За семь лет, которые прошли с момента включения Google двухфакторной аутентификации, менее 10% из более чем миллиарда пользователей начали ей пользоваться.

image

Гжежож Милка (Grzegorz Milka), программный инженер Google

На странице Google, посвящённой двухфакторной аутентификации в сервисах компании, пользователей встречает надпись «Миллионы пользователей уже защитили свой аккаунт с помощью двухэтапной аутентификации. Присоединяйтесь!». Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.

На конференции по информационной безопасности Usenix's Enigma 2018 программный инженер Google Гжежож Милка (Grzegorz Milka) рассказал, что менее 10% пользователей выбрали двухфакторную аутентификацию в сервисы Google, и всего 12% американцев используют менеджер паролей.

В теории, Google могла бы подключить двухфакторную аутентификацию всем пользователям сразу, вместо них позаботившись о безопасности аккаунтов. На вопрос, почему компания этого не сделала, Milka на конференции ответил «Вопрос в юзабилити. В том, как много людей перестанут пользоваться нашими сервисами, если мы заставим их использовать дополнительные инструменты безопасности».

image

После проникновения в аккаунт в Google мошенники используют один и тот же сценарий. Сперва отключают уведомления, затем ищут нужную им информацию — в том числе данные банковских карт, личные фото, информацию, связанную с криптовалютными кошельками, копируют список контактов и «стирают» за собой все следы.

Как видно на слайде ниже, всё работа по получению информации и очистке ящика от каких-либо следов мошенничества занимает четверть часа.

image

В 2016 году в Великобритании и США провели опрос 4000 человек на тему сложности и количества используемых паролей, «угона» аккаунтов и использования двухфакторной аутентификации. Оказалось, что наиболее внимательно к безопасности относится поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет. Они реже других используют один пароль для всех аккаунтов и чаще используют двухфакторную аутентификацию.

Комментарии (215)


  1. aik
    21.01.2018 16:53
    +1

    Я не пользуюсь двухфакторной аутентификацией, потому что это неудобно.


    1. thauquoo
      21.01.2018 18:06
      +1

      Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству. И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.
      Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.


      1. AlexanderS
        21.01.2018 18:22

        Причём это сделать проще, чем отправлять SMS и по идее с этого стоило бы начинать, предоставляя пользователю в будущем выбор )


        1. nickName0
          22.01.2018 11:01

          А к SMS-переписке, кстати, можно получить доступ и через оператора сотовой связи
          (у них ведутся журналы, подробнее — см. СОРМ-3).


      1. aik
        21.01.2018 18:33

        Мне вообще не нравится привязка ко второму устройству. Могли бы, к примеру, какой-нибудь графический код придумать в пару к паролю — картинку там заранее заданную показывать или что-то подобное.


        1. Iv38
          21.01.2018 20:33

          Тогда это по сути перестанет быть двухфакторной аутентификацией, ведь в обоих случаях используется один и тот же фактор «знания» просто в немного разной форме.


          1. aik
            21.01.2018 21:03

            Но разные «знания». Если пароль можно кейлоггером утащить, то графический ключ уже не так просто увести. Ну или действительно присылать код на вторую почту или в аську ту же (ну или любой другой мессенджер).


        1. nickName0
          22.01.2018 11:05

          Есть приложение, например Google Authenticator,
          что осложняет доступ другого пользователя к вашим данным.


          1. zenkz
            22.01.2018 17:48

            Не только другим пользователям, но и вам. Если вдруг понадобилось зайти проверить почту, а телефон забыли дома или его украли…


            1. nickName0
              22.01.2018 19:27

              Если так смотреть, то и замкИ на дверях — это усложнение
              (а сколько времени потеряно, если забыл/{взял не тот} ключ)?

              Несколько раз помогал подключать и настраивать 2FA, разным людям.

              Зато 2FA — это гарантия, что без особых ухищрений
              (как то: доступ к отправляемым Вам сообщениям;
              речь о ваших затратах на эту доп.защиту),
              никто не «залезет» в ваш ящик
              (а если и попробует, Вы об этом узнаете, получив сообщение с кодом подтверждения).

              Узнать пароль можно, например, через троянца (на скомпрометированной системе),
              или через незакрытую дыру в настройках вашего аккаунта/(используемого софта).

              Если Вы признаёте замки на дверях (в т.ч. продублированные/усиленные), то должны понимать, что 2FA работает на Вас.

              Да, впринципе, лучше иметь несколько разных ящиков, для разных целей.

              Насчёт потери телефона (нет его рядом, когда нужен):
              виноват тот, кто не подумал об этом.

              Чем проще система, тем меньше её стойкость (чаще всего) ко взлому.
              Всё просто :)


              1. firk
                22.01.2018 21:53

                > Если так смотреть, то и замкИ на дверях — это усложнение

                Только вот 2FA на почте — как замок на туалете, для большинства. Вроде бы и хочется иметь возможность запереть, но не настолько важно чтобы из-за этого терпеть неприятности из-за забытого ключа. Поэтому запирается на защёлку и не более того.


                1. nickName0
                  22.01.2018 22:04

                  И почта разная бывает:
                  для аккаунта, куда привязаны кошельки (напр-р, криптовалют):
                  поверьте, если у Вас «угонят» такой ящик, Вы радикально измените взгляды на 2FA :),
                  и самый общий, для всего не очень важного.


      1. yokotoka
        21.01.2018 19:16

        Использую для всех TOTP (в том числе гуггл) приложение Authenticator Plus с синхронизацией через Dropbox. С одного устройства добавил — на всех появилось. Очень удобно.


        1. vsespb
          22.01.2018 10:56

          осталось только скомпрометировать ваш дропбокс


          1. nickName0
            22.01.2018 11:06

            +1


          1. ProRunner
            22.01.2018 14:52

            У меня подобная схема, дропбокс также защищен 2FA через смс. Для и утечка бэкапа Authenticator Plus не страшна — она зашифрована мастер-паролем.


        1. ilyakos
          22.01.2018 13:29

          Что-то вообще непонятно, кто разработчик этого приложения. Ну и правила использования еще более мутные.


      1. stardust1
        21.01.2018 19:30

        или к конкретному устройству


        Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.

        И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.


        Если это ваша основная почта, то они эти данные наверное и так имеют.


        1. thauquoo
          22.01.2018 10:46

          Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.
          Я бы больше доверял своему домашнему серверу.

          Если это ваша основная почта, то они эти данные наверное и так имеют.
          Нет, основная почта у меня на Kolab, на публичных сервисах вроде GMail — только для рассылок, некоторых регистраций на сайтах, и иногда общение с шифрованием GPG.


        1. thauquoo
          22.01.2018 11:14

          Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.

          Я бы больше доверял своему домашнему серверу.


          Если это ваша основная почта, то они эти данные наверное и так имеют.

          Нет, основная почта у меня на Kolab, на публичных сервисах вроде GMail — только для рассылок, некоторых регистраций на сайтах, и иногда общение с шифрованием GPG.


          1. ilyakos
            22.01.2018 13:30

            Ага, WD Cloud c их специальными паролями для d-link


            1. thauquoo
              22.01.2018 19:35

              Нет, я не имел ввиду WD Cloud, использующие проприетарную My Cloud OS. Это вообще плохой пример, когда мы говорим о приватности.


              Я больше доверяю домашнему серверу на основе любого популярного свободного дистрибутива Linux или *BSD.


              1. ilyakos
                23.01.2018 10:56

                У меня просто Wd Cloud и я до сих пор бешусь от той истории с паролями… Но работает для моего кейса использования хорошо и теперь только локально (надеюсь с настройками они не врут). По поводу любого свободного дистрибутива — я бы предпочел лучше платный, но с надежными и быстрыми обновлениями. Не доверяю я ничему бесплатному. За хороший продукт надо платить — иначе получается и спрашить не с кого. Если продукт не выдержал эксплуатации и имеет дыры — голосую кошельком в пользу другого. Но это личное мнение конечно.


                1. Meklon
                  24.01.2018 19:26

                  Red Hat Enterprise Linux?)


      1. Barnaby
        21.01.2018 22:08

        Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству.

        Просто с TOTP нет привязки, я на нескольких сервисах так freeOTP использую. Но гугл как выяснилось не дает включить 2FA без привязки к номеру, а потом еще удивляется что его никто не использует.


        1. powerman
          21.01.2018 23:47

          Именно! Я использую Google Authenticator (тоже TOTP) на других сайтах, и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона. Так что в этом плане они ССЗБ, слишком хамски-требовательно собирают личные данные.


          1. profesor08
            22.01.2018 09:59

            Вот вы свой номер пораздовали всем своим друзьям, у кого-то телефон на адндроиде, и наверняка есть синхронизация контактов с аккаунтом гугла. Получается независимо от вашего желания, ваш номер уже известен корпорации.


            1. powerman
              22.01.2018 10:22

              Это, безусловно, огорчительно, но я могу контролировать только то, что я могу контролировать. Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email и IP. На самом деле мой номер, безусловно, есть у гугла и так — я использую Google Play. Но для регистрации в Google Play использован отдельный email, который используется только для телефона. В общем, делаю что могу, чтобы не упрощать им жизнь. На самом деле, при сильном желании, гугл сможет увязать вместе все мои телефоны и email-ы, не всё автоматически, и не всё со 100% уверенностью, но сможет — но я сомневаюсь, что кто-то там будет этим заниматься сейчас, когда абсолютное большинство людей сами добровольно отдают всю эту инфу.


              1. sptor
                22.01.2018 10:36

                Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email

                Я бы не был так уверен в этом. У многих в контактах, на смарте по крайней мере, пишется и мэйл, причем обычно таки основной — если он известен.


                1. powerman
                  22.01.2018 10:51

                  Я в этом уверен, потому что во-первых знаю, с кем общаюсь по email и как у них настроена почта, а во-вторых потому, что у меня основной email на своём домене, а вовсе не на gmail, так что даже если кто-то и указал email к моему телефону, то не gmail-овский, так что это практически ничего не даст (примерно ту же инфу можно найти у меня на сайте и в публичном резюме).


                  Суть не в том, чтобы от кого-то скрываться, а в том, что я готов сообщать свои личные данные только в обмен на что-то, что нужно лично мне — например, свой сайт и публичное резюме мне нужны, чтобы получать хорошую работу. А когда из меня пытаются требовательно вытягивать излишние (для функционирования нужного мне сервиса) личные данные, на пустом месте, не давая ничего взамен — я это воспринимаю как хамство и, по мере сил, сопротивляюсь.


