LINUX.ORG.RU
ФорумTalks

Как достали со своей двухфакторной!

 , , ,


0

1

Продолбал телефон, купил новый. И началось. Почта, в том числе корпоративная, ютуб пару акков (детский и обычный), мессенджеры, да все кругом, требуют двухфакторки! проги типа Гугл_аутентикатор или микрософт_аутентикатор сбросились, чистые. Все приходится восстанавливать через какую то жопу. Про смски вообще молчу. Нахрена это, где мы ошиблись и сошли с пути? У меня отличные пароли в парольном менеджере, нахрен эту двухфакторку!

Не понимаю, нахрена? А ведь так радеющие за безопасность сервисы поголовно хранят пароли в открытом виде, везде утечки, но зато надо нагородить это двухфакторного гомна, поставив юзера раком. В жопу гугл и другие сервисы, хрен вам всем! Теперь не просто попасть даже в анальное рабство

★★
Ответ на: комментарий от cocucka

меня так на пейсбуке в своё время забанинили, а ради него симку брать я не собираюсь. тем более сейчас зарегить карту в европах дело попахивающее сливом всей о себе инфы каким то левым организациям, верифипистящим данные через вебку. как вариант только купить подтвержденную у беженого негра, но там есть вариант с вломом по среди ночи отряда в масках, ибо вдруг окажется известным алахбабахом и запеленгуют его карту. жесткие времена.

linuxxx
()
Ответ на: комментарий от wxw

Значительно веселее, когда лишь владение номером мобильного становится основной отмычкой ко всему.

Потому что на самом деле мобила не может и не должна служить вторым фактором. Это должен быть отдельный девайс или хотя бы листок с распечатками одноразовых кодов.

Ее использование в этом качестве - это неправильное решение из-за которого уже кстати происходили эпичные взломы некоторых аккаунтов. Оно работает только против мамкиных кульхацкеров и то не всегда. Зато попсовое и как бы удобное.

У меня волосы на голове шевелятся от того, что некоторые идиоты (или наоборот шибко умные сволочи) предлагают вообще заменять паспорт мобилой.

praseodim ★★★★★
()
Ответ на: комментарий от ncrmnt

У меня для ВТБ есть.

С ним есть забавный факап. Мастер-карта имеет срок действия как обычная. Но и генератору и банку пофиг. Спустя 7 лет все равно работает ))

yax123 ★★★★★
()

Один раз скриншотишь и сохраняешь QR-коды, затем восстанавливаешь при необходимости. В чём вообще проблема?

Tigger ★★★★★
()
Ответ на: комментарий от praseodim

У меня волосы на голове шевелятся от того, что некоторые идиоты (или наоборот шибко умные сволочи) предлагают вообще заменять паспорт мобилой.

В Китае уже (ещё). У них для всего используется WeChat на смартфоне включая оплату в магазине (у них для этого используются QR-коды на стороне магазина), различные сделки и взаимодействие с государством.

X512 ★★★★★
()

Тоже задолбало.

urxvt ★★★★★
()
Ответ на: комментарий от ncrmnt

Ну, у банкинга для «физиков» я нигде токены не видел, только смс.

А я видел и пользовался. У Райффайзена. Правда это был не токен, а кардридер. Только потом они сдулись и перевели всех на SMS или PUSH.

AEP ★★★★★
()

Ты не шаришь - это всего лишь перекладывание ответственности за доступ к системе на пользователя. Точно так же продуктовые разработчики всегда стараются косты скинуть на клиентов, ну либо включают их в ценник.

pon4ik ★★★★★
()
Ответ на: комментарий от cocucka

Сейчас у авангарда эцп в виде банковской карточки есть

cvs-255 ★★★★★
()

Удивительное единодушие во мнениях, что двуфакторка не нужна

Всем на заметку, убедитесь что данные TOTP приложений бекапятся

zendrz ★★
() автор топика
Ответ на: комментарий от Polugnom

Переезд в Крым/за рубеж, не? Задрали спамом. Задрали коллекторы.

tiinn ★★★★★
()
Ответ на: комментарий от cocucka

Ну да, но у меня вообще отдельный девайс для входа в интернет банк

У тебя что, тоже машинка для пинкодов? Я думал этот треш только в Швейцарии и у Амеров остался

upcFrost ★★★★★
()
Ответ на: комментарий от AEP

У Райффайзена. Правда это был не токен, а кардридер. Только потом они сдулись и перевели всех на SMS или PUSH.

