данные — мне никто не ответил до сих пор. У гугла — аналогичная фигня. С таким подходом и отношением к пользователям — оно и не удивительно, что народ нафиг посылает весь этот геморой.
Я за то, чтобы оставлять контроль и ответственность на стороне пользователя. Есть мои логин/пароль — я сам должен заботиться об их сохранности. Если я сочту нужным включить 2FA — включу, если нет — не буду. Но так, как есть это сейчас — навязывание — так быть не должно.
romxx
> Если не приходит SMS — ничего не сделаешь.
SMS? Вообще-то мне казалось, что основной способ это Google Authentificator App.
AlexanderS
Я имел ввиду SMS.
Но привязка к приложению, которое привязывается к конкретному устройству меня тоже не сильно радует.
Iv38
Но ведь в этом и суть второго фактора — подтвердить владение устройством. А аварийным каналом является СМС или список предварительно сгенерированных одноразовых паролей.
maxwolf
Плюсовать не могу, но горячо поддерживаю. В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду. После продолжительной борьбы с роботами (жалко было бросать такой ящик!) вышел-таки на человека в поддержке, но человек этот, вместо того, чтобы сверить информацию, доступную только реальному владельцу ящика, запросил скан моего паспорта(!), при том, что никаких паспортных данных я 17 лет назад яндексу не давал, и с чем он их собрался сверять — совершенно непонятно. Гугл каждый раз при пересечении границы блокирует доступ по pop3, и шлёт грозные письма «Someone has your password». Хвала аллаху, пока он позволяет вернуть доступ через web, но я просто-таки спинным мозгом чувствую, что скоро эту «вольницу» и они прикроют.
Вообще, расстраивает тенденция железной рукой загонять всех в рай. Сделали новую секурную фичу — предложите её юзеру. Даже сделайте включённой по умолчанию… Но оставьте возможность и выключить! Жизнь — она сложнее любых, наперёд продуманных, схем!
AlexanderS
Вот поэтому я купил себе домен и сделал «свою» почту, которая просто где-то хостится.
Следующий этап, до которого я уже созрел — свой почтовый сервер, возможно в виде решения на своём компе. Во всей этой схеме меня расстраивает только зависимость от домена. Покупка на 1-2 года только, я бы с удовольствем выкупил его лет на 20, как-нибудь юридически это оформить и можно про это направление уверенно забыть или хотя бы не думать )))
powerman
У меня лет 20 свой почтовый сервер дома, и я честно скажу — домен это мелочь. Помимо домена нужен статический IP (причём крайне желательно — не замеченный ранее в рассылке спама), нужен сервер не на винде (и нужно запретить файрволом виндовым машинами в локалке отправлять что-то в инет на порты SMTP) — иначе вирусы рано или поздно начнут спамить с вашего IP, нужно настроить DNS (и не только MX, но и SPF, обратный резолвинг IP и, нередко, ещё кучку всего), и, не смотря на все эти усилия, периодически этот IP всё-равно будет попадать в разные чёрно-серые списки и удаляться из них нужно будет самостоятельно, а крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее. Ну и спам-фильтр тоже свой нужен. Я за столько лет привык, но если бы надо было заниматься всем этим с нуля сейчас — не факт, что я бы на это решился. Из плюсов — посторонним корпорациям сложно читать мою почту или лишить меня доступа к ней (сложно а не невозможно потому, что не шифрованные PGP письма может читать мой провайдер, а лишить доступа можно отобрав домен), ну и я вижу ушло от меня письмо на самом деле, или пока болтается в исходящей очереди qmail.
AlexanderS
Ну, к техническим моментам я готов, в первый раз даже интересно будет) А вот:
это может быть проблемой. У меня сейчас-то некоторые сервесы иногда не принимают мой e-mail, т.е. чисто адрес, наверное, валидацию не проходит «по названию».
AlexanderS
А вы сами всё руками настраивали? Просто вверху вон предлагают iRedMail — я посмотрел, вроде как всё что нужно в одном пакете, вполне по силам.
Andrusha
Есть зоны, где можно купить навсегда, .ro например.