                  Возвращаясь к теме статьи, про двухфакторную авторизацию, суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP), и она не требует знания номера телефона. Но гугл требует сообщить ему номер телефона и без этого не даёт включить двухфакторку через TOTP. Это — наглое вымогательство, и я лично этому потакать не собираюсь.


                  1. nickName0
                    22.01.2018 11:19

                    суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP)
                    — Речь, как понимаю, о том, что именно номер телефона абонента — это не есть тот номер, по которому сеть (сотовой связи) обеспечивает абонента связью. Абонентский номер — нужен лишь для людей (чтобы могли связаться).

                    Это — наглое вымогательство, и я лично этому потакать не собираюсь.
                    — Теоретически — согласен. Практически-же — имею больше плюсов, чем минусов, от той-же 2FA.


                  1. profesor08
                    25.01.2018 00:31

                    Суть в том, что вы хотите пользоваться сервисами гугла, и ничего не давать в замен. Причины понятны, гугл настолько приелся уже, его сервисы как само собой разумеющееся, стали частью нашей жизни. Но существование этих сервисов обеспечивается рекламой, цель рекламы — продавать, чтоб продавать хорошо, надо знать что пользователю нужно, для этого нужно иметь как можно больше информации о пользователе.


                    1. powerman
                      25.01.2018 04:22

                      В большинстве случаев Вы были бы правы, но в моём случае — это не совсем так.


                      Лично я из всех сервисов гугла реально пользуюсь только Play Market-ом, потому что мне кажется (возможно — зря, я из альтернатив использую только F-Droid, другие даже не смотрел пока), что в других маркетах нет нужных мне приложений (широкого выбора игр, в первую очередь, и некоторых платных приложений) и даже такого поверхностного контроля вредоносных приложений как в гугле.
                      Почтой гугла я практически не пользуюсь — у меня есть несколько аккаунтов, но используются они исключительно через POP3, а не веб-интерфейс gmail, так что в гугле они или любом другом сервисе — для меня не имеет значения, где исторически открыл аккаунт там и живёт.
                      Поиском не пользуюсь — предпочитаю duckduckgo.
                      Документами не пользуюсь — предпочитаю paper.dropbox.
                      Диском не пользуюсь — предпочитаю dropbox и акционный терабайт в mail.ru (должна же быть от mail.ru хоть какая-то польза) через webdav.


                      Отдельно я иногда вынужден пользоваться почтой/документами/диском гугла потому что этого требует компания, на которую я в данный момент работаю — но для меня это не является поводом делиться персональными данными с гуглом, на самом деле я для таких рабочих вещей тупо завёл отдельный телефон с отдельной симкой — если компания хочет отдавать свои данные гуглу, это её право, я возражать не стану и буду рабочие документы держать в гугле, но только рабочие, а не личные.


                      Ну и последнее, что касается рекламы — даже если я вообще все личные данные передам гуглу это никак не повлияет на его доходы и ту рекламу, которую я вижу — потому что последний раз я рекламу в инете видел лет 15 назад, примерно когда стали популярны анимированные баннеры — с тех пор всё заблокировано намертво, и на компе и на телефоне.


                      1. powerman
                        25.01.2018 09:42

                        Перечитал сейчас этот коммент, и увидел любопытную закономерность — в том, что из меня получился такой вот "невыгодный" пользователь виноваты сами рекламодатели и компании:


                        • Агрессивно блокировать рекламу я начал только после того, как она стала анимированной/popup/popunder и начала мешать читать основной контент сайта.
                        • К gmail я относился вполне дружелюбно в то время, когда они обещали "вот-вот" реализовать поддержку PGP. Как только стало ясно, что читать наши письма для гугла важнее, чем обеспечить безопасность переписки, и что PGP там не будет никогда (или будет, но с ключами у них на сервере, а не у меня в браузере) — я перестал воспринимать gmail как полезный сервис.
                        • Я, вообще-то, к акциям равнодушен, и никогда ничего не делаю только потому, что мне сделали "выгодное" предложение — с зарплатой программиста можно позволить себе не гоняться за скидками и не экономить каждую копейку. Терабайт в облаке mailru был первой акцией, на которую я среагировал — и причина была вовсе не в том, что мне нужен этот терабайт, а в том, что они слишком нагло требовали установки своего говнософта с сильно подмоченной репутацией. Так что я из принципа поставил его в виртуалке, состояние которой после этого вернул на снимок сделанный до установки как только выполнил условия акции. А когда они (ожидаемо) отключили "бета" поддержку webdav, чтобы без их софта этим терабайтом пользоваться стало невозможно — поставил стороннюю утилиту работающую как webdav-прокси в их протокол.

                        Я понимаю, что реклама нужна, что бедным компаниям нужно получать прибыль… просто помимо денег надо иметь ещё и совесть! И вот с последним у них проблема. Пока это не изменится — не надо рассказывать мне какой бессовестный я, что лишаю компании их "недополученной прибыли".


                1. nickName0
                  22.01.2018 11:10

                  +1


          1. rogoz
            22.01.2018 12:22

            и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона.

            Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
            как выглядит в настройках

            Телефона нигде нет, специально проверил.


      1. lonelymyp
        22.01.2018 10:19

        Вы серьёзно считаете что гугл и остальные корпорации ещё не знают ваш номер телефона?

        Ваш номер с ФИО засветился у гугла давным давно, когда кто-то из ваших знакомых синхронизировал свой андроид, вы могла этого человека вобще один раз в жизни видеть, это мог быть банально сантехник из жека которого вы просили позвонить и оставили свой номер.

        Гугл даже знает как вы выглядите, что покупаете и что любите есть/пить, проанализировав фотки ваших друзей которые они на гуглофото хранят и прочитав все ваши письма об онлайн заказах.

        Скрыться от корпораций невозможно, не прекратив общение с внешним миром, всегда найдётся кто-то кто тебя сдаст, даже не подозревая.


        1. powerman
          22.01.2018 10:29

          От одного номера с ФИО пользы мало. Чтобы делать на этой информации деньги или нанести ущерб, нужно привязать к этому кучу других данных — email-ы, геолокацию, фоточки, интересы, посещаемые сайты, поисковые запросы… И вот доступ к этой информации частично можно ограничить (заблокировать геолокацию, не заливать фоточки, …), частично осложнить объединение этих данных в общую запись (использовать для телефона отдельный email, использовать на андроиде XPrivacy а в браузерах плагины вроде uBlock Origin и uMatrix, …).


          1. lonelymyp
            22.01.2018 10:52

            Автор камента наивно полагает что его личные данные ещё пока что неизвестны =) Обычно данные сначала попадают к корпорации, а потом уже люди задумываются о приватности.
            Что потом делают корпорации с этими данными это уже другой большой вопрос.

            PS
            А чтобы блокировать геолокацию, надо обладать нужными знаниями, перепрошить смартфон на прошивку без сервисов гугла (для многих телефонов таких нет) или под рутом выпилить сервисы гугла.
            Простое отключение геолокации не прекращает отправку данных о локации в гугл, лишь в аккаунте перестают отображаться твои перемещения на карте, это может быть полезно в ситуации когда злоумышленник угнал твой аккаунт (воспользовавшись отсутствием 2fa) и может посмотреть твои перемещения по карте.


            1. powerman
              22.01.2018 11:00

              Автор коммента не настолько наивен, и задумался о приватности задолго до того, как об этом стало модно говорить (и, да, до того, как добровольно сообщать о себе корпорациям что-либо, чего не хотел сообщать). Нужными знаниями автор так же обладает, телефон прошит как полагается, более того, автор выложил здесь статью о том, как это правильно делать: Защита личных данных на Android-телефоне. За прошедшие годы она несколько устарела, основная проблема — XPrivacy не работает на версиях Android начиная с 7.0, поэтому автор пока, скрипя сердцем из-за отсутствия обновлений, остаётся на 6.0.1. Рано или поздно, скорее всего, необходимость в обновлениях перевесит потребность в контроле над телефоном и приватностью, но пока — я предпочитаю сохранять XPrivacy.


              1. lonelymyp
                22.01.2018 11:21

                Раз вы так близко с ним знакомы, расскажите как он умудрился запретить всем с кем общается по телефону, особенно малознакомым людям, заносить его номер в их список контактов.


                1. powerman
                  22.01.2018 11:41

                  Про это уже было выше.


                  1. lonelymyp
                    22.01.2018 11:51

                    Даже вы, с учётом всех предостережений, признаете что ваш номер всётаки есть у гугла и вопрос стоит лишь в продвинутости алгоритмов сопоставлений, что уж говорить про автора комментария, который наивно полагает что его личная информация не доступна =)

                    PS
                    Есть такие штуки как цифровой отпечаток компьютера, как с этим бороться? Для каждой почты использовать отдельный ПК?
                    На мой взгляд нет смысла в полумерах, типа не включать 2fa и убирать галочку геолокации в настройках, тут нужен либо сверхпараноидальный режим во всём что касается коммуникаций, либо вообще не париться, полумеры бесполезны.


                  1. Animegravitation
                    22.01.2018 15:08

                    И? Тут была статья как на основе всего 4х точек в пространстве времение можно вычислитьс отдельного человека из миллионов по логам базовых станций. Собственно вот

                    habrahabr.ru/post/174221


                    Анализ базы данных, в которой была собрана анонимизированная информация о времени и месте звонков и СМС 1 500 000 абонентов на протяжении пятнадцати месяцев показал, что для идентификации 95% людей достаточно знать всего четыре пространственно-временные точки.

                    Всего две точки позволяют различить индивидуальный след половины пользователей, а одиннадцати достаточно, чтобы различить все до единого следы. На иллюстрации слева приведены примеры таких индивидуальных следов. Авторы исследования сравнивают уникальность мобильного следа с отпечатками пальцев — в 1930 году французский пионер криминалистики Эдмон Локард показал, что для идентификации по отпечатку пальца достаточно двенадцати совпадений деталей рисунка.