И спасибо им на этом. Я жене деньги перекинуть не могу если этот долбаный ридер дома забыл. Ещё и карту лишнюю таскать, можно подумать их без этого мало

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

Я жене деньги перекинуть не могу если этот долбаный ридер дома забыл.

крупным банкам уже сотни лет, а никто так и не додумался сделать шаренный счет между двумя людьми. достаточно частый случай же.

зачем перекидывать-то?

для случая зарплаты и прочего, можно же «авто»-закидку сделать по событиям.

или это все ни в одном другом крупном банке до сих пор нету (кроме того, что я пользую или мне просто повезло)?

n_play
()
Ответ на: комментарий от n_play

крупным банкам уже сотни лет, а никто так и не додумался сделать шаренный счет между двумя людьми. достаточно частый случай же.

Потом второй человек спишет все деньги и скроется в неизвестном направлении…

Лучше бы систему инвойсов ввели. При оплате в интернет магазине присылают инвойс, его подтверждаешь в приложении или сайте банка, списываются деньги и в интернет магазин приходит подтверждение об оплате. Также можно выписывать инвойс частному лицу если хочешь, чтобы тебе перевели деньги.

В Японии покупки в интернет магазине можно оплачивать наличными в автомате, установленном во многих магазинах, введя код оплаты.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 2)
Ответ на: комментарий от Polugnom

Не менял номер с 2003 года. Зачем это делать?

Менял номер 4 раза за последние 10 лет, когда в новую страну понаезжал.

hateyoufeel ★★★★★
()
Ответ на: комментарий от n_play

крупным банкам уже сотни лет, а никто так и не додумался сделать шаренный счет между двумя людьми. достаточно частый случай же.

Вообще-то это есть у многих банков. Либо ты можешь к своему счёту выпустить карту на имя другого человека.

hateyoufeel ★★★★★
()

Про смски вообще молчу. Нахрена это, где мы ошиблись и сошли с пути?

Очевидно зачем — чтобы следить за тобой. Ты за сервисы платишь? Нет. Будь добр заплатить хотя бы частной информацией о себе, своих родственниках и друзьях.

byko3y ★★★★
()

ты жалуешся на бытовые условия. а мне пришлось постфикс перенастраивать на сотнях серверов. и это те до которых можно было дотянутся. В следующем году у всех встанет колом и будут меня разрывать.

Nurmukh ★★★
()
Ответ на: комментарий от byko3y

Ты за сервисы платишь?

Премиальный ютуб например…

Знаешь, с сервисом «рутрекер» у меня проблем нет:) Так что это все зажравшиеся копирасты

zendrz ★★
() автор топика
Ответ на: комментарий от Nurmukh

Кстати жесть, спасибо за напоминание

zendrz ★★
() автор топика

Вырубил двухвафторку на многих акках, в том числе гугловских, гитлабовских. С помощью того, что на ноуте большая часть была залогинена. Пусть лучше взламывают, чем я еще раз таким раком встану: с паролями, но без возможности залогиниться.

zendrz ★★
() автор топика
Ответ на: комментарий от X512

Лучше бы систему инвойсов ввели. При оплате в интернет магазине присылают инвойс, его подтверждаешь в приложении или сайте банка, списываются деньги и в интернет магазин приходит подтверждение об оплате. Также можно выписывать инвойс частному лицу если хочешь, чтобы тебе перевели деньги.

это давно уже есть. называется «межбанковский перевод». вот только он формально идет до 5 рабочих дней. (именно рабочих, тобишь если в например в четверг утром отошлешь, то может попасться скотский банк типа сбера - который запроцессит такое лишь во вторник или среду на след. неделе)

n_play
()
Ответ на: комментарий от hateyoufeel

Либо ты можешь к своему счёту выпустить карту на имя другого человека.

это совсем уровень абстракции. т.к. карта посути лишь реквизиты ко счету.

n_play
()
Ответ на: комментарий от hateyoufeel

вот чуть выше, человек жалуется на настоящие щвейцарские банки с «тысячелетней» историей.

не может вместе с женой счет шареный завести.

n_play
()
Ответ на: комментарий от n_play

жена чтоли?

А почему нет? Много кто выходит замуж ради денег.

X512 ★★★★★
()
Ответ на: комментарий от X512

Потом второй человек спишет все деньги и скроется в неизвестном направлении…

всегда можно сделать несколько счетов и шарить только один особый. все просто же.