AlexanderS
Слышал. Но там у них вроде правила хитрые, в которых эта «навсегда» может быть и отозвано)
sumanai
Нет такой зоны, где бы не отозвали, кроме разве что .onion или других основанных на криптографии, но они, по понятным причинам, с обычным интернетом взаимодействовать не могут.
read2only
Перестал пользоваться двухфакторной аутентификацией просто потому, что SMS либо не приходили вовсе, либо приходили с неприемлемой задержкой (более 20-30 минут).
Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.
P.S. Для меня лучший менеджер паролей это две маленькие записные книги.
Dvlbug
У брата также была записная книжка, пока он не обзавелся ребёнком :)
AlexanderS
Поэтому надо:
— принудительно изолировать менеджер паролей от интернета (блокировка файрволом, например)
— пользоваться им только на той системе которую делал сам, не запускать и не открывать на чужих
— обязательно шифровать базу паролей и не держать её открытой всё время — ввёл пароль, автоматом через минуту база должна закрыться и отключиться
— не держать менеджер паролей в явном виде на компе — портейбл решение, контейнер TrueCrypt, отдельная флешка, но только как установленное приложение в системе
— использовать только опенсорс решения
Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)
У меня записная книжка в ворде. Раз в год обновляю бумажную версию)
powerman
Просто поставьте KeePass. И не издевайтесь над животинкой, дайте ему доступ в инет — пусть синхронизирует файл с паролями через Dropbox. И получите опенсорс, надёжно зашифрованный файл с паролями, доступ к паролям со всех устройств и всех ОС, автоматический ввод паролей на сайтах, etc. А чтобы не вводить основной пароль на чужих компах — держите KeePass на своём телефоне.
Alcpp
Погуглил «KeePass взлом»
Чуть ли не первая же новость:
«Энтузиаст под ником denandz сумел не только найти способ взлома менеджера паролей KeePass, но и написал специальную утилиту, чтобы любой смог без проблем получить доступ ко всем паролям, хранящимся в KeePass.»
Да, я понимаю, все исправлено уже, но все же…
powerman
Если у вас есть возможность подложить свои выполнимые файлы в каталог — почему просто не запустить кейлоггер, или не подменить сам KeePass.exe на фейк, который запросит пароль, а потом запустит настоящий KeePass.exe?
Давайте не сходить с ума — да, в винде есть проблема с загрузкой dll из текущего каталога вместо системного (в *NIX похожую проблему решили много десятилетий назад убрав
.
из$PATH
), и, насколько мне известно, KeePass под виндой содержит немало специфических для винды механизмов защиты от разных архитектурных недостатков винды, хотя вряд ли они помогают на 100%, но дело вовсе не в этом. Дело в том, что в данный момент ничего более надёжного и при этом доступного обычным пользователям просто не существует (и я сейчас не про конкретное приложение KeePass, а про сам подход — локальное опенсорсное приложение, использующее открытый формат файла и стандартные алгоритмы шифрования, плюс старающееся противодействовать архитектурным дырам в ОС настолько, насколько это получается сделать).Хотите большей безопасности — не используйте винду, для начала… но это беспредметный разговор, потому что абсолютно надёжных систем не существует, и любая попытка значительно увеличить безопасность ещё более значительно вредит юзабилити и доступности решения.
AlexanderS
Да у меня он и стоит. Но только без всяких облаков и прочих «левых» синхронизаций)
sumanai
Синхронизации должны быть «правыми», со своим сервером )
AlexanderS
Нууу… со своим сервером с физическим доступом — это совсем другое дело! )
read2only
У меня накопилось страниц 30 верно, все разделены на разделы — ресурсы, почта, различные сервисы и пр. Не могу сказать, что утомительно, видимо привычка. А одной программе я никогда все пароли не доверю — «Что знают двое, знает и свинья».
powerman
Стороннему сервису вроде LastPass свои пароли доверять, действительно, неблагоразумно. Но программы вроде KeePass совершенно безопасны — код опенсорс, приложение устанавливается на комп/телефон локально, формат файла открытый и простой — а-ля обычный XML зашифрованный AES или что-то в этом духе. Так что использование такой программы для паролей вполне безопасно.