                    Ну вы поняли? :) Анализ бигдаты позволяет деанонимизировать всех. А те кто не поддаются деанонимизации увы сразу привлекут внимаение систем, как необычные элементы

                    Собственно вот
                    habrahabr.ru/company/nordavind/blog/180063


                    1. powerman
                      23.01.2018 00:42

                      Не путайте возможность получить немного каких-то данных через анализ бигдаты, и добровольный слив вообще всех возможных данных в удобной для анализа форме.


                      Что касается привлечения лишнего внимания — на здоровье, пусть развлекаются. Даже если меня целевым образом взломают и сольют всё, что смогут — они получат не более, чем все остальные отдают добровольно, а вот ресурсов на это им придётся затратить намного больше. Мои данные принадлежат мне, и делиться ими со всеми любопытствующими желающими я не считаю необходимым или полезным для себя. Если им очень-очень любопытно, они готовы сильно потратиться на получение этих данных, и у них получится взломать мои системы — ну и ладно, значит моей квалификации не хватило для их защиты, и в этом никто кроме меня самого не виноват. Ну и кроме того, чем больше людей будут понимать вред от добровольного слива всех своих данных корпорациям, тем больше будет стараться это предотвращать, и тем меньше внимания будет привлекать каждый из нас.


      1. ilyakos
        22.01.2018 13:28

        У сервисов Майкрософт можно на почту получать ну и на телефон тоже. Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!


        1. Exchan-ge
          22.01.2018 18:32

          Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!


          Что здесь не так?


          1. ilyakos
            23.01.2018 10:58

            Они для проверки просят последние 4 цифры телефона. Из них 2 последние показаны на предыдущем экране.


            1. Exchan-ge
              23.01.2018 17:03

              Из них 2 последние показаны на предыдущем экране.


              Знание двух последних цифр ничего не дает — код будет выслан на полный номер телефона, состоящий не из двух и не из четырех цифр.

              Две цифры — всего лишь напоминалка владельцу аккаунта о том, какой именно номер был использован для аутентификации.

              У меня, например — используются три разных номера для трех разных групп аккаунтов. Без подсказки их легко перепутать.


      1. zagayevskiy
        22.01.2018 19:47

        Смартфонами вы тоже не пользуетесь?


      1. Igrek_L
        23.01.2018 20:48

        Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.

        У Google есть Google authentificator в качестве второго этапа. Ему не нужен номер, только более менее точное время.


    1. osipov_dv
      21.01.2018 18:13

      Достаточно спорное заявление, 2FA требуется только при логине на новом компьютере. Если на компе не выходить все время из учетки, то ее требуется сделать только один раз.


      1. aik
        21.01.2018 18:30

        Гуглопочта где-то раз в неделю на всех компьютерах просит повторно пароль ввести.
        Ну и вообще я за себя говорю. Кому-то может и удобно.


        1. osipov_dv
          21.01.2018 19:09

          двухфакторная включена, ничего не просит…


          1. Iv38
            21.01.2018 20:40

            У меня тоже. Никаких повторных запросов тоже не случается, если гугл уже знает это устройство. Иногда при совершении опасных действий может повторно запросить основной пароль. Мне кажется у Гугла одна из самых ненавязчивых форм 2ФА. А самая настырная и раздражающая — у LastPass.


            1. theWaR_13
              21.01.2018 22:25

              В плане Гугла, у меня так же не запрашивает повторной авторизации, у LastPass включена проверка каждые 30 дней, но включил я ее намеренно. Все это можно изменить в настройках.


          1. ourlive
            23.01.2018 20:48

            За последние пол года два раза одновременно на всех компах вылетал в перелогин. Возможно гугл что-то считает подозрительной активностью.


            1. osipov_dv
              23.01.2018 21:04

              два раза за полгода перелогиниться, разве это проблема?


              1. ourlive
                23.01.2018 21:08

                Говорить, что "совсем ничего не просит" не корректно. А перелогиниться нет, не проблема.


      1. CaptainFlint
        21.01.2018 18:33

        Попробуйте это Стиму объяснить. Клиент ещё более-менее держит сессию, но и то иногда требует снова залогиниться. А если браузером пользоваться, да ещё на разных машинах, да ещё разными браузерами — постоянно слетает авторизация. Причём вход отдельно в магазин, отдельно в Community.


        1. skyscaper
          22.01.2018 11:35

          В чем проблема пользоваться клиентом стима и не любить себе мозг? За 2 года владения текущим ПК логиниться приходилось раза 3 максимум.


          1. CaptainFlint
            22.01.2018 11:50

            В том, что клиент Стима не позволяет ставить расширения, зачастую здорово упрощающие жизнь. В том, что ссылки из почтовых уведомлений Стима открываются в браузере, а не в клиенте. В том, что интеграция сторонних сервисов со Стимом тоже производится в браузере, а не в клиенте.


      1. vsespb
        22.01.2018 10:57

        нет, если гуглю кажется что-то подозрительным (например ваш ип) то попросит ввести код.


    1. zomby
      22.01.2018 10:24

      Эти неудобства причем иногда сам гугл создает на ровном месте. Купил недавно телефон на андроиде, вставил симку, включил, и мастер начальной настройки радостно сообщил — мы подключились к мобильной сети, давайте теперь залогинимся в гуглосервисы! Ввожу логин, пароль. «Введите код, отправленный вам в SMS». Только SMS прочитать мы вам не дадим. Потому что нехер, ты сначала залогинься, а смски свои потом почитаешь. Гугл, вы идиоты.


    1. sashamorozov
      22.01.2018 11:35

      1Password имеет поддержку одноразовых паролей, доступно на всех возможных системах и расширениях браузеров.

      Я давний пользователь, и это очень удобно. Особенно после историй друзей как они потеряли телефоны, а у них не было бэкапа, и 2FA исчезала. Даже если я все устройства потеряю, то всё равно при синхронизации с сетью я верну все свои пароли и 2FA.


  1. rub_ak
    21.01.2018 16:54
    -1

    Интересно через сколько на минут кокой-нибудь GM отреагировали власти, если бы они сказали: Мы знаем что ремни безопасности спасают жизни, но из юзабилити включать в стандартную комплектацию их не будем.


    1. logran
      21.01.2018 17:05
      +2

      Не равнозначное утверждение. 2fa в комплекте есть, просто её не используют клиенты.

      Это как если бы сказали «мы знаем, что ремни безопасности спасают жизнь, но из-за юзабилити не станем автоматически принудительно пристегивать каждого севшего в машину».


      1. vics001
        21.01.2018 18:18

        Во многих автомобилях есть неотключаемое предупреждение о не пристегнутом ремне, иногда это ужасно неудобно, но это правила регуляторов.


        1. jaiprakash
          21.01.2018 18:41
          +1

          И заглушки в замках не помогают?


          1. uu_69
            21.01.2018 21:10

            Коллега жены разбился, да еще и удавился ремнем, так как имел привычку перекидывать через голову постоянно пристегнутый ремень.


            1. dmitry_dvm
              21.01.2018 22:52

              Всегда интересно — кого такие люди пытаются перехитрить?


              1. Wolframium13
                22.01.2018 10:15

                Пищалку в торпеде.


          1. Finesse
            22.01.2018 04:38

            Или просто вытащить провод из разъёма датчика на замке


        1. lonelymyp
          22.01.2018 11:24

          всего 7 лет езжу, но ни разу не испытывал неудобств, с удивлением смотрю на тех кто без ремня, расскажите хоть на словах, что за неудобство такое.


          1. CaptainFlint
            22.01.2018 11:53

            На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать. Плюс, когда пристёгнут, сложно дотянуться до бардчка или, скажем, достать что-то с заднего сиденья (понятно, что не во время движения, можно и на красном свете).

            P. S. Ни в коем разе не агитирую против ремней, просто отвечаю на вопрос.


            1. Meklon
              22.01.2018 12:29

              Остановился, отстегнул, достал, застегнул, нет?


              1. CaptainFlint
                22.01.2018 13:44

                Я ж не говорю, что это нерешаемая проблема. Просто ситуация, когда без ремня существенно удобнее, чем с ним.


            1. kolyan222
              22.01.2018 16:16

              можно и на красном свете

              Если в это время другой водитель решит проскочить на красный/уснёт/другая причина, что будет с водителем копающимся в бардачке или на заднем сидении?


              1. CaptainFlint
                22.01.2018 16:43

                Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?

                В любом случае, голову отключать никогда не рекомендуется, и любая ситуация оценивается самостоятельно. Я не думал, что к простой фразе начнутся придирки, поэтому не стал расписывать точную планировку дорожной ситуации и прикладывать план расположения всех транспортных средств с указанием их векторов скоростей, с теоретическим обоснованием того, что процедура залезания в бардачок и взятия нужного предмета, занимающая такое-то количество времени, в указанной ситуации будет безопасной. Какой смысл загромождать комментарий бесполезными очевидными деталями? Или вы будете утверждать, что таких ситуаций не может быть в принципе? Даже когда водитель стоит в дикой пробке, окружённый неподвижными машинами со всех сторон?


                1. kolyan222
                  22.01.2018 18:18
                  +1

                  Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?

                  Не совсем понял насчёт телепортации.
                  У водителя сзади банально может свести ногу судорогой (или он перепутает педаль) и всё, впереди стоящую машину выбросит на перекрёсток/в кювет.

                  Но не суть. Писал я это не ради придирки, а что бы напомнить, транспортное средство является объектом повышенной опасности, а потому отстёгивать ремень, когда поблизости находятся другие транспортные средства не разумно ни под каким предлогом.


            1. Exchan-ge
              22.01.2018 18:39

              На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать.


              У меня таких проблем даже на жигулях не было )
              Пристегиваюсь на автомате, даже если еду недалеко и небыстро.
              В такси — тоже.


  1. Sadler
    21.01.2018 16:57

    Если бы двухфакторная аутентификация гугла представляла из себя просто SMS с кодом на телефон, я бы с удовольствием ей пользовался. К сожалению, по факту требуется установка приложения, в отзывах к которому масса негатива, связанного с проблемами входа в аккаунт после переустановки, обновления, утери телефона. Если SIM-карту и номер я могу восстановить у оператора, то в случае привязки к конкретному экземпляру софтины мне придётся дополнительно ещё связываться с техподдержкой гугла и доказывать им, что я не верблюд.

    С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.


