А ваши пароли слились?

Вспомнился анекдот про админов грустных.

Директор спрашивает утром - «Чего такие грустные?»

Админы - «Пиво пили - пароли меняли»

дадада, «Можно держать на ключах» — вот это и есть тот самый театр. давайте ещё в нашу модель включим предмет который каждый человек на планете теряет из виду каждый день. и этот предмет обладает суперсилой: даёт доступ ко всему что имеет человек.
никто не захочет им воспользоваться без спроса владельца. как такое в голову может прийти?

Ключи от квартиры хде ненхи лежад? ;)

клиент не умеет админить спамасассин

Слушайте, любая двухфакторная аутентификация лучше простого пароля. Это вполне себе доказанный факт. Разумеется, это не панацея. Конечно, есть куча нюансов, но в любом случае - введение двухфакторной аутентификации - как минимум не уменьшит безопасность.

Какие ключи, ты что. Сначала порт-кноккинг (постучать специальным образом). Потом мама подходит к двери и ты называешь ей пароль, чтобы она сняла цепочку. И только потом ты можешь открыть дверь ключами. Безопасность, надо-ж понимать.

Слушайте, любая двухфакторная аутентификация лучше простого пароля. Это вполне себе доказанный факт.

ох лол, посмотри как меня зовут в почте, узнай номер на странице в ВК, склонируй симку и вбей номер+ФИ в эту форму:
https://i.imgur.com/8oIBLEU.png
а теперь докажи что это доказанный факт. ничего личного, мне просто нравится стебатся над «доказанными фактами» из любой области.

А... блин...

Но админы же пиво пили - пароли меняли... :(

ТС, собираешь базу email-ов для спама? Молодец.

А ЛОР с каких пор без ящика работает?

Нужно было в конце ещё восклицательный знак поставить :)

Это для слабаков. Ъ выпиливаются сразу из реальности.

Это и есть те самые ньюансы. Смысл как раз в том чтобы заменить небезопасный телефон отдельным генератором одноразовых паролей, а восстановление по номеру телефона отключить совсем. Ну а если так сделать нельзя - то конечно это не безопасно, и это плохая реализация.

Как бы там ни было - два пароля, один из которых получается по независимому каналу, лучше чем один, потому что такая модель защищает от бОльшего количества возможных атак. Уж не знаю как еще вам объяснить очевидную вещь.

Вот только у нас почему-то принято называть двухфакторной авторизацией то, что ей не является по определению. Двухфакторная, это когда ты помнишь пароль и к ней привязан номер. Без пароля и номера авторизоваться нельзя, как и восстановить пароль. А у нас называют ей тот случай, когда имея только номер можно гарантированно авторизоваться.

это ты сейчас брелок на ключе, который у тебя может подрезать любой восьмилетний бродяга, назвал независимым источником для авторизации, или мне показалось?

Ну, тут согласен, тоже часто такое вижу. Тут только просвещение конечных пользователей поможет. Особенно в этом плане меня умиляют некоторые банки, которые позволяют восстановить доступ к онлайн-банку по номеру карты и телефону.

Тут только просвещение конечных пользователей поможет

Каким образом? Они тут причём? Они писали банковские системы?

Ну подрежет его любой восьмилетний бродяга, а что он с ним будет делать, если он не знает аккаунта и основного пароля ? Ну а если знает, то если раньше ему надо было знать только пароль (который можно получить через компрометацию основного канала связи - интернет подключения к сайту), то теперь ему надо заранее знать что у меня есть ещё один способ аутентификации, и его тоже надо как-то обойти.

Чего я вам объясняю очевидные вещи из википедии, блин, надоело уже...

Их надо просвещать, чтобы они более менее понимали где нормальная двухфакторная аутентификация, а где явная лажа. А уж они будут массово ныть администрации что их любимый сервис (банк) которым они пользуются, в плане безопасности - говно. Другого способа я не вижу.

И нет, я говорил про аутентификацию использующую независимый канал связи в дополнения к основному. Например, OTP (который настраивается один раз в доверенной сети), или СМС для авторизации на сайте в дополнение к логину\паролю.

здесь шутка про очевидные модели угроз из википедии, которую мне лень придумывать.

Банки пошлют в одно место. Они пользователей считают быдлом.

Пользователи могут отказаться от услуг максимум и сосать хпалец. Так устроено наше общество.

Не знаю в какой области вы работаете, но я, в одной из своих областей (сисадминство) - с самыми очевидными моделями угроз из википедии как раз таки чаще всего и сталкиваюсь.