Iv38
У записной книжки недостатков побольше, чем у свободной софтины с надежными алгоритмами шифрования. Ни синхронизации, ни бэкапов, ни шифрования, все вручную. А если ее потерять…
read2only
Все минусы простой записной книжки перечёркиваются двумя плюсами — она физически существует, в двух экземплярах.
AlexanderS
Ну… с таким подходом сложно пользоваться софтом вообще. Нет же гарантий, что пароли не «копит» браузер, почтовая программа, что Windows кейлоггером своей телеметрии тупо не перехватывает ввод их с клавиатуры.
К слову говоря, в менеджере паролей у меня они далеко не все — у меня свой «блокнот» есть в виде Notepad'a, а бумажная версия (распечатка блокнота) обновляется раз в год ;)
read2only
Видимо у нас различный подход. Браузеры «копят» мои пароли только от «обычных» ресурсов — форумы и т.п. Прочие «куки» удаляются после закрытия страниц почты (к примеру). Обновления ОС устанавливаю вручную, стараясь избегать нежелательных с телеметрией и т.п.
Я согласен, всё это эфемерно, для кажущегося спокойствия.
AlexanderS
romxx
Может быть причина в том, что настоящих, живых, реальных пользователей среди этого условного «миллиарда аккаунтов» сильно меньше. У меня у самого суммарно около десятка ящиков на гугле для разных технических нужд и мусорных целей, из них рабочий, реальный только один. И он с 2FA. Так что в моем случае соотношение вполне подтверждается, но совсем не потому, что написано в статье.
diagonal
Я пользуюсь 2-факторной верификацией, причем голосовой.
А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
Боюсь ее потерять.
exformat
Я так то тоже не особо паникую. Но. На некоторые ресурсы захожу только по двухфакторной авторизации. Ибо есть дети и они бывает играют на рабочем ноуте и бывает лень их в их учетку отправлять. Вот тут то и пригождается 2ф ибо без кода от гугла просто не пустит.
alexstup
Это значит что у них много фейковых аккаунтов
larienovich
Как вариант второй фактор авторизации :)
При регистрации клиент придумывает число, скажем это 50
Далее при авторизации клиенту выводится рандомное число, например 26, и клиенту надо ответить на это число (50 — 26 = 24)
Ответ = 24
Так не? Старый связисткий метод опознания свой/чужой...
necr0x
Когда ни один аккаунт имеешь и скажем 2-3 года не требуется этой проверки, то забудешь своё число 99,9%!!!
Iv38
По сути это не второй фактор, а тот же фактор знания, что и пароль. Разве что число от Гугла вы будете получать через СМС, но тогда непонятно зачем эти вычисления, они избыточны.
necr0x
Меня взламывали. Жену бывшую взламывали неоднократно, всё из-за паролей типа «Kiril23052006». Вывод сделал для себя давно — пароли не короче 14 символов, сам набираю или генерирую онлайн, но повторяющиеся буквы, цифры, символы не допускаю. В паролях использую как заглавные, так и строчные буквы, символы всевозможные. Если придумываю пароль сам, то часто заменяю буквы на цифры, например е на 3, и на 1 и так далее. Двухфакторная аутентификация везде где это возможно. И больше ни один мой аккаунт взломан ни разу не был. Двухфакторная аутентификация запрашивается только при попытке залогиниться с нового устройства, если без моего ведома кто-то пытается войти, то на почту получаю IP, время, страну и город. Не напрягает абсолютно, безопасность превыше всего!
Знаете что меня напрягает, облачные хранилища например и подобные онлайн сервисы, где в качестве пароля тебе нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие. Сразу пропадает доверие к подобным сервисам. Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр. Брутфорсу достаточно скормить алфавит и цифры 0-9, взломать пару дедиков с толстым каналом, кинуть ботов и дело в шляпе!
Iv38
И снижаете тем самым энтропию. В идеале пароль должен быть случайной последовательностью и символы могут в нем повторяться сколько влезет.
И в чем проблема? 9 знаков в данном случае это нижняя граница, а не верхняя. Вы можете набрать необходимую энтропию увеличением длины.
necr0x
Любой пароль с букв и цифр легко подбирается брутом, если что. Нюансы опустим.