    1. Sadler
      21.01.2018 17:05
      +1

      UPD: мне в личку написали, что у меня устаревшая информация. Проверил, действительно, есть двухфакторная и по sms, и уведомлениями android без стороннего приложения. В общем, всё круто, включил.


    1. dartraiden
      21.01.2018 17:56

      после переустановки, обновления, утери телефона

      Вы ведь как-то решаете вопрос с сохранением информации на случай переустановки или утери. Бекапы там, синхронизация с облаком? Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?


      1. Sadler
        21.01.2018 18:05

        Google Authenticator предлагается ставить на устройство с android, где никаких бэкапов у меня нет, т.к. никаких важных данных там не хранится. Не уверен, дублируется ли какая-то информация с GA в облако по умолчанию. Пока буду обходиться другими способами двухфакторной аутентификации, без установки софта.


        1. Andrusha
          21.01.2018 18:33

          Он на любой смартфон ставится, и даже не смартфон — есть реализации на J2ME, поддержка в KeePass/KeePassX/MacPass, отдельные приложения для ПК...


      1. Iv38
        21.01.2018 21:14

        Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?

        В самом Google Authentificator такая возможность не предусмотрена, в Андроиде без рута тоже.

        Доступ можно восстановить, воспользовавшись альтернативным каналом получения одноразовых паролей.


    1. AlexanderS
      21.01.2018 18:19

      С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.

      У меня на каждый сервис пароль из не менее 16 случайных символов. Я это физически помнить не смогу)
      Использовать хороший и большой, но одинаковый пароль везде — это еще большее снижение безопасности, т.к. при его компроментации со стороны какого-то одного сервиса под удар подставляется вообще всё.


      1. Sadler
        21.01.2018 18:32

        Я использую везде разные пароли от 16 до 30+ символов, но они не случайны, а компонуются по определённой схеме. Если не светить саму схему, то компрометация любого из паролей несущественна.


        1. MiXei4
          21.01.2018 20:52

          А если надо сменить пароль, то для этого есть вторая, третья… схемы?
          А если скомпрометированы 2 пароля?


          1. Sadler
            21.01.2018 20:54

            В схеме есть параметр, определяющий необходимую сложность. Если пароль скомпрометирован, увеличиваем на 1. Из-за этого за десять лет использования схемы некоторые пароли значительно выросли, поэтому мне недавно пришлось модифицировать её и сменить все пароли на всех сайтах.


        1. Iv38
          21.01.2018 21:06

          Это известный подход, но нельзя сказать, что он чем-то значительно лучше менеджера паролей. Лучше он разве что тем, что не нужен менеджер паролей, и нет проблем с синхронизацией.

          создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли


          Тут то же самое: вы не помните пароли, вы помните схему их формирования.

          Подобная методика имеет ряд известных недостатков перед менеджерами паролей. Например, сложно или невозможно подобрать схему, которая подошла бы сразу под все ограничения всех сервисов. Или невозможно хранить пароли, которые вы не можете формировать сами. Невозможно хранить дополнительную информацию, хотя бы тот же логин. Невозможно хранить более одного пароля для сайта. Если схема формирования пароля не очень сильная, то компрометация одного из паролей может привести к компрометации всех.

          В общем, на мой взгляд, такой подход можно использовать в дополнение к менеджеру паролей, а не вместо.

          С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы


          Очень спорно, голова тоже не очень надежное место, особенно для редкоиспользуемых паролей, они просто забываются между использованиями. Парольные менеджеры обычно могут предоставить хорошую криптографию и ту же многофакторность, плюс можно самостоятельно окружить его дополнительными уровнями защиты в зависимости от уровня паранойи и позаботиться о хорошем мастер-пароле.


        1. andrewenka
          21.01.2018 21:09

          Если только схему не легко вычислить при знании домена/названия сервиса и пароля для этого сервиса (та самая компроментация какого-то одного сервиса).
          А если схему вычислить сложно, то тогда скорее всего сложно и пароль по ней воспроизвести каждый раз, входя в сервис.


    1. Vilgelm
      21.01.2018 18:33

      Есть по СМС, но во-первых, это не безопасно (склонировать вашу симкарту стоит в районе 15к руб), во-вторых, если вы окажитесь вне зоны действия сети, то в аккаунт войти не сможете.
      Приложение не обязательно использовать именно гугловское, там открытый стандарт, который много кто поддерживает. А ключи можно забэкапить (на бумажку или файлом, если есть рут).


      1. Sadler
        21.01.2018 18:34

        Ага, спасибо, я уже распечатал себе список резервных ключей и положил в укромное место.


  1. SimSonic
    21.01.2018 17:00
    +1

    Шёл вроде бы 2009 год, я поехал в Питер, а денег на счету не хватило для активации роуминга. Пытался пополнить, но единственным вариантом было «получить смс с кодом», чего я сделать не мог. Пришлось просить других людей. Да и сейчас живу в яме, где сигнал сотовой связи время от времени пропадает, если телефон не у окна. По этим причинам очень не люблю, когда для какого-то действия нужно дождаться смс. Понятно, что сейчас есть приложения для подтверждения. Но нет, просто эмоционально 2FA мне не нравится, я считаю что мои пароли уникальны и достаточно безопасны.


    1. DrZlodberg
      21.01.2018 18:07

      У знакомых ребят есть дача в относительно ближнем подмосковье, но относительно далеко (километров 5) от крупных населённых пунктов. Есть вполне приличный мобильный инет… На оплату ими чего-ли с карты без слёз взглянешь. Смс то не приходит, то приходит с опозданием на пол-часа… час, когда код уже не валидный. Да, с банком лучше перестраховаться, но при работе с почтой такой мазохизм не оправдан. Ну и с доступом в при дальних разъездах тоже могут быть проблемы да.


    1. Renaissance
      21.01.2018 21:37

      Аналогичная ситуация: на работе в моем углу сотовая связь почти не ловит (ирония в том, что в этом же здании располагается радиочастотный центр :D), поэтому получать СМС с двухфакторкой очень неудобно. Приходится тупо выходить из помещения, ждать пока мобильник поймает сигнал, примет СМС и возвращаться обратно.
      Еще одна история в копилку минусов двухфакторки: у одного хостера включил, но СМС с кодом не приходило. Обращался к оператору — безрезультатно. В итоге позвонил хостеру, и девушка безо всяких дополнительных вопросов мне просто двухфакторку отключила. Вот она и безопасность…


    1. 3aicheg
      22.01.2018 05:11

      У меня обычно вообще нет сотового телефона. Есть обычно смартфон без сим-карты, либо планшет без гнезда для таковой вообще. Плюс мобильный интернет. Для всего хватает! Несколько лет был телефон, года полтора назад потерял его, и до сих про ни разу(!) не понадобился. Всякий раз при упоминании всех этих двухфакторных авторизаций как чего-то само собой разумеющегося испытываю сложные противоречивые чувства: с одной стороны, с пониманием отношусь к тому, что никого не заботят ничтожные доли процента таких вот, как я, архозавров-извращенцев; с другой стороны, горите в аду, суки, про Microsoft tax вот любят бухтеть, а на фактический «сотовый налог» чё-то пофиг всем…


    1. Alexeyslav
      22.01.2018 16:36

      Трояну, например, насрать на уникальность и сложность пароля. Он его просто утянет как есть. Пароли сейчас наверно нет смысла подбирать прямым перебором, по хешам пароли ломаются быстрее вне зависимости от величины но хеш теперь солят, правда ещё не везде.


  1. kvazimoda24
    21.01.2018 17:03

    Если большинство угонщиков аккаунтов действуют по одной схеме, может будет лучше при совершении подобных действий принимать какие-то меры, там лишний раз проверить телефон у пользователя или ещё что-нибудь. А так это похоже на то, что мы знаем, что аккаунт угнали, но делать ничего не будем с этим. Собственно, судя по отзывам и появляющимся даже на гиктаймсе статьям, у Гугла это официальная позиция. Им наплевать на угоны и пользователей. А сейчас у них с одной стороны какая-то дикая параноя, раньше использовал почтовые ящики на gmail, чтобы с серверов уведомления себе присылать, потом, в какой-то момент, уведомления приходить перестали, т.к. Гугл ужесточил какие-то настройки, и надо обязательно проходить доп. проверки, типа номера телефона. Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.
    И всё это на фоне того, что люди предоставляют всю мыслимую и немыслимую информацию о своём аккаунте, который угнали, а гугл их шлёт лесом


    1. AlexanderS
      21.01.2018 18:23

      Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.

      Я уже тоже к этому прихожу. А на чём делали?


      1. kvazimoda24
        22.01.2018 08:41

        iRedMail


    1. Iv38
      21.01.2018 21:27

      В поведении злоумышленника в представленной схеме мало необычного. Самое необычное поведение — удаление только что отправленных писем. Но на этом этапе бить тревогу уже поздновато.


  1. Barnaby
    21.01.2018 17:42

    Попробовал включить 2FA, а мне предложили указать телефон и смс или звонок. OTP все?


    1. Dvlbug
      21.01.2018 17:58

      Нет. Это на тот случай если будет потерян телефон с программой.
      Для аутентификатора Гугла (ОТР), нужно чтобы просто время точное было на телефоне. Если про вход на сервисы Гугл, то даже при утере телефона можно зайти через «список резервных кодов» или смс.


      1. powerman
        21.01.2018 23:55

        Нет, это ни на какой-то там случай, это тупо потому, что гугл хочет получить номер Вашего телефона. После ввода и верификации номера телефона открывается возможность использовать вместо номера телефона (звонок/смс) другие методы, включая через приложения для TOTP. А на случай утери телефона/программы — скачиваются одноразовые коды (которые надо положить в менеджер паролей).


  1. Nomad1
    21.01.2018 18:02

    Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.

    Такое можно утверждать только если бы было сказано «менее 0.999(9)%». Ведь даже 1% от 1 млрд (+ 1 человек) уже больше 10 млн, а для «менее 10%» верхняя граница выше 100 млн. Таким образом автор статьи намеренно создает окрас «это бесполезно» имея на руках относительно нейтральные неполные данные.


    1. ivansychev Автор
      21.01.2018 18:12

      Речь исключительно в формулировке на странице Google: Google пишет «миллионы», а не «десятки миллионов». Понятно, что менее 10% — это менее 100 млн, но почему-то выбрана именно формулировка с «миллионами». По поводу «бесполезно» — не имел этого ввиду и никоим образом не пытался сформировать такое мнение у читателя.


