LINUX.ORG.RU
Ответ на: комментарий от DawnCaster

Вспомнился анекдот про админов грустных.

Директор спрашивает утром - «Чего такие грустные?»

Админы - «Пиво пили - пароли меняли»

Serg_HIS
()
Ответ на: комментарий от DawnCaster

дадада, «Можно держать на ключах» — вот это и есть тот самый театр. давайте ещё в нашу модель включим предмет который каждый человек на планете теряет из виду каждый день. и этот предмет обладает суперсилой: даёт доступ ко всему что имеет человек.
никто не захочет им воспользоваться без спроса владельца. как такое в голову может прийти?

system-root ★★★★★
()
Последнее исправление: system-root (всего исправлений: 1)
Ответ на: комментарий от system-root

Слушайте, любая двухфакторная аутентификация лучше простого пароля. Это вполне себе доказанный факт. Разумеется, это не панацея. Конечно, есть куча нюансов, но в любом случае - введение двухфакторной аутентификации - как минимум не уменьшит безопасность.

DawnCaster ★★
()
Ответ на: комментарий от Serg_HIS

Какие ключи, ты что. Сначала порт-кноккинг (постучать специальным образом). Потом мама подходит к двери и ты называешь ей пароль, чтобы она сняла цепочку. И только потом ты можешь открыть дверь ключами. Безопасность, надо-ж понимать.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от DawnCaster

Слушайте, любая двухфакторная аутентификация лучше простого пароля. Это вполне себе доказанный факт.

ох лол, посмотри как меня зовут в почте, узнай номер на странице в ВК, склонируй симку и вбей номер+ФИ в эту форму:
https://i.imgur.com/8oIBLEU.png
а теперь докажи что это доказанный факт. ничего личного, мне просто нравится стебатся над «доказанными фактами» из любой области.

system-root ★★★★★
()
Ответ на: комментарий от Legioner

А... блин...

Но админы же пиво пили - пароли меняли... :(

Serg_HIS
()
Ответ на: комментарий от peregrine

Нужно было в конце ещё восклицательный знак поставить :)

Serg_HIS
()
Ответ на: комментарий от goingUp

Это для слабаков. Ъ выпиливаются сразу из реальности.

peregrine ★★★★★
()
Ответ на: комментарий от system-root

Это и есть те самые ньюансы. Смысл как раз в том чтобы заменить небезопасный телефон отдельным генератором одноразовых паролей, а восстановление по номеру телефона отключить совсем. Ну а если так сделать нельзя - то конечно это не безопасно, и это плохая реализация.

Как бы там ни было - два пароля, один из которых получается по независимому каналу, лучше чем один, потому что такая модель защищает от бОльшего количества возможных атак. Уж не знаю как еще вам объяснить очевидную вещь.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Вот только у нас почему-то принято называть двухфакторной авторизацией то, что ей не является по определению. Двухфакторная, это когда ты помнишь пароль и к ней привязан номер. Без пароля и номера авторизоваться нельзя, как и восстановить пароль. А у нас называют ей тот случай, когда имея только номер можно гарантированно авторизоваться.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

это ты сейчас брелок на ключе, который у тебя может подрезать любой восьмилетний бродяга, назвал независимым источником для авторизации, или мне показалось?

system-root ★★★★★
()
Ответ на: комментарий от peregrine

Ну, тут согласен, тоже часто такое вижу. Тут только просвещение конечных пользователей поможет. Особенно в этом плане меня умиляют некоторые банки, которые позволяют восстановить доступ к онлайн-банку по номеру карты и телефону.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Тут только просвещение конечных пользователей поможет

Каким образом? Они тут причём? Они писали банковские системы?

Serg_HIS
()
Ответ на: комментарий от system-root

Ну подрежет его любой восьмилетний бродяга, а что он с ним будет делать, если он не знает аккаунта и основного пароля ? Ну а если знает, то если раньше ему надо было знать только пароль (который можно получить через компрометацию основного канала связи - интернет подключения к сайту), то теперь ему надо заранее знать что у меня есть ещё один способ аутентификации, и его тоже надо как-то обойти.

Чего я вам объясняю очевидные вещи из википедии, блин, надоело уже...

DawnCaster ★★
()
Ответ на: комментарий от Serg_HIS

Их надо просвещать, чтобы они более менее понимали где нормальная двухфакторная аутентификация, а где явная лажа. А уж они будут массово ныть администрации что их любимый сервис (банк) которым они пользуются, в плане безопасности - говно. Другого способа я не вижу.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)
Ответ на: комментарий от system-root

И нет, я говорил про аутентификацию использующую независимый канал связи в дополнения к основному. Например, OTP (который настраивается один раз в доверенной сети), или СМС для авторизации на сайте в дополнение к логину\паролю.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Банки пошлют в одно место. Они пользователей считают быдлом.

Пользователи могут отказаться от услуг максимум и сосать хпалец. Так устроено наше общество.