А тут ещё и известно, что кроме алфавита и цифр от 0 до 9 в пароле ничего и нет…
Iv38
Легко подбирается или нет зависит не только от возможного набора символов, но и от длины пароля. Вы всегда можете скомпенсировать меньший набор большей длиной. В конце концов буквы, цифры и разные знаки существуют только для нас, людей. Для компьютера набор символов ограничится всего двумя — нулем и единицей, разница будет только в длине.
Уж как-то и неприлично в очередной раз вставлять эту картинку:
Рэндел даже потрудился прикинуть сколько времени придется подбирать пароли этим самым брутфорсом.
Iamkaant
Часто вижу этот стрип, и вроде все правильно, но есть один нюанс. Если атакующий знает, что пароль – это набор слов, то энтропия там сильно поменьше будет. И все совсем не так впечатляюще, как на картинке.
osipov_dv
А вы слова целиком не берите, а используйте только несколько последовательных букв. И не обязательно первых… Можно взять 3 первых из первого слова, 3 следующих из второго и т.п. Главное здесь это фантазия
Iamkaant
Этот подход фактически не отличается от начального «трубадура». Да, так пароль будет длиннее, зато он будет состоять только из букв латиницы.
trimtomato
Не, не уменьшиться, за счет большого количества слов. Есть такая система выбора пароля которая обычно идет рядом с этой картинкой — Diceware.
Даже если вы будете знать, что я случайно выбрал четыре слова из словаря в 7776 слов — это даст 64 бита энтропии. Это даже больше чем на картинке.
Iv38
Кстати, еще про брутфорс. Если злоумышленник не завладел хэшем пароля и одновременно солью к нему, а просто перебирает варианты на сайте через вэб, то он будет сильно ограничен в скорости перебора независимо от того какими вычислительными мощностями обладает. Если же программисты еще и озаботились защитой от перебора (искусственно замедлить ответ, прогрессивно увеличивать задержки, требовать ввод каптчи после нескольких неудачных попыток), то даже поиск короткого пароля может стать невероятно долгим и дорогим, а пользователь может быть оповещен об атаке.
necr0x
По поводу менеджера паролей… У меня на MEGA аккаунт бесплатный на 50 гигов, на ПК программа синхронизации установлена и в USB флешка вставлена на 64 гига «CRUZER BLADE USB FLASH DRIVE» от SanDisc, а у них для своих флешек есть приложение шифрования «SANDISK SECURE ACCESS®». Так вот все пароли хранятся в упорядоченном текстовом файле на флешке под шифрованием этого приложения, даже если я её потеряю, никто не сможет получить доступ к содержимому, ну а если она крякнется однажды, то само приложение шифрования синхронизируется через сервис MEGA и на сервисе я не храню запрещённый контент, чтобы однажды не заблокировали аккаунт. Пароль от сервиса MEGA и от SANDISK SECURE ACCESS® один и тот же, чтобы не запутаться, он не записан ни где, он сложный и он хранится в моей голове. Никакие другие пароли мне запоминать не нужно, это как мастер-пароль. Удобно и безопасно! Никаким менеджерам паролей я не доверяю и никогда на это не подпишусь!
И ещё больше треша от Гугл. У меня от почты был забыт сложный пароль давно уже, года три назад, прикол в том, что на ПК стоит портативный The Bat и почтой я пользуюсь без проблем (кстати, может кто-то подскажет как из него вырвать мой пароль?), но вот при попытке восстановить пароль, Гугл просит кучу старой, давно забытой информации. Ну и 5 последних писем отправленных, с этим проблем нет. Но они проверяют всю инфу в сумме. В общем через браузер мне на почту не попасть, но уже 3 года принимаю и отправляю через The Bat на ПК. Всё бы ничего, но некоторые письма нужные в спам папку ушли, а на ПК эту папку не показывает… Идиоты они там 90%е!
Iv38
Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.
Чем по вашему этот самый SANDISK SECURE ACCESS безопаснее чем KeePass, например? Это закрытое коммерческое ПО, вы ничего о нем не знаете. Сочетание шифровалки флешки с блокнотом дает вам какое-то подобие менеджера паролей, но лишает дополнительных фич, в том числе и в области безопасности, например защиты паролей в памяти. Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.