      1. Nomad1
        21.01.2018 18:24

        Я имел в виду, что если все аудитория составляет 1 000 000 001 человек, то промежуток [0%;10%) от этого числа = [0;100 000 000]. А формулировка уже в этом случае выбирается в зависимости от желания маркетолога. Например, есть данные, что «менее 10% населения Австрии имеют высшее образование», но в реальности процент составляет 9.9%, это около 850 тысяч высококлассных специалистов.


      1. solariserj
        23.01.2018 13:35

        Лично для меня миллионы означает от 3млн до 1млрд… Формулировка иногда зависит от толщины маркетологов и может гугл немного по другому на это смотрит. Например: Уау!!! Это видео!!! просмотрело более!!! 13500 раз!!! А для гугл на такое даже не обращает внимание.


  1. AlexanderS
    21.01.2018 18:11

    1) Нет выбора — сервисом без указания номера телефона просто не начнёшь пользоваться.
    2) Корпорация надо все больше и больше данных. Им уже давно мало мой IP и куки. Хотите 2FA? Но вторым фактором может быть контрольное слово, второй почтовый ящик и т.д.
    3) Если не приходит SMS — ничего не сделаешь.
    4) Наличие уязвимости SS7 не делает защиту абсолютной, как многие полагают в финансовой сфере.
    5) Если я меняю номер телефона, то меня ждёт куча геморроя, если у меня нет старого.

    Я как-то для одного сайта сделал почту через Яндекс ПДД. Через 5 лет надо было ящик добавить. По бумажкам нашел реквизиты для доступа, но пароль не подошёл. Однако есть ящик почты с которого делали. Но… номера телефона уже давно нет. И всё встало. Вы пробовали когда-нибудь вообще обращаться в саппорт яндекса? Нет ни телефонов, ни почты тематической, форма для техподдержки зарыта где-то в глубинах фака и когда я через неё отправил данные — мне никто не ответил до сих пор. У гугла — аналогичная фигня. С таким подходом и отношением к пользователям — оно и не удивительно, что народ нафиг посылает весь этот геморой.

    Я за то, чтобы оставлять контроль и ответственность на стороне пользователя. Есть мои логин/пароль — я сам должен заботиться об их сохранности. Если я сочту нужным включить 2FA — включу, если нет — не буду. Но так, как есть это сейчас — навязывание — так быть не должно.


    1. romxx
      21.01.2018 19:39

      > Если не приходит SMS — ничего не сделаешь.

      SMS? Вообще-то мне казалось, что основной способ это Google Authentificator App.


      1. AlexanderS
        21.01.2018 22:03

        Я имел ввиду SMS.
        Но привязка к приложению, которое привязывается к конкретному устройству меня тоже не сильно радует.


        1. Iv38
          21.01.2018 22:56

          Но ведь в этом и суть второго фактора — подтвердить владение устройством. А аварийным каналом является СМС или список предварительно сгенерированных одноразовых паролей.


    1. maxwolf
      22.01.2018 03:51

      Плюсовать не могу, но горячо поддерживаю. В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду. После продолжительной борьбы с роботами (жалко было бросать такой ящик!) вышел-таки на человека в поддержке, но человек этот, вместо того, чтобы сверить информацию, доступную только реальному владельцу ящика, запросил скан моего паспорта(!), при том, что никаких паспортных данных я 17 лет назад яндексу не давал, и с чем он их собрался сверять — совершенно непонятно. Гугл каждый раз при пересечении границы блокирует доступ по pop3, и шлёт грозные письма «Someone has your password». Хвала аллаху, пока он позволяет вернуть доступ через web, но я просто-таки спинным мозгом чувствую, что скоро эту «вольницу» и они прикроют.
      Вообще, расстраивает тенденция железной рукой загонять всех в рай. Сделали новую секурную фичу — предложите её юзеру. Даже сделайте включённой по умолчанию… Но оставьте возможность и выключить! Жизнь — она сложнее любых, наперёд продуманных, схем!


      1. AlexanderS
        22.01.2018 11:37

        В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду.

        Вот поэтому я купил себе домен и сделал «свою» почту, которая просто где-то хостится.
        Следующий этап, до которого я уже созрел — свой почтовый сервер, возможно в виде решения на своём компе. Во всей этой схеме меня расстраивает только зависимость от домена. Покупка на 1-2 года только, я бы с удовольствем выкупил его лет на 20, как-нибудь юридически это оформить и можно про это направление уверенно забыть или хотя бы не думать )))


        1. powerman
          22.01.2018 11:52

          У меня лет 20 свой почтовый сервер дома, и я честно скажу — домен это мелочь. Помимо домена нужен статический IP (причём крайне желательно — не замеченный ранее в рассылке спама), нужен сервер не на винде (и нужно запретить файрволом виндовым машинами в локалке отправлять что-то в инет на порты SMTP) — иначе вирусы рано или поздно начнут спамить с вашего IP, нужно настроить DNS (и не только MX, но и SPF, обратный резолвинг IP и, нередко, ещё кучку всего), и, не смотря на все эти усилия, периодически этот IP всё-равно будет попадать в разные чёрно-серые списки и удаляться из них нужно будет самостоятельно, а крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее. Ну и спам-фильтр тоже свой нужен. Я за столько лет привык, но если бы надо было заниматься всем этим с нуля сейчас — не факт, что я бы на это решился. Из плюсов — посторонним корпорациям сложно читать мою почту или лишить меня доступа к ней (сложно а не невозможно потому, что не шифрованные PGP письма может читать мой провайдер, а лишить доступа можно отобрав домен), ну и я вижу ушло от меня письмо на самом деле, или пока болтается в исходящей очереди qmail.


          1. AlexanderS
            22.01.2018 13:30

            Ну, к техническим моментам я готов, в первый раз даже интересно будет) А вот:

            крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее

            это может быть проблемой. У меня сейчас-то некоторые сервесы иногда не принимают мой e-mail, т.е. чисто адрес, наверное, валидацию не проходит «по названию».


          1. AlexanderS
            22.01.2018 14:31

            А вы сами всё руками настраивали? Просто вверху вон предлагают iRedMail — я посмотрел, вроде как всё что нужно в одном пакете, вполне по силам.


        1. Andrusha
          23.01.2018 05:51

          Есть зоны, где можно купить навсегда, .ro например.


          1. AlexanderS
            23.01.2018 17:56

            Слышал. Но там у них вроде правила хитрые, в которых эта «навсегда» может быть и отозвано)


            1. sumanai
              23.01.2018 17:59

              Нет такой зоны, где бы не отозвали, кроме разве что .onion или других основанных на криптографии, но они, по понятным причинам, с обычным интернетом взаимодействовать не могут.


  1. read2only
    21.01.2018 18:35

    Перестал пользоваться двухфакторной аутентификацией просто потому, что SMS либо не приходили вовсе, либо приходили с неприемлемой задержкой (более 20-30 минут).

    Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.

    P.S. Для меня лучший менеджер паролей это две маленькие записные книги.


    1. Dvlbug
      21.01.2018 18:52

      У брата также была записная книжка, пока он не обзавелся ребёнком :)


    1. AlexanderS
      21.01.2018 19:25

      Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.

      Поэтому надо:
      — принудительно изолировать менеджер паролей от интернета (блокировка файрволом, например)
      — пользоваться им только на той системе которую делал сам, не запускать и не открывать на чужих
      — обязательно шифровать базу паролей и не держать её открытой всё время — ввёл пароль, автоматом через минуту база должна закрыться и отключиться
      — не держать менеджер паролей в явном виде на компе — портейбл решение, контейнер TrueCrypt, отдельная флешка, но только как установленное приложение в системе
      — использовать только опенсорс решения

      Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)
      У меня записная книжка в ворде. Раз в год обновляю бумажную версию)


      1. powerman
        22.01.2018 00:01

        Просто поставьте KeePass. И не издевайтесь над животинкой, дайте ему доступ в инет — пусть синхронизирует файл с паролями через Dropbox. И получите опенсорс, надёжно зашифрованный файл с паролями, доступ к паролям со всех устройств и всех ОС, автоматический ввод паролей на сайтах, etc. А чтобы не вводить основной пароль на чужих компах — держите KeePass на своём телефоне.


        1. Alcpp
          22.01.2018 04:01

          Погуглил «KeePass взлом»

          Чуть ли не первая же новость:

          «Энтузиаст под ником denandz сумел не только найти способ взлома менеджера паролей KeePass, но и написал специальную утилиту, чтобы любой смог без проблем получить доступ ко всем паролям, хранящимся в KeePass.»

          Да, я понимаю, все исправлено уже, но все же…


          1. powerman
            22.01.2018 04:55

            Если у вас есть возможность подложить свои выполнимые файлы в каталог — почему просто не запустить кейлоггер, или не подменить сам KeePass.exe на фейк, который запросит пароль, а потом запустит настоящий KeePass.exe?


            Давайте не сходить с ума — да, в винде есть проблема с загрузкой dll из текущего каталога вместо системного (в *NIX похожую проблему решили много десятилетий назад убрав . из $PATH), и, насколько мне известно, KeePass под виндой содержит немало специфических для винды механизмов защиты от разных архитектурных недостатков винды, хотя вряд ли они помогают на 100%, но дело вовсе не в этом. Дело в том, что в данный момент ничего более надёжного и при этом доступного обычным пользователям просто не существует (и я сейчас не про конкретное приложение KeePass, а про сам подход — локальное опенсорсное приложение, использующее открытый формат файла и стандартные алгоритмы шифрования, плюс старающееся противодействовать архитектурным дырам в ОС настолько, насколько это получается сделать).


            Хотите большей безопасности — не используйте винду, для начала… но это беспредметный разговор, потому что абсолютно надёжных систем не существует, и любая попытка значительно увеличить безопасность ещё более значительно вредит юзабилити и доступности решения.