Serg_HIS
()
Ответ на: комментарий от system-root

Не знаю в какой области вы работаете, но я, в одной из своих областей (сисадминство) - с самыми очевидными моделями угроз из википедии как раз таки чаще всего и сталкиваюсь.

Вот это вот все - типа кража OTP-брелка (правильная причём), сложный социальный инжиниринг, клонирование сим-карты, и всё в этом духе, оно по сравнению с банальными вещами вроде записи паролей на бумажке-прилипайке на мониторе, и использовании одного пароля для всех сайтов - настолько редко встречается, что банальный одноразовый пароль по СМС в дополнению к обычному решил-бы большую часть проблем с безопасностью.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)
Ответ на: комментарий от DawnCaster

а теперь вернёмся к моему первому комментарию и, я настаиваю, согласимся, что это не решит большую часть проблем, а устроит театральную постановку, погрузив всех в приятное ощущение безопасности.
в которой и находится индустрия по причине невозможности нормальной идентификации.
и завершу лозунгом: аутентификация — это не панацея, это костыль.

system-root ★★★★★
()
Ответ на: комментарий от Serg_HIS

Ну как сказать. И да и нет. Постепенно эти вопросы безопасности уже и в законы просачиваются. Не совсем так как хотелось-бы, но всё-таки. Да и в наше время в этой стране, пожалуй, только один банк может систематически забивать на безопасность. Остальным банкам в современных реалиях живётся куда «веселее», и ТАК забивать на безопасность как это делает тот самый один большой зеленый банк, они себе позволить могут конечно, но не настолько откровенно уже.

DawnCaster ★★
()

Мои пароли сливались уже не раз. Поэтому на свяких говносайтах я держу пароль «яверт01», чтобы когда мудаки админы его сольют, мой настоящий пароль «%#@fsgehER?U» так никто и не узнал.

yvv ★★☆
()
Ответ на: комментарий от system-root

Ну да. Только вот недавнее внутреннее исследование гугла говорит об обратном. В нём, в частности, утверждается, что после принуждения сотрудников к использованию дополнительных аппаратных брелков в дополнению к паролям - у них за какой-то срок количество взломов аккаунтов сотрудников снизилось до нуля. Подробности сами нагуглите, если хотите.

В других компаниях, кстати, результаты похожие. Так что я с вами соглашусь только в том, что «приятное ощущение безопасности», это зло. Нужно просто правильно уметь использовать механизмы безопасности, и не расслабляться.

DawnCaster ★★
()
Ответ на: комментарий от Serg_HIS

Увы и ах. На территории (бывшего) СНГ везде одно и то-же говно твориться ((( Немного отличаются нюансы только - где-то с орешками, а где-то с кукурузой.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 3)

Удостоверился, что я - неуловимый Джо. Пароль от last.fm слился пять лет назад и хоть бы кто что сделал.

t184256 ★★★★★
()
Ответ на: комментарий от Serg_HIS

Да (правда не ТСу, он бы так красиво не сверстал), и не испытываю по этому поводу ни капельки переживаний. Бесполезные емэйлы для того и нужны, чтобы использовать их когда захотел, а не трястись над ними.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Тю… я бы сверстал и лучше.

Думаешь ТС настолько немощен в своих скилах?

Serg_HIS
()
Ответ на: комментарий от Deleted

Есть вероятность, что кто-то восзоздаст твой временный ящик и получит доступ к аккаунту.

Конечно, для регистрации на всяких помойках они подходят идеально. Но думаю, использовать алиасы более надёжно и удобно.

xdimquax ★★★★
()
Ответ на: комментарий от Serg_HIS

РМС говорит - У вас не должны быть «Якорей» в виде централизованных (объеденяющих несколько площадок) базовых источников подтверждения своего профиля на этих площадках. И я ему верю впринципе, всегда надо отталкиваться от анонимности и непривязанности к чему-либо.

cheetah111v
()

Не надоело спамить, конееб?

telikan
()

Слит один пароль который забыт давно и не нужен, и еще один, внимание - от контакта. Но там 2FA, так что хрен с ним.

Mosi
()
Ответ на: комментарий от xdimquax

Ты держишь одинаковый пароль на всех важных сайтах?

Нет. Только на лоре и на биткойнталкс одинаковый.

yvv ★★☆
()
Последнее исправление: yvv (всего исправлений: 2)
Ответ на: комментарий от cheetah111v

Ещё логин и/или никнейм может быть одинаковым везде.

xdimquax ★★★★
()
Ответ на: комментарий от Deleted

И да, теперь я знаю какой убогий новый дизайн у GMail

да, таки новый и вправду тошнотворен. но вроде они написали, что пока можно оставаться на старом. правда, непонятно, до какого времени. ну и есть ещё html-версия. самый компактный и читабельный вид.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

это уже само по себе нездорово. тем более, для гугла.

Почему ? Считаете, какие-нибудь маркетологи сильно шарят в безопасности ? Да и количество персонала такое, что кого-то, да ломают на регулярной основе.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 1)

Это сбор живых e-mailов?

Evgueni ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.