Вам бы серьезнее все обдумать, ваши меры избыточно сложны, но не добавляют безопасности.
necr0x
Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…
Слава программе MalwareBytes Premium за 40 евро в год. Уже 3 года у меня и я честно сказать позабыл что такое рекламное ПО, навязчивое ПО и вирусы в программах с опасными сайтами. И систему не нагружает и ничего не пропускает! В отличие от разных дорогих антивирусов, уже не говоря о бесплатных. У меня с безопасностью всё хорошо!
Iv38
Если вы используете метод защиты «неуловимый джо», то почему не используете просто LastPass?
Отлично, еще и сомнительный антивирус в качестве гарантий безопасности. У вас плохо все с безопасностью, только ее видимость. Театр безопасности расслабляет и снижает безопасность еще сильнее.
necr0x
Ну да, возьмём например любой софт от Майл.Ру — Ваш отечественный/зарубежный/платный/бесплатный/известный/малоизвестный антивирус что делает? — НИЧЕГО :) А эта программа наглухо фильтрует весь рекламный приаттаченный софт, блокирует его и кидает в карантин, но сам софт от этой корпорации работает исправно и ничего нигде не выскакивает! Я уже не буду говорить о вирусах. Всё проверено, там где ваш известный софт обсирается, мой софт блокирует!
Iv38
Это заблуждение. Нет надежных антивирусов и быть не может. Слепо полагаться на него опасно. Тем более антивирус сам по себе программа с величайшими привилегиями в системе. Почему ему можно доверять, а менеджеру паролей — нет?
necr0x
Ну при таком раскладе лучше не пользоваться интернетом в принципе.
sumanai
При таком раскладе нужно настраивать SRP или Applocker, если вы на Windows. Вашими словами
SRP зарежет это всё, в отличии от вашего антивируса.
necr0x
Весь вред от Майл.Ру приложений, это сопутствующий при установке PUP софт, конечно там есть галочки, которые можно поснимать, но мало кто это делает (чаще всего). Malwarebytes позволяет не снимая никаких галочек, при установке софта от Майл.Ру или любого другого софта с наличием приаттаченых к файлу установки PUP приложений, установить целевое приложение без вреда для системы и работоспособности этого приложения. Все PUP приложения блокируются и заносятся в карантин ещё при начале установки целевого приложения. Система не подвергается никакому риску. Вы бы все прежде чем наезжать, узнали бы что это такое и поспрашивали знакомых, кто уже ставил. Я ничего лучше не знаю! А можно подробней про SRP и как это работает?
sumanai
Сначала поясните, зачем это вообще может потребоваться устанавливать.
Я прекрасно знаю, что такое антивирус.
Просто до безобразия- блокировка запуска любого софта кроме белого списка, по умолчанию всё что лежит в Program Files и системных каталогах. То есть без разницы, вирус это, шифровальщик, аська от мейлру- всё при попытке запуска выдаст «Невозможно открыть данную программу из-за политики ...» и т.д. Система практически полностью защищена от вирусов, шифровальщиков и шаловливых ручек, при никакой дополнительной нагрузке.
powerman
Ну, я ставил чтобы получить акционный терабайт. Ставил не глядя, со всеми галочками — ради терабайта не жалко! Правда, это была виртуалка, которая сразу после этого была откачена на предыдущий снимок, до состояния когда всё это ещё даже не скачивалось.
Andrusha
jib
Свойства почтового ящика, транспорт, журнал протоколов, включить.
Rohan66
Вот что-то я недопонял. Есть у меня гугловская поста на телефоне. Она требует пароль. И подтверждение по СМС приходит на этот же телефон. И где здесь двухфакторная авторизация? Скорее уж двухэтапная.
necr0x
По сути это одно и то же, что двухфакторная. Называть можно и так и так.
Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.
Просто Гугл трактует это как:
WraithOW
Нет, это разные вещи. Вот тут неплохо расписано http://www.outsidethebox.ms/18372/
Iv38
Двухфакторная аутентификация здесь в том, что даже в этом случае злоумышленнику нужно владеть двумя факторами: владеть телефоном и знать пароль.
WraithOW
Нет, ему достаточно узнать содержимое СМС. Например, дав денег сотруднику какого-нибудь салона связи и перевыпустив вашу сим-карту, таких историй навалом.