        1. AlexanderS
          22.01.2018 09:16

          Да у меня он и стоит. Но только без всяких облаков и прочих «левых» синхронизаций)


          1. sumanai
            22.01.2018 15:46

            Синхронизации должны быть «правыми», со своим сервером )


            1. AlexanderS
              22.01.2018 18:02

              Нууу… со своим сервером с физическим доступом — это совсем другое дело! )


      1. read2only
        22.01.2018 00:31

        Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)

        У меня накопилось страниц 30 верно, все разделены на разделы — ресурсы, почта, различные сервисы и пр. Не могу сказать, что утомительно, видимо привычка. А одной программе я никогда все пароли не доверю — «Что знают двое, знает и свинья».


        1. powerman
          22.01.2018 01:42

          Стороннему сервису вроде LastPass свои пароли доверять, действительно, неблагоразумно. Но программы вроде KeePass совершенно безопасны — код опенсорс, приложение устанавливается на комп/телефон локально, формат файла открытый и простой — а-ля обычный XML зашифрованный AES или что-то в этом духе. Так что использование такой программы для паролей вполне безопасно.


        1. Iv38
          22.01.2018 01:52

          У записной книжки недостатков побольше, чем у свободной софтины с надежными алгоритмами шифрования. Ни синхронизации, ни бэкапов, ни шифрования, все вручную. А если ее потерять…


          1. read2only
            22.01.2018 10:33

            Все минусы простой записной книжки перечёркиваются двумя плюсами — она физически существует, в двух экземплярах.


        1. AlexanderS
          22.01.2018 11:30

          Ну… с таким подходом сложно пользоваться софтом вообще. Нет же гарантий, что пароли не «копит» браузер, почтовая программа, что Windows кейлоггером своей телеметрии тупо не перехватывает ввод их с клавиатуры.

          К слову говоря, в менеджере паролей у меня они далеко не все — у меня свой «блокнот» есть в виде Notepad'a, а бумажная версия (распечатка блокнота) обновляется раз в год ;)


          1. read2only
            22.01.2018 16:17

            Видимо у нас различный подход. Браузеры «копят» мои пароли только от «обычных» ресурсов — форумы и т.п. Прочие «куки» удаляются после закрытия страниц почты (к примеру). Обновления ОС устанавливаю вручную, стараясь избегать нежелательных с телеметрией и т.п.
            Я согласен, всё это эфемерно, для кажущегося спокойствия.


            1. AlexanderS
              22.01.2018 18:04

              Я согласен, всё это эфемерно, для кажущегося спокойствия./blockquote>
              Да… мне тоже такие мысли в голову приходят ;)


  1. romxx
    21.01.2018 19:44

    Может быть причина в том, что настоящих, живых, реальных пользователей среди этого условного «миллиарда аккаунтов» сильно меньше. У меня у самого суммарно около десятка ящиков на гугле для разных технических нужд и мусорных целей, из них рабочий, реальный только один. И он с 2FA. Так что в моем случае соотношение вполне подтверждается, но совсем не потому, что написано в статье.


  1. diagonal
    21.01.2018 20:17

    Я пользуюсь 2-факторной верификацией, причем голосовой.
    А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
    Боюсь ее потерять.


  1. exformat
    21.01.2018 21:09

    Я так то тоже не особо паникую. Но. На некоторые ресурсы захожу только по двухфакторной авторизации. Ибо есть дети и они бывает играют на рабочем ноуте и бывает лень их в их учетку отправлять. Вот тут то и пригождается 2ф ибо без кода от гугла просто не пустит.


  1. alexstup
    21.01.2018 21:09

    Это значит что у них много фейковых аккаунтов


  1. larienovich
    21.01.2018 21:09

    Как вариант второй фактор авторизации :)
    При регистрации клиент придумывает число, скажем это 50
    Далее при авторизации клиенту выводится рандомное число, например 26, и клиенту надо ответить на это число (50 — 26 = 24)
    Ответ = 24
    Так не? Старый связисткий метод опознания свой/чужой...


    1. necr0x
      21.01.2018 21:27

      Когда ни один аккаунт имеешь и скажем 2-3 года не требуется этой проверки, то забудешь своё число 99,9%!!!


    1. Iv38
      21.01.2018 21:36

      По сути это не второй фактор, а тот же фактор знания, что и пароль. Разве что число от Гугла вы будете получать через СМС, но тогда непонятно зачем эти вычисления, они избыточны.


  1. necr0x
    21.01.2018 21:09

    Меня взламывали. Жену бывшую взламывали неоднократно, всё из-за паролей типа «Kiril23052006». Вывод сделал для себя давно — пароли не короче 14 символов, сам набираю или генерирую онлайн, но повторяющиеся буквы, цифры, символы не допускаю. В паролях использую как заглавные, так и строчные буквы, символы всевозможные. Если придумываю пароль сам, то часто заменяю буквы на цифры, например е на 3, и на 1 и так далее. Двухфакторная аутентификация везде где это возможно. И больше ни один мой аккаунт взломан ни разу не был. Двухфакторная аутентификация запрашивается только при попытке залогиниться с нового устройства, если без моего ведома кто-то пытается войти, то на почту получаю IP, время, страну и город. Не напрягает абсолютно, безопасность превыше всего!

    Знаете что меня напрягает, облачные хранилища например и подобные онлайн сервисы, где в качестве пароля тебе нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие. Сразу пропадает доверие к подобным сервисам. Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр. Брутфорсу достаточно скормить алфавит и цифры 0-9, взломать пару дедиков с толстым каналом, кинуть ботов и дело в шляпе!


    1. Iv38
      21.01.2018 22:32
      +1

      … но повторяющиеся буквы, цифры, символы не допускаю.

      И снижаете тем самым энтропию. В идеале пароль должен быть случайной последовательностью и символы могут в нем повторяться сколько влезет.

      нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие.… Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр.

      И в чем проблема? 9 знаков в данном случае это нижняя граница, а не верхняя. Вы можете набрать необходимую энтропию увеличением длины.


      1. necr0x
        21.01.2018 22:51

        Любой пароль с букв и цифр легко подбирается брутом, если что. Нюансы опустим.
        А тут ещё и известно, что кроме алфавита и цифр от 0 до 9 в пароле ничего и нет…


        1. Iv38
          22.01.2018 02:55

          Легко подбирается или нет зависит не только от возможного набора символов, но и от длины пароля. Вы всегда можете скомпенсировать меньший набор большей длиной. В конце концов буквы, цифры и разные знаки существуют только для нас, людей. Для компьютера набор символов ограничится всего двумя — нулем и единицей, разница будет только в длине.

          Уж как-то и неприлично в очередной раз вставлять эту картинку:
          image

          Рэндел даже потрудился прикинуть сколько времени придется подбирать пароли этим самым брутфорсом.


          1. Iamkaant
            22.01.2018 08:55

            Часто вижу этот стрип, и вроде все правильно, но есть один нюанс. Если атакующий знает, что пароль – это набор слов, то энтропия там сильно поменьше будет. И все совсем не так впечатляюще, как на картинке.


            1. osipov_dv
              22.01.2018 09:42

              А вы слова целиком не берите, а используйте только несколько последовательных букв. И не обязательно первых… Можно взять 3 первых из первого слова, 3 следующих из второго и т.п. Главное здесь это фантазия


              1. Iamkaant
                22.01.2018 10:16

                Этот подход фактически не отличается от начального «трубадура». Да, так пароль будет длиннее, зато он будет состоять только из букв латиницы.


            1. trimtomato
              22.01.2018 15:34

              Не, не уменьшиться, за счет большого количества слов. Есть такая система выбора пароля которая обычно идет рядом с этой картинкой — Diceware.
              Даже если вы будете знать, что я случайно выбрал четыре слова из словаря в 7776 слов — это даст 64 бита энтропии. Это даже больше чем на картинке.


        1. Iv38
          22.01.2018 03:05

          Кстати, еще про брутфорс. Если злоумышленник не завладел хэшем пароля и одновременно солью к нему, а просто перебирает варианты на сайте через вэб, то он будет сильно ограничен в скорости перебора независимо от того какими вычислительными мощностями обладает. Если же программисты еще и озаботились защитой от перебора (искусственно замедлить ответ, прогрессивно увеличивать задержки, требовать ввод каптчи после нескольких неудачных попыток), то даже поиск короткого пароля может стать невероятно долгим и дорогим, а пользователь может быть оповещен об атаке.


  1. necr0x
    21.01.2018 21:18

    По поводу менеджера паролей… У меня на MEGA аккаунт бесплатный на 50 гигов, на ПК программа синхронизации установлена и в USB флешка вставлена на 64 гига «CRUZER BLADE USB FLASH DRIVE» от SanDisc, а у них для своих флешек есть приложение шифрования «SANDISK SECURE ACCESS®». Так вот все пароли хранятся в упорядоченном текстовом файле на флешке под шифрованием этого приложения, даже если я её потеряю, никто не сможет получить доступ к содержимому, ну а если она крякнется однажды, то само приложение шифрования синхронизируется через сервис MEGA и на сервисе я не храню запрещённый контент, чтобы однажды не заблокировали аккаунт. Пароль от сервиса MEGA и от SANDISK SECURE ACCESS® один и тот же, чтобы не запутаться, он не записан ни где, он сложный и он хранится в моей голове. Никакие другие пароли мне запоминать не нужно, это как мастер-пароль. Удобно и безопасно! Никаким менеджерам паролей я не доверяю и никогда на это не подпишусь!

    И ещё больше треша от Гугл. У меня от почты был забыт сложный пароль давно уже, года три назад, прикол в том, что на ПК стоит портативный The Bat и почтой я пользуюсь без проблем (кстати, может кто-то подскажет как из него вырвать мой пароль?), но вот при попытке восстановить пароль, Гугл просит кучу старой, давно забытой информации. Ну и 5 последних писем отправленных, с этим проблем нет. Но они проверяют всю инфу в сумме. В общем через браузер мне на почту не попасть, но уже 3 года принимаю и отправляю через The Bat на ПК. Всё бы ничего, но некоторые письма нужные в спам папку ушли, а на ПК эту папку не показывает… Идиоты они там 90%е!


    1. Iv38
      21.01.2018 22:41
      +1

      само приложение шифрования синхронизируется через сервис MEGA… Пароль от сервиса MEGA и от SANDISK SECURE ACCESS® один и тот же.

      Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.

      Никаким менеджерам паролей я не доверяю и никогда на это не подпишусь

      Чем по вашему этот самый SANDISK SECURE ACCESS безопаснее чем KeePass, например? Это закрытое коммерческое ПО, вы ничего о нем не знаете. Сочетание шифровалки флешки с блокнотом дает вам какое-то подобие менеджера паролей, но лишает дополнительных фич, в том числе и в области безопасности, например защиты паролей в памяти. Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.

