Как достали со своей двухфакторной!

Соглашусь. Сначала пароли предлагали по нескольку раз в час менять, теперь это придумали. Оно в теории хорошо, конечно, если бы мыло и номер мобильного телефона были бы чем-то неотъемлемым, но на деле то...

у меня нигде нет двухфакторки, кроме рабочих сервисов. наверное потому что я ее не врубал.

Пользуюсь U2F и не парюсь. И вам советую.

Кстати, может и на ЛОР добавить двух-факторку? А то вдруг мой сосисочный аккаунт угонят и начнут постить всякую хрень.

его уже угнали.

Продолбал телефон, купил новый

И в чём проблема восстановить симку?

Банкинг не спешит U2F поддерживать, к сожалению.

Гугл_аутентикатор или микрософт_аутентикатор сбросились

По этому я запилил себе автономный «бекап», ибо от того, что оно было только в одном месте (на телефоне), поджилки немного тряслись. Теперь хоть с любого места генерить могу.

Не менял номер с 2003 года. Зачем это делать?

По разным причинам.

Ну да, но у меня вообще отдельный девайс для входа в интернет банк, без кода с него много каких операций не доступно.

Кроме как чтобы скрыться от коллекторов иных не вижу

Трактор, например.

Ну, у банкинга для «физиков» я нигде токены не видел, только смс.

Из российских у Авангарда раньше была своя «ЭЦП» (флешка с ключом), но у меня не российский банк.

Нигде не юзаю двухфахторку. У меня так один из аккаунтов гугла потерялся. Я вечно через впн, плюс всякие плагины для анонимизации - не признает, хотя и пароль правильный. Восстановление не работает. Типа - попробуйте с того устройства/ip с которго последний раз удачно залогинились.

Да хоть бы и от коллекторов скрыться.

Юзаю двухфакторку (TOTP) везде, где она есть, брат жив, зависимости нет.

у меня нигде нет двухфакторки, кроме рабочих сервисов. наверное потому что я ее не врубал.

Аналогично.

Гугл_аутентикатор или микрософт_аутентикатор сбросились

Раньше я думал, что люди думающие что IE это и есть интернет это мем, но потом я зашел в этот топик.

Это называется TOTP, TOTP! И нет они не сбросились, как раз с ними все в порядке.

Везде двухфакторка, аутентификатор на телефоне не использую.

Ох, жиза. Такая-же проблема была с гуглом вроде. В итоге когда таки получил доступ - вырубил эту х3рню от греха подальше. Беда нынче с двухфакторкой, да. Почему-то массового стандартизированного TOTP в вебе так и нет повсеместно.

Сервисов с полноценным TOTP где можно сохранить себе в надежное место «секрет» каким-нибудь образом - единицы, а гемора с восстановлением доступа - дофига.

не могу сменить номер телефона в Battle.net из-за двухфакторной авторизации, оно отправляет смс с кодом на старый номер. а так больше нигде не использую.

Поддерживаю, двухфакторная авторизация не нужна, достаточно длинного случайного пароля, сгенерированного с применением аппаратной энтропии. Видимо хотят собрать базу телефонных номеров, деанонимизировать и отслеживать все действия. Любой сервис, требующий номера телефона без острой необходимости (например для службы доставки или гос-порталов), идёт лесом.

Видимо хотят собрать базу телефонных номеров,

Такая двухфакторная аутентификация не нужна, да. Нормальный стандартизированный TOTP - вполне себе хорош. Беда в том что в правильном виде его тоже нигде нет.

как достали телефоны продалбывать

В смысле нет стандартизированного TOTP? Это он и есть.

В смысле сервисов единицы? Все нормальные сервисы его поддерживают, кроме совсем уж хомячковых и говнобанков где только SMS. И софт нормальный есть нафига ставить говно типа «Гугл_аутентикатор и микрософт_аутентикатор» я не понимаю.

Всё-таки их именно что единицы в массе остальных сервисов. Стоит только выйти за пределы обычного мирка айтишника, и всё. Все магазины требуют телефон, и хорошо ещё если в качестве опциональной двухфакторной аутентификации а не основного способа входа. Игровые площадки типа стима, гога и прочего - тоже хрен знает что предоставляют вместо нормального TOTP - какие-то одноразовые пароли по email, и.т.д. Всратый аутентификатор battlenet’а уже тут упоминали. Так что нет, TOTP в общей массе нигде нет.

Любой сервис, требующий номера телефона без острой необходимости

Надо отличать двухфакторку на основе смс и верификацию номера некоторыми сервисами. Первая давно устарела и нормальные сервисы перешли на более современные методы. Вторую используют как средство от массовых регистраций.

Вторую используют как средство от массовых регистраций.

Почему это проблема? Место в базе данных кончится? ЛОР с регистрацией по e-mail и анонимусами пока не помер. Есть базы спамерских e-mail, капчи и прочие средства для защиты, соблюдающие анонимность пользователей.

Ну это явно не проблема двухфакторной авторизации.

Надо законодательно закрепить телефон за человеком. Как номер так и конкретный аппарат. Покупка устройства - через госуслуги. ОС - только отечественная, обязательный бекап всего содержимого в профиль госуслуг, непрерывная запись видео и звука 24 часа в сутки - всё для безопасности пользователя, конечно. В случае утери - подача заявления в течении 24 часов и уплата штрафа. В случае выключения телефона больше чем на 24 часа - штраф, на 48 часов - срок.