Фактор остается тем же, просто добавляется шаг. Так что это 2SV.
catharsis
Но пароль так он все равно не узнает
WraithOW
А я этого и не утверждал. Речь о том, что смс-код относиться к той же категории «что я знаю», а не «чем я владею», в отличии от брелка-аутентификатора, например. Поэтому фактор один («что я знаю»), а в нем — два шага, на которых надо ввести. Я чуть выше скидывал ссылку.
semmaxim
В своё время Dropbox при попытке входа через двухфакторную авторизацию просто не присылала SMS. Вообще ничего не было. Я потерял весь доступ к своим файлам. Хорошо, что откопал комп, на котором был давно настроен аккаунт и смог через него войти в профиль и отключить эту двухфакторность.
redpax
Начал пользоваться очень активно, имкю более 30 сервисов на которые звхожц постоянно и на которых включена двухфакторка от гугл.
Параноики которые боятся двухфакторги от гугла, могут скомпилировать свою программу и пользоваться ей или же пользоваться простеньким ява скриптом работающим онлайн например таким http://live4sharing.com
diagonal
Я пользуюсь 2-факторной верификацией, причем голосовой.
А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
Боюсь ее потерять.
Alexeyslav
Надо использовать две книжки — в каждой из них только половина пароля. Вторую половину, впрочем, можно и запоминать… или вводить в пароли намеренные искажения которые достаточно легко исправить. Тогда проверка «влоб» не прокатит, и решат что пароли не действующие.
Кстати, как вариант — разработать собственный алфавит…
diagonal
Эти идеи хороши, но они против кражи книжки.
Но я больше боюсь потерять ее.
После чтения комментариев я поняла, что нужно иметь 2 книжки с половинами паролей, и каждую в 2 экземплярах, чтоб не потерять.
Ну, и не забывать обновлять их.
Ugrum
И тут, внезапно, теряются две книжки с первыми половинами паролей :))
Exchan-ge
А почему в опросе нет пункта: «Я не имею учетной записи Google»?
Возможно — это самый эффективный способ защиты от утечки информации.
Alexsey
Только если вместо google вы не пользуетесь другими сервисами. Потому что вполне возможно что среди всех компаний у гугла защита пользовательских данных наиболее серьезная. Но это лично мое мнение, которое не подкреплено никакими фактами.
Exchan-ge
У других сервисов лучше с защитой (той же двухфакторной аутентификацией) и они не столь навязчивы.
Кроме того, шансы на то, что злоумышленники разработают методику взлома аккаунтов именно пользователей Google — выше (аналогия с вирусописателями), обратная сторона популярности.
sumanai
Я воздержался от голосования.
Iv38
Результаты опроса на ГТ удивительны. 2ФА пользуются больше людей, чем парольными менеджерами?
Alcpp
А что если я к примеру уехал на месяц в Индонезию с одним телефоном и двухфакторкой на нем и потерял его там (частая история).
Код с двухфакторкой на бумажке, никто с собой не таскает понятное дело.
Это получается в почту я зайду только когда вернусь домой и сделаю симку?
AEP
Google дает привязать более одного номера. Сразу по прибытии вы же все равно купите местную симку — вот и укажите ее номер как запасной.
catharsis
Родственники на домашний телефон получат звонок и запишут для вас код
dendron
Не пользуюсь авторизацией через мобильный телефон, потому что это деанонимизация, о необходимости которой так давно говорит наше государство.
Сейчас Гугль на требования властей отдаст лишь ваше имя пользователя и неверифицированные (а значит потенциально подложные) ФИО, ну и ip с которых входили в ящик. Всё это юридически не доказывает принадлежность ящика вам. А вот номер мобильного телефона — всё, сушите сухари.
Уверен после само-переназначения 2018 мы в скором времени увидим обязательное требование верификации «персональных данных» (почему-то принадлежащих государству, а не человеку) для любых интернет сервисов. Конечно же для нашей «безопасности» и «борьбы с террористами», шатающих скрепы.
KOLANICH
Двухфакторная аутентификация имеет grave bugи.