тобишь шарить лишь один счет из нескольких, а не полный доступ ко всему банковскому аккаунту.

n_play
()
Ответ на: комментарий от n_play

для случая зарплаты и прочего, можно же «авто»-закидку сделать по событиям.

а вдруг жена в сексе отказывает

Harald ★★★★★
()
Ответ на: комментарий от upcFrost

У тебя что, тоже машинка для пинкодов?

Да, в одном из банков. Вставляешь карточку, вводишь пинкод и он генерит коды для авторизации. Без нее можно зайти в интернетбанк, отсканировав QR-код приложением на телефоне, но тогда не все операции доступны и дневной лимит ниже. Мне этих ридеров банк дал аж четыре штуки, так что проблем найти его и подтвердить операцию особо нет.

cocucka ★★★★☆
()
Ответ на: комментарий от n_play

Ну, круто. А в других банках такая штука есть. Мы с подружкой совместный счёт для путешествий держим.

hateyoufeel ★★★★★
()
Ответ на: комментарий от DawnCaster

Надо не надо, а именно к этому походу всё и идёт. И это даже не у нас такая тенденция, а общемировая, увы.

Полностью с Вами согласен. И меня это радует - плюсов ожидается явно больше, чем минусов. Более того, если посмотреть ретроспективно, то внедрение практически всех новых технологий вызывали подобные опасения. Думаю, в этом плане ничего и в будущем не изменится.

Serge10 ★★★★★
()
Ответ на: комментарий от X512

В либеральных странах всё более-менее нормально. Никто всерьёз обязательное ношение телефонов и использование вживлённых RFID чипов не обсуждает.

Предлагаю Вам провести эксперимент - выбрать либеральную страну (любую), и опросить, скажем, 100 случайных людей на улице на предмет наличия у них с собой телефона. Как думаете, у какого количества человек из сотни телефона с собой не окажется?

Вот такой же расклад будет в будущем и с RFID (или что им придет на смену) чипами.

Это я к тому, что «обязательность ношения» на самом деле совсем не обязательна - в том смысле, что люди готовы носить их (сегодня телефоны, завтра чипы) добровольно, без всякого принуждения со стороны властей. Просто потому, что удобства перевешивают недостатки.

Serge10 ★★★★★
()
Ответ на: комментарий от X512

Чтобы всякие левые сервисы ещё и деньги воровали?

И как Вам поможет номер кредитки украсть с нее деньги?

Serge10 ★★★★★
()
Ответ на: комментарий от praseodim

Потому что на самом деле мобила не может и не должна служить вторым фактором.

Я мало что понимаю в безопасности, поясните, пожалуйста, почему? Из-за возможности подкупа сотрудников оператора сотовой связи? Так подобные вопросы, как мне представляется, решать стоит юридическими методами (ужесточением ответственности), а не технически.

Или есть какие-то другие уязвимости, характерные именно для мобильной связи?

Serge10 ★★★★★
()
Ответ на: комментарий от upcFrost

И спасибо им на этом. Я жене деньги перекинуть не могу если этот долбаный ридер дома забыл. Ещё и карту лишнюю таскать, можно подумать их без этого мало

Вот, про это я и говорю. Подавляющее большинство людей (и я в том числе) при выборе между удобством пользования и потенциальными проблемами с безопасностью выберут удобство.

Serge10 ★★★★★
()
Ответ на: комментарий от n_play

а никто так и не додумался сделать шаренный счет между двумя людьми. достаточно частый случай же.

Как это не додумались? Еще 20 лет назад были такие услуги - семейные банковские карты, привязанные к одном счету. Для каждой можно было свои лимиты настроить. Уверен, и сейчас такие услуги есть.

Serge10 ★★★★★
()
Ответ на: комментарий от X512

Потом второй человек спишет все деньги и скроется в неизвестном направлении…

Ну так думайте головой, с кем совместный счет заводить :). Обычно это на родителей/детей или на супругов рассчитано. Кроме того, там можно лимиты настраивать.

Лучше бы систему инвойсов ввели.

Может, я чего не понимаю, но чем это отличается от выставления обычных счетов при безналичной оплате? В случае интернет-магазинов есть существенный минус - в отличие от оплатой картой платеж по счету может занять длительное (до нескольких дней) время. Но сам-то механизм оплаты существует.