Вот это вот все - типа кража OTP-брелка (правильная причём), сложный социальный инжиниринг, клонирование сим-карты, и всё в этом духе, оно по сравнению с банальными вещами вроде записи паролей на бумажке-прилипайке на мониторе, и использовании одного пароля для всех сайтов - настолько редко встречается, что банальный одноразовый пароль по СМС в дополнению к обычному решил-бы большую часть проблем с безопасностью.

а теперь вернёмся к моему первому комментарию и, я настаиваю, согласимся, что это не решит большую часть проблем, а устроит театральную постановку, погрузив всех в приятное ощущение безопасности.
в которой и находится индустрия по причине невозможности нормальной идентификации.
и завершу лозунгом: аутентификация — это не панацея, это костыль.

Ну как сказать. И да и нет. Постепенно эти вопросы безопасности уже и в законы просачиваются. Не совсем так как хотелось-бы, но всё-таки. Да и в наше время в этой стране, пожалуй, только один банк может систематически забивать на безопасность. Остальным банкам в современных реалиях живётся куда «веселее», и ТАК забивать на безопасность как это делает тот самый один большой зеленый банк, они себе позволить могут конечно, но не настолько откровенно уже.

Это ты про «Плевать Банк»? ;)

Мои пароли сливались уже не раз. Поэтому на свяких говносайтах я держу пароль «яверт01», чтобы когда мудаки админы его сольют, мой настоящий пароль «%#@fsgehER?U» так никто и не узнал.

Ну да. Только вот недавнее внутреннее исследование гугла говорит об обратном. В нём, в частности, утверждается, что после принуждения сотрудников к использованию дополнительных аппаратных брелков в дополнению к паролям - у них за какой-то срок количество взломов аккаунтов сотрудников снизилось до нуля. Подробности сами нагуглите, если хотите.

В других компаниях, кстати, результаты похожие. Так что я с вами соглашусь только в том, что «приятное ощущение безопасности», это зло. Нужно просто правильно уметь использовать механизмы безопасности, и не расслабляться.

Нет. Я про другой банк в совсем другой стране. Но смысл тот-же, да.

Ну да. Мы хоть и из разных братских стран, но палец одинакоф.

Увы и ах. На территории (бывшего) СНГ везде одно и то-же говно твориться ((( Немного отличаются нюансы только - где-то с орешками, а где-то с кукурузой.

Удостоверился, что я - неуловимый Джо. Пароль от last.fm слился пять лет назад и хоть бы кто что сделал.

тоесть ты тоже слил свой бесполезный имейл ТСу для спама.

Да (правда не ТСу, он бы так красиво не сверстал), и не испытываю по этому поводу ни капельки переживаний. Бесполезные емэйлы для того и нужны, чтобы использовать их когда захотел, а не трястись над ними.

Тю… я бы сверстал и лучше.

Думаешь ТС настолько немощен в своих скилах?

Ты держишь одинаковый пароль на всех важных сайтах?

Есть вероятность, что кто-то восзоздаст твой временный ящик и получит доступ к аккаунту.

Конечно, для регистрации на всяких помойках они подходят идеально. Но думаю, использовать алиасы более надёжно и удобно.

А что такое пароль?

я думал 5 звёздочег…

Good news — no pwnage found!

РМС говорит - У вас не должны быть «Якорей» в виде централизованных (объеденяющих несколько площадок) базовых источников подтверждения своего профиля на этих площадках. И я ему верю впринципе, всегда надо отталкиваться от анонимности и непривязанности к чему-либо.

Nothing found, your account does not seem to be leaked!

Не надоело спамить, конееб?

РМС говорит

31:13

Слит один пароль который забыт давно и не нужен, и еще один, внимание - от контакта. Но там 2FA, так что хрен с ним.

Ты держишь одинаковый пароль на всех важных сайтах?

Нет. Только на лоре и на биткойнталкс одинаковый.

Ещё логин и/или никнейм может быть одинаковым везде.

И да, теперь я знаю какой убогий новый дизайн у GMail

да, таки новый и вправду тошнотворен. но вроде они написали, что пока можно оставаться на старом. правда, непонятно, до какого времени. ну и есть ещё html-версия. самый компактный и читабельный вид.

количество взломов аккаунтов сотрудников

это уже само по себе нездорово. тем более, для гугла.

это уже само по себе нездорово. тем более, для гугла.

Почему ? Считаете, какие-нибудь маркетологи сильно шарят в безопасности ? Да и количество персонала такое, что кого-то, да ломают на регулярной основе.

Это сбор живых e-mailов?