1 Потерял досуп ко второму фактору — потерял доступ к аккаунту навсегда. Вы же знаете: у гугла нет и не может быть при такой огромной аудитории техподдержки, даже если пользователь будет согласен предъявить паспорт, отпечки пальцев, результат колоноскопии и ЭЭГ с вживлённых в мозг электродов, это не поможет. У гитхаба техподдержка есть, но как они собираются вернуть аккаунт при идентификации личности — загадка. В Штаты что ли для этого лично ехать? Как онп убедятся, что аккаунт действительно принадлежит этой личности? Или они на полицию надеятся, что они посадят того, чей паспорт предъявили, и что это будет достаточным препятствием?
2 Гугл и мейлру требуют привязку телефона.
3 Взламывают аккаунты обычно через секретный вопрос, а не через пароль, если пароль надёжный. В качестве любимой еды у многих — борщ (а в истаграме фотка — чел в кафешке кушает борщ), а в качестве девичьей фамилии матери — Иванова, а в качестве клички домашнего животного — кличка, засвеченная в соцсети под фоткой «ПаСмАтРиТе На БаРсИкА !111». Ответ на секретный вопрос должен быть рандомным.
4 миниальные требования к паролям — «должно быть столько то цифр и такая-то длина» — это snake oil.
Nubus
Цифры против словарных брутфорсов. Длина-против простейших брутфорсов. Это не snake oil, это наследие когда капчами и прочими методами не ограждали входы в аккаунты.
vsespb
ничего подобного. на случай потери TOTP приложения есть одноразовые коды, бэкап ключа TOTP приложения на бумаге и смс.
firk
Некоторые до сих пор не понимают, что большинству пользователей всех этих сервисов их безопасность настолько не важна (и обоснованно), что даже минимальное затруднение для её повышения будет ими закономерно отвергнуто. То же самое касается и паролей типа 123123. Даже если не брать в расчёт одноразовые аккаунты (которых, несомненно, значительная доля, если только там не стоит какая-то специальная эвристика против них), большинству людей практически наплевать на возможность того, что их почтовый аккаунт украдут. Ну украдут — пофиг, новый зарегистрируют, никаких проблем, всё равно ничего важного там обычно нет и, даже если он не одноразовый, используется он в примерно таком же режиме.
TheOleg
Использую везде 3 пароля, по одному для совсем левых сайтов, для обычных и для важных. При этом знаю, что первые два пароля давно слиты в сеть.
Для важных сайтов привязал 2FA. Если взломают на левых сайтах, то там ничего нет, если на важных, то телефон защитит.
AndreyYu
Всегда всем включаю 2FA везде.
Т.к. authenticator работает с привязкой к устройству, то в случае потери или кражи анонимно на пэйтбин выложены резервные коды без лишней информации в случае чего ссылка открывается и доступ без проблем получается. Чтобы легче было запомнить ссылку сделан редирект с поддомена аккурат на пэйстбин (или другие варианты)
Sevensenn
Я не пользовался 2FA пока у меня не увели аккаунт.
Я не пользовался менеджером паролей пока не забыл пароль от аккаунта. Восстановить его не смог, ибо забыл пароль от почты и не имел доступа к мобильному телефону, который был указан.
Как бонус: я не пользовался облачным хранилищем фотографий пока не сломалась флешка в телефоне. Восстановить 1500 фотографий восстановить предложили за +-24к рублей (в трех разных сервисах)
P.S. Доверяю свои данные Apple и Google
BlackSCORPION
Слово в защиту мененджера паролей: самые надежные пароли это сгенерированные пароли, которые регулярно меняются. Каждый день где то что то ломают, сливают данные, и заинтересованные люди их хранят. Во времена технологий БигДата и машинного обучения проанализировать эти данные не проблема. HumanFriendly пароли раскрывают Вас, ваши паттерны, мышление, предпочтения. Даже одного пароля достаточно чтобы составить словарь и забрутфорсить алгоритм составления паролей на одном из богом забытых сайтов где вы когда то регистрировались.
igorb4
Что за бред: «поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет.» ???
ivansychev Автор
Бе?би-бум[1] (англ. baby boom) — компенсационное увеличение рождаемости в конце 1940-х — начале 1950-х годов.
igorb4
2018-1950=68, 2018-1940=78.
ilyaska
1passwod умеет хорошо и удобно выдавать 2фа ключи
sbh
Вечная дилемма: безопасно или удобно.
viloncool
Спасибо за статью! Раньше и не подозревал о существовании у гугла двухфакторной аутентификации, теперь активировал и сплю спокойно.