      Вам бы серьезнее все обдумать, ваши меры избыточно сложны, но не добавляют безопасности.


      1. necr0x
        21.01.2018 22:58

        Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.

        Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…

        Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.

        Слава программе MalwareBytes Premium за 40 евро в год. Уже 3 года у меня и я честно сказать позабыл что такое рекламное ПО, навязчивое ПО и вирусы в программах с опасными сайтами. И систему не нагружает и ничего не пропускает! В отличие от разных дорогих антивирусов, уже не говоря о бесплатных. У меня с безопасностью всё хорошо!


        1. Iv38
          21.01.2018 23:12

          Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…

          Если вы используете метод защиты «неуловимый джо», то почему не используете просто LastPass?

          Слава программе MalwareBytes Premium

          Отлично, еще и сомнительный антивирус в качестве гарантий безопасности. У вас плохо все с безопасностью, только ее видимость. Театр безопасности расслабляет и снижает безопасность еще сильнее.


          1. necr0x
            21.01.2018 23:17

            Ну да, возьмём например любой софт от Майл.Ру — Ваш отечественный/зарубежный/платный/бесплатный/известный/малоизвестный антивирус что делает? — НИЧЕГО :) А эта программа наглухо фильтрует весь рекламный приаттаченный софт, блокирует его и кидает в карантин, но сам софт от этой корпорации работает исправно и ничего нигде не выскакивает! Я уже не буду говорить о вирусах. Всё проверено, там где ваш известный софт обсирается, мой софт блокирует!


            1. Iv38
              22.01.2018 01:58

              Это заблуждение. Нет надежных антивирусов и быть не может. Слепо полагаться на него опасно. Тем более антивирус сам по себе программа с величайшими привилегиями в системе. Почему ему можно доверять, а менеджеру паролей — нет?


              1. necr0x
                22.01.2018 08:36

                Ну при таком раскладе лучше не пользоваться интернетом в принципе.


                1. sumanai
                  22.01.2018 15:49

                  При таком раскладе нужно настраивать SRP или Applocker, если вы на Windows. Вашими словами

                  возьмём например любой софт от Майл.Ру… отечественный/зарубежный/платный/бесплатный/известный/малоизвестный антивирус

                  SRP зарежет это всё, в отличии от вашего антивируса.


                  1. necr0x
                    22.01.2018 23:20

                    Весь вред от Майл.Ру приложений, это сопутствующий при установке PUP софт, конечно там есть галочки, которые можно поснимать, но мало кто это делает (чаще всего). Malwarebytes позволяет не снимая никаких галочек, при установке софта от Майл.Ру или любого другого софта с наличием приаттаченых к файлу установки PUP приложений, установить целевое приложение без вреда для системы и работоспособности этого приложения. Все PUP приложения блокируются и заносятся в карантин ещё при начале установки целевого приложения. Система не подвергается никакому риску. Вы бы все прежде чем наезжать, узнали бы что это такое и поспрашивали знакомых, кто уже ставил. Я ничего лучше не знаю! А можно подробней про SRP и как это работает?


                    1. sumanai
                      23.01.2018 15:54

                      установить целевое приложение
                      Майл.Ру

                      Сначала поясните, зачем это вообще может потребоваться устанавливать.
                      Вы бы все прежде чем наезжать, узнали бы что это такое

                      Я прекрасно знаю, что такое антивирус.
                      А можно подробней про SRP и как это работает?

                      Просто до безобразия- блокировка запуска любого софта кроме белого списка, по умолчанию всё что лежит в Program Files и системных каталогах. То есть без разницы, вирус это, шифровальщик, аська от мейлру- всё при попытке запуска выдаст «Невозможно открыть данную программу из-за политики ...» и т.д. Система практически полностью защищена от вирусов, шифровальщиков и шаловливых ручек, при никакой дополнительной нагрузке.


                      1. powerman
                        25.01.2018 04:28

                        Сначала поясните, зачем это вообще может потребоваться устанавливать.

                        Ну, я ставил чтобы получить акционный терабайт. Ставил не глядя, со всеми галочками — ради терабайта не жалко! Правда, это была виртуалка, которая сразу после этого была откачена на предыдущий снимок, до состояния когда всё это ещё даже не скачивалось.


        1. Andrusha
          23.01.2018 06:10

          Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…
          Не один, но теперь они знают, что нужно выполнить поиск по файлам *.txt слова «necr0x» (логины же вы тоже храните?).


    1. jib
      23.01.2018 20:53

      кстати, может кто-то подскажет как из него вырвать мой пароль?

      Свойства почтового ящика, транспорт, журнал протоколов, включить.


  1. Rohan66
    21.01.2018 21:28

    Вот что-то я недопонял. Есть у меня гугловская поста на телефоне. Она требует пароль. И подтверждение по СМС приходит на этот же телефон. И где здесь двухфакторная авторизация? Скорее уж двухэтапная.


    1. necr0x
      21.01.2018 22:02

      По сути это одно и то же, что двухфакторная. Называть можно и так и так.
      Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.

      Просто Гугл трактует это как:

      Двухэтапная аутентификация – это просто
      При входе в аккаунт вы можете установить флажок «Запомнить код на этом компьютере», после чего система перестанет запрашивать код.

      Однако ваши данные по-прежнему будут под защитой. При попытке входа в аккаунт с другого компьютера система потребует ввести код или вставить токен авторизации.



      1. WraithOW
        22.01.2018 17:02

        Называть можно и так и так.

        Нет, это разные вещи. Вот тут неплохо расписано http://www.outsidethebox.ms/18372/


    1. Iv38
      21.01.2018 22:46

      Двухфакторная аутентификация здесь в том, что даже в этом случае злоумышленнику нужно владеть двумя факторами: владеть телефоном и знать пароль.


      1. WraithOW
        22.01.2018 17:12

        владеть телефоном

        Нет, ему достаточно узнать содержимое СМС. Например, дав денег сотруднику какого-нибудь салона связи и перевыпустив вашу сим-карту, таких историй навалом.
        Фактор остается тем же, просто добавляется шаг. Так что это 2SV.


        1. catharsis
          22.01.2018 23:39

          Но пароль так он все равно не узнает


          1. WraithOW
            24.01.2018 12:54

            А я этого и не утверждал. Речь о том, что смс-код относиться к той же категории «что я знаю», а не «чем я владею», в отличии от брелка-аутентификатора, например. Поэтому фактор один («что я знаю»), а в нем — два шага, на которых надо ввести. Я чуть выше скидывал ссылку.


  1. semmaxim
    21.01.2018 22:38

    В своё время Dropbox при попытке входа через двухфакторную авторизацию просто не присылала SMS. Вообще ничего не было. Я потерял весь доступ к своим файлам. Хорошо, что откопал комп, на котором был давно настроен аккаунт и смог через него войти в профиль и отключить эту двухфакторность.


  1. redpax
    21.01.2018 23:42

    Начал пользоваться очень активно, имкю более 30 сервисов на которые звхожц постоянно и на которых включена двухфакторка от гугл.


    Параноики которые боятся двухфакторги от гугла, могут скомпилировать свою программу и пользоваться ей или же пользоваться простеньким ява скриптом работающим онлайн например таким http://live4sharing.com


  1. diagonal
    22.01.2018 00:01

    Я пользуюсь 2-факторной верификацией, причем голосовой.
    А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
    Боюсь ее потерять.


    1. Alexeyslav
      22.01.2018 17:57

      Надо использовать две книжки — в каждой из них только половина пароля. Вторую половину, впрочем, можно и запоминать… или вводить в пароли намеренные искажения которые достаточно легко исправить. Тогда проверка «влоб» не прокатит, и решат что пароли не действующие.
      Кстати, как вариант — разработать собственный алфавит…


      1. diagonal
        23.01.2018 00:16

        Эти идеи хороши, но они против кражи книжки.
        Но я больше боюсь потерять ее.
        После чтения комментариев я поняла, что нужно иметь 2 книжки с половинами паролей, и каждую в 2 экземплярах, чтоб не потерять.
        Ну, и не забывать обновлять их.


        1. Ugrum
          23.01.2018 18:04

          И тут, внезапно, теряются две книжки с первыми половинами паролей :))


  1. Exchan-ge
    22.01.2018 00:51

    А почему в опросе нет пункта: «Я не имею учетной записи Google»?

    Возможно — это самый эффективный способ защиты от утечки информации.


    1. Alexsey
      22.01.2018 01:13

      Возможно — это самый эффективный способ защиты от утечки информации.

      Только если вместо google вы не пользуетесь другими сервисами. Потому что вполне возможно что среди всех компаний у гугла защита пользовательских данных наиболее серьезная. Но это лично мое мнение, которое не подкреплено никакими фактами.


      1. Exchan-ge
        22.01.2018 01:29

        Только если вместо google вы не пользуетесь другими сервисами


        У других сервисов лучше с защитой (той же двухфакторной аутентификацией) и они не столь навязчивы.
        Кроме того, шансы на то, что злоумышленники разработают методику взлома аккаунтов именно пользователей Google — выше (аналогия с вирусописателями), обратная сторона популярности.


    1. sumanai
      22.01.2018 01:39

      А почему в опросе нет пункта: «Я не имею учетной записи Google»?

      Я воздержался от голосования.


  1. Iv38
    22.01.2018 02:28

    Результаты опроса на ГТ удивительны. 2ФА пользуются больше людей, чем парольными менеджерами?


  1. Alcpp
    22.01.2018 04:14

    А что если я к примеру уехал на месяц в Индонезию с одним телефоном и двухфакторкой на нем и потерял его там (частая история).

    Код с двухфакторкой на бумажке, никто с собой не таскает понятное дело.

    Это получается в почту я зайду только когда вернусь домой и сделаю симку?


    1. AEP
      22.01.2018 12:34

      Google дает привязать более одного номера. Сразу по прибытии вы же все равно купите местную симку — вот и укажите ее номер как запасной.


    1. catharsis
      22.01.2018 23:37

      Родственники на домашний телефон получат звонок и запишут для вас код


  1. dendron
    22.01.2018 08:43

    Не пользуюсь авторизацией через мобильный телефон, потому что это деанонимизация, о необходимости которой так давно говорит наше государство.