Только так и победим разгильдяйство!

вдруг мой сосисочный аккаунт угонят и начнут постить всякую хрень.

его уже угнали.

посмеялся от души))

я думаю, они со временем придумают какую-нибудь рекламу, почему выгодно и удобно вживлять микросхемы под кожу. как сейчас с искусственными материалами: дешевле, теплее, стирать можно и т.д.

Не понимаю, нахрена?

они это не для твоего, а для _своего_ удобства делают. если так посмотреть, то все становится на свои места.

Вполне возможно. Знал чувака который себе в руку RFID вставил, по его словам довольно удобно, когда он весь свой дом и прочее электронное окружение под это дело настроил. Вполне может к этому и придём в итоге.

Свободный человек вправе распоряжаться своим телефоном как хочет. Захочу и разобью его об стену или разберу на запчасти.

Знал чувака который себе в руку RFID вставил, по его словам довольно удобно, когда он весь свой дом и прочее электронное окружение под это дело настроил.

А потом злоумышленник вырвет этот RFID и захватит дом. С телефоном у вас хоть рука целая останется.

Вполне может к этому и придём в итоге.

Не надо нам такого будущего.

Капчу решить дешевле, чем арендовать номер для смс. А если капча+верификация номера, то становится ещё сложнее и дороже.

Почему это проблема?

Абъюз сервиса, ботоводство, спам.

Абъюз сервиса, ботоводство, спам.

Решается модерацией. Многие настоящие пользователи ничем не лучше ботов и спамеров. Можно посмотреть комментарии популярных Youtube каналов: там не разберёшь где спам-боты, а где идиоты и тролли.

они это не для твоего, а для _своего_ удобства

Именно.
Банковская карточка БЕЗ ху.факторной авторизации предполагает гарантии банка на возврат средств в течение какого-то срока после угона. С ху.факторной авторизацией «для вашей безопсности» предполагает х.. в слуае увода средств.

Не надо нам такого будущего.

Надо не надо, а именно к этому походу всё и идёт. И это даже не у нас такая тенденция, а общемировая, увы.

Решается модерацией.

Да, решается. Но вот допустим ты забанил генератора тупняка, если у тебя нет верификации номера, то он спокойно зарегается с другой почты и продолжит нести тупняк в массы. А если ты требуешь номер при регистрации, то ему уже сложнее зарегаться заново. Следующий уровень, после проверки номера – проверка кредитки.

Я, кстати, сам не люблю, когда просят номер. И держу левый prepaid номер, чисто для регистраций на таких сервисах.

А потом злоумышленник вырвет этот RFID и захватит дом. С телефоном у вас хоть рука целая останется.

Ну, злоумышленник должен знать что у этого конкретного чувака RFID в руке. Но да, подобные идентификаторы вроде вживлённых чипов или биометрии имеют такой недостаток, да.

Ну а если это всё начнут вживлять на государственном уровне - то учитывая как у нас сделаны все эти «отечественные» разработки, скорее всего найдут способы их просто подделывать. Будут коды для прошивки покупать у ментов, например. Или у центров сертификации, или у банков. Или просто тупо в даркнете пачками, что наиболее вероятно.

Это просто готовый сюжет для киберпанка. «чувака который себе в руку RFID вставил» в подъезде догоняет банда урукхаев и отрубет ему руку. После чего он не может попасть домой, где аптечка, и умирает от потери крови.

Надо не надо, а именно к этому походу всё и идёт.

Разве что в Китае. В либеральных странах всё более-менее нормально. Никто всерьёз обязательное ношение телефонов и использование вживлённых RFID чипов не обсуждает. Об этом кричат только 5G-фобы и всякие плоскоземельщики.

Двухфакторная это еще ничего. Значительно веселее, когда лишь владение номером мобильного становится основной отмычкой ко всему.

то он спокойно зарегается с другой почты и продолжит нести тупняк в массы.

Можно ограничить доступ для недавно зарегестрированных как на ЛОРе или использовать систему инвайтов/доверенностей.

Следующий уровень, после проверки номера – проверка кредитки.

Чтобы всякие левые сервисы ещё и деньги воровали?

Я, кстати, сам не люблю, когда просят номер. И держу левый prepaid номер, чисто для регистраций на таких сервисах.

То есть вы своими же действиями подтверждаете бесполезность проверки номера телефона при регистрации/авторизации.

То есть вы своими же действиями подтверждаете бесполезность проверки номера телефона при регистрации/авторизации.

Ну если меня забанят, то мне придётся идти и брать ещё симку, что мне будет лень делать, хоть я и знаю где их у нас бесплатно можно набрать.

А если ты требуешь номер при регистрации, то ему уже сложнее зарегаться заново.

если это не массовое ботоводство, то принять смс на виртуальный номер стоит конечно не копеечку, а аж около пары р. фрактал, кащенко и прочие многореги вполне бы осилили такое, без особых потерь в бюджете.

Следующий уровень, после проверки номера – проверка кредитки.

вот тут уже сложнее, т.к. сервисы для приема смс не позволяют завести гиви/яд/etc, чтобы виртуальную карту сделать.

мне придётся идти и брать ещё симку, что мне будет лень делать

Для профессиональных ботоводов это не проблема. У них под это есть бюджет.