Murimonai
Не понимаю я этой страсти к парольным менеджерам. Сама идея доверить все пароли одной софтине напоминает мне корзинку с яйцами из известной пословицы.
powerman
Зависит от софтины. В случае KeePass — софтина опенсорсная, формат файла с паролями открытый, если не путаю — алгоритм шифрования AES, внутри XML. Есть несколько реализаций, в т.ч. под разные платформы, плюс чуть ли не библиотеки для разных языков программирования для чтения базы KeePass. В общем, как бы ни сломалось конкретное приложение KeePass под конкретной OS — доступ к своим паролям Вы не потеряете.
saskasa
Может ли кто-то объяснить чем отличается соединение по imap при включенной на аккаунте 2FA и с выключенной?
Т.к. сам по себе imap такую проверку не поддерживает (на сколько мне известно), то первое что пришло мне в голову, что при включении 2FA, imap перестанет работать. Но imap после включение 2fa работает как и раньше.
Сейчас я думаю что гугл при аутентификациях в аккаунт запоминает ip и разрешает imap-соединение с таких ip. На сколько правильно такое суждение?
Armozlo
включал 2фа — в итоге так и не смог настроить внешний почтовик на корректную работу с мылом. отключил.
Tetrodotoxin
Купил недавно U2F ключ (на самом деле 2 — для бэкапа). А тут как-раз Firefox их поддержку добавил. Ну, думаю — теперь заживём. Банки начнут поддерживать, госуслуги :-) Привяжу где смогу.
Однако, как оказалось, FIDO U2F уже не модно. За столько лет так и не взлетел.
Теперь не торопясь пилят новый стандарт Web Authentication twitter.com/jamespugjones/status/931324766782332928
Такое ощущение что надёжная аутентификация никому (читай правительствам и корпорациям) не нужна, кроме гиков-фриков.
zzmaster
А меня вообще бесит, когда я создаю какой-нибудь мусорный аккаунт, в Гугле ли, в Яндексе или Фейбуке и от меня требуют мер безопсности, уместных для банковских операций. Позвольте мне самому определять, нужно ли блокировать мой аккаунт пока я не вышлю фотку, подтверждение с телефона (реальный случай с мордокнигой) и проч. или меня устраивает пароль 123 и чтоб никаких блокировок!
sumanai
Понимаете, они позволяют пользоваться своими сервисами не просто так, а в обмен на ваши персональные данные и клики по рекламе. Поэтому им нет резона держать фейковые аккаунты.
rexen
Иногда привязка к СМС/SIM просто выбешивает. Иногда даже три раза подряд:
Приезжаю тут к родне в Донецк.
Сюрприз первый — через месяц вырубился роуминг Мегафона и моя российская СМС-ка стала «тыквой»… А там привязка к вебманям, Авито и т.п…
Ладно, помучался, но как-то пережил. Перепривязал к другому оператору.
Второй сюрприз — через несколько месяцев симка того второго оператора просто молча сдохла, потомучто деньги на ней кончились, а я думал, что она в «read-only» режиме год может функционировать.
Хрен с ним — второй раз нудная переписка с саппортом вебманей…
И тут недавно те же грабли в третий раз — ложится последний украинский ОпСос, действовавший в Донецке… А местный сотовый оператор работает замкнуто внутри ДНР.
Занавес.
PS: Случай исключительный, да, но осадочек-то у меня всё-равно остался от таких жёстких «аутентификаций».
PPS: Не пишите про внешние ключи для WM и прочие советы — это уже освоено, но после собственных шишек.
sumanai
Такого нигде практически нет, даже с деньгами симки блочат через в среднем 3 месяца и отбирают номер.
rexen
Ну вот какраз Vodafone, которому в январе перебили оптокабель на линии соприкосновения всегда по USSD-отчёту об остатке средств приписывал, что СИМка действует целый год после последнего списания/пополнения.
И у меня почему-то возник стереотип, что у всех операторов так. А на самом деле по-разному бывает.
sumanai
Ну, я имел в виду Россию.