    Сейчас Гугль на требования властей отдаст лишь ваше имя пользователя и неверифицированные (а значит потенциально подложные) ФИО, ну и ip с которых входили в ящик. Всё это юридически не доказывает принадлежность ящика вам. А вот номер мобильного телефона — всё, сушите сухари.

    Уверен после само-переназначения 2018 мы в скором времени увидим обязательное требование верификации «персональных данных» (почему-то принадлежащих государству, а не человеку) для любых интернет сервисов. Конечно же для нашей «безопасности» и «борьбы с террористами», шатающих скрепы.


  1. KOLANICH
    22.01.2018 09:11

    Двухфакторная аутентификация имеет grave bugи.
    1 Потерял досуп ко второму фактору — потерял доступ к аккаунту навсегда. Вы же знаете: у гугла нет и не может быть при такой огромной аудитории техподдержки, даже если пользователь будет согласен предъявить паспорт, отпечки пальцев, результат колоноскопии и ЭЭГ с вживлённых в мозг электродов, это не поможет. У гитхаба техподдержка есть, но как они собираются вернуть аккаунт при идентификации личности — загадка. В Штаты что ли для этого лично ехать? Как онп убедятся, что аккаунт действительно принадлежит этой личности? Или они на полицию надеятся, что они посадят того, чей паспорт предъявили, и что это будет достаточным препятствием?
    2 Гугл и мейлру требуют привязку телефона.
    3 Взламывают аккаунты обычно через секретный вопрос, а не через пароль, если пароль надёжный. В качестве любимой еды у многих — борщ (а в истаграме фотка — чел в кафешке кушает борщ), а в качестве девичьей фамилии матери — Иванова, а в качестве клички домашнего животного — кличка, засвеченная в соцсети под фоткой «ПаСмАтРиТе На БаРсИкА !111». Ответ на секретный вопрос должен быть рандомным.
    4 миниальные требования к паролям — «должно быть столько то цифр и такая-то длина» — это snake oil.


    1. Nubus
      22.01.2018 09:54

      Цифры против словарных брутфорсов. Длина-против простейших брутфорсов. Это не snake oil, это наследие когда капчами и прочими методами не ограждали входы в аккаунты.


    1. vsespb
      22.01.2018 11:00

      ничего подобного. на случай потери TOTP приложения есть одноразовые коды, бэкап ключа TOTP приложения на бумаге и смс.


  1. firk
    22.01.2018 09:43

    Некоторые до сих пор не понимают, что большинству пользователей всех этих сервисов их безопасность настолько не важна (и обоснованно), что даже минимальное затруднение для её повышения будет ими закономерно отвергнуто. То же самое касается и паролей типа 123123. Даже если не брать в расчёт одноразовые аккаунты (которых, несомненно, значительная доля, если только там не стоит какая-то специальная эвристика против них), большинству людей практически наплевать на возможность того, что их почтовый аккаунт украдут. Ну украдут — пофиг, новый зарегистрируют, никаких проблем, всё равно ничего важного там обычно нет и, даже если он не одноразовый, используется он в примерно таком же режиме.


  1. TheOleg
    22.01.2018 13:41

    Использую везде 3 пароля, по одному для совсем левых сайтов, для обычных и для важных. При этом знаю, что первые два пароля давно слиты в сеть.
    Для важных сайтов привязал 2FA. Если взломают на левых сайтах, то там ничего нет, если на важных, то телефон защитит.


  1. AndreyYu
    22.01.2018 13:52

    Всегда всем включаю 2FA везде.
    Т.к. authenticator работает с привязкой к устройству, то в случае потери или кражи анонимно на пэйтбин выложены резервные коды без лишней информации в случае чего ссылка открывается и доступ без проблем получается. Чтобы легче было запомнить ссылку сделан редирект с поддомена аккурат на пэйстбин (или другие варианты)


  1. Sevensenn
    23.01.2018 20:53

    Я не пользовался 2FA пока у меня не увели аккаунт.
    Я не пользовался менеджером паролей пока не забыл пароль от аккаунта. Восстановить его не смог, ибо забыл пароль от почты и не имел доступа к мобильному телефону, который был указан.
    Как бонус: я не пользовался облачным хранилищем фотографий пока не сломалась флешка в телефоне. Восстановить 1500 фотографий восстановить предложили за +-24к рублей (в трех разных сервисах)

    P.S. Доверяю свои данные Apple и Google


  1. BlackSCORPION
    23.01.2018 20:53

    Слово в защиту мененджера паролей: самые надежные пароли это сгенерированные пароли, которые регулярно меняются. Каждый день где то что то ломают, сливают данные, и заинтересованные люди их хранят. Во времена технологий БигДата и машинного обучения проанализировать эти данные не проблема. HumanFriendly пароли раскрывают Вас, ваши паттерны, мышление, предпочтения. Даже одного пароля достаточно чтобы составить словарь и забрутфорсить алгоритм составления паролей на одном из богом забытых сайтов где вы когда то регистрировались.


  1. igorb4
    23.01.2018 20:54

    Что за бред: «поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет.» ???


    1. ivansychev Автор
      23.01.2018 20:55

      Бе?би-бум[1] (англ. baby boom) — компенсационное увеличение рождаемости в конце 1940-х — начале 1950-х годов.


      1. igorb4
        24.01.2018 11:46

        2018-1950=68, 2018-1940=78.


  1. ilyaska
    23.01.2018 20:55

    1passwod умеет хорошо и удобно выдавать 2фа ключи


  1. sbh
    23.01.2018 20:55

    Вечная дилемма: безопасно или удобно.


  1. viloncool
    23.01.2018 20:55

    Спасибо за статью! Раньше и не подозревал о существовании у гугла двухфакторной аутентификации, теперь активировал и сплю спокойно.


  1. Murimonai
    23.01.2018 20:55

    Не понимаю я этой страсти к парольным менеджерам. Сама идея доверить все пароли одной софтине напоминает мне корзинку с яйцами из известной пословицы.


    1. powerman
      25.01.2018 04:32

      Зависит от софтины. В случае KeePass — софтина опенсорсная, формат файла с паролями открытый, если не путаю — алгоритм шифрования AES, внутри XML. Есть несколько реализаций, в т.ч. под разные платформы, плюс чуть ли не библиотеки для разных языков программирования для чтения базы KeePass. В общем, как бы ни сломалось конкретное приложение KeePass под конкретной OS — доступ к своим паролям Вы не потеряете.


  1. saskasa
    23.01.2018 20:55

    Может ли кто-то объяснить чем отличается соединение по imap при включенной на аккаунте 2FA и с выключенной?
    Т.к. сам по себе imap такую проверку не поддерживает (на сколько мне известно), то первое что пришло мне в голову, что при включении 2FA, imap перестанет работать. Но imap после включение 2fa работает как и раньше.
    Сейчас я думаю что гугл при аутентификациях в аккаунт запоминает ip и разрешает imap-соединение с таких ip. На сколько правильно такое суждение?


  1. Armozlo
    23.01.2018 20:55

    включал 2фа — в итоге так и не смог настроить внешний почтовик на корректную работу с мылом. отключил.


  1. Tetrodotoxin
    23.01.2018 20:55

    Купил недавно U2F ключ (на самом деле 2 — для бэкапа). А тут как-раз Firefox их поддержку добавил. Ну, думаю — теперь заживём. Банки начнут поддерживать, госуслуги :-) Привяжу где смогу.
    Однако, как оказалось, FIDO U2F уже не модно. За столько лет так и не взлетел.
    Теперь не торопясь пилят новый стандарт Web Authentication twitter.com/jamespugjones/status/931324766782332928
    Такое ощущение что надёжная аутентификация никому (читай правительствам и корпорациям) не нужна, кроме гиков-фриков.


  1. zzmaster
    24.01.2018 12:48

    А меня вообще бесит, когда я создаю какой-нибудь мусорный аккаунт, в Гугле ли, в Яндексе или Фейбуке и от меня требуют мер безопсности, уместных для банковских операций. Позвольте мне самому определять, нужно ли блокировать мой аккаунт пока я не вышлю фотку, подтверждение с телефона (реальный случай с мордокнигой) и проч. или меня устраивает пароль 123 и чтоб никаких блокировок!


    1. sumanai
      24.01.2018 16:20

      Понимаете, они позволяют пользоваться своими сервисами не просто так, а в обмен на ваши персональные данные и клики по рекламе. Поэтому им нет резона держать фейковые аккаунты.


  1. rexen
    24.01.2018 16:52

    Иногда привязка к СМС/SIM просто выбешивает. Иногда даже три раза подряд:

    Приезжаю тут к родне в Донецк.
    Сюрприз первый — через месяц вырубился роуминг Мегафона и моя российская СМС-ка стала «тыквой»… А там привязка к вебманям, Авито и т.п…
    Ладно, помучался, но как-то пережил. Перепривязал к другому оператору.
    Второй сюрприз — через несколько месяцев симка того второго оператора просто молча сдохла, потомучто деньги на ней кончились, а я думал, что она в «read-only» режиме год может функционировать.
    Хрен с ним — второй раз нудная переписка с саппортом вебманей…
    И тут недавно те же грабли в третий раз — ложится последний украинский ОпСос, действовавший в Донецке… А местный сотовый оператор работает замкнуто внутри ДНР.
    Занавес.

    PS: Случай исключительный, да, но осадочек-то у меня всё-равно остался от таких жёстких «аутентификаций».
    PPS: Не пишите про внешние ключи для WM и прочие советы — это уже освоено, но после собственных шишек.


    1. sumanai
      24.01.2018 16:56

      а я думал, что она в «read-only» режиме год может функционировать.

      Такого нигде практически нет, даже с деньгами симки блочат через в среднем 3 месяца и отбирают номер.


      1. rexen
        24.01.2018 17:09

        Ну вот какраз Vodafone, которому в январе перебили оптокабель на линии соприкосновения всегда по USSD-отчёту об остатке средств приписывал, что СИМка действует целый год после последнего списания/пополнения.
        И у меня почему-то возник стереотип, что у всех операторов так. А на самом деле по-разному бывает.


        1. sumanai
          24.01.2018 19:18

          Ну, я имел в виду Россию.