Serge10 ★★★★★
()
Ответ на: комментарий от hateyoufeel

Вообще-то это есть у многих банков. Либо ты можешь к своему счёту выпустить карту на имя другого человека.

Вот именно. Причем новой эту услугу никак не назовешь - ей уже не один десяток лет.

Serge10 ★★★★★
()
Ответ на: комментарий от DawnCaster

Стимы, гоги - это все фигня. Вот какие российские банки поддерживают TOTP? А то оставлять в качестве второго фактора телефонный номер, который обязательно сольют мошенникам, такая себе идея.

Kolins ★★★★★
()
Ответ на: комментарий от Serge10

Может, я чего не понимаю, но чем это отличается от выставления обычных счетов при безналичной оплате?

Тем, что интернет-магазин ничего не знает про банковский счёт клиента (вводить номер банковской карты не надо) и не имеет возможности списывать деньги. Украсть деньги у клиента магазином становится принципиально невозможно. Инвойс можно просто не подтвердить в приложении/сайте банка. Можно оплатить его с любого счёта.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от Serge10

Предлагаю Вам провести эксперимент - выбрать либеральную страну (любую), и опросить, скажем, 100 случайных людей на улице на предмет наличия у них с собой телефона.

Например в Японии на многих видах подработки запрещено иметь при себе телефон в рабочее время, а также проносить телефон на кухню ресторана/склад с товарами и т.д..

Некоторые люди не имеют мобильного телефона и не испытывают проблем. Да и если людей не носящих с собой телефон меньшинство, это не значит что это меньшинство надо репрессировать.

Вот такой же расклад будет в будущем и с RFID (или что им придет на смену) чипами.

Не верю, что люди массово захотят себе что-то имплантировать. У имплантированных чипов особо нет преимуществ по сравнению с обычными RFID картами или телефоном. А недостатков хватает: можно занести заразу при имплантировании, чип может сместится куда не надо, вызвать аллергию или ещё какую реакцию, чип может выйти из строя или устареть, что потребует частой замены, может быть несколько чипов с несовместимыми протоколами и придётся имплантировать много чипов одновременно.

Indiana is a step closer to forbidding companies from forcing workers to implant microchips in their bodies, following the state House of Representatives’ unanimous passage of a bill last week that could make it the 12th state with such a law.

(c) www.marketwatch.com 2020.02.03.

Это я к тому, что «обязательность ношения» на самом деле совсем не обязательна

Ношение, потому что удобно и принуждение ношения по закону - разные вещи. Можно дома забыть телефон, он может разрядиться, можно забыть за него заплатить. Если у меня при себе не будет телефона, у полиции не будет никаких претензий.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от Serge10

и опросить, скажем, 100 случайных людей на улице на предмет наличия у них с собой телефона. Как думаете, у какого количества человек из сотни телефона с собой не окажется?

Рандом. Сто пенсионеров или сто пионеров? Далее, вы никогда не забываете телефон дома/на работе? Как минимум по своей практике, могу сказать, что в течении года те люди с которыми я общаюсь по работе и звонков 10-50 не более так или иначе хотя бы в один раз забывают телефон дома. Разряженный телефон так не бывает у вас?

anc ★★★★★
()
Ответ на: комментарий от X512

Инвойс можно просто не подтвердить в приложении/сайте банка.

Заведи себе карту с 3D Secure. Тоже платёж без подтверждения не будет проходить.

hateyoufeel ★★★★★
()
Ответ на: комментарий от X512

Тем, что интернет-магазин ничего не знает про банковский счёт клиента (вводить номер банковской карты не надо) и не имеет возможности списывать деньги.

Вы меня не поняли. Я говорю не про оплату банковской картой, а про выставление обычного счета для оплаты. Где указаны банковские реквизиты продавца, на которые покупатель через интернет-банк (или при личном посещении своего банка) переводит со своего счета деньги. Как при расчетах между юридическими лицами. Ну или как оплата квитанций за коммунальные услуги, если Вам так понятнее.

Украсть деньги у клиента магазином становится принципиально невозможно.

Украсть у клиента и так не получится - любую транзакцию можно отозвать в течение довольно продолжительного времени (несколько суток), достаточно соответствующего заявления в банк. Предвосхищая Ваш вопрос, да, у меня есть такой опыт - несколько раз при оплате банковской картой происходили ошибки (один раз сумма выросла на порядок (продавец ошибся, набирая сумму на считывателе карт, а я не заметил), другой раз при интернет-покупке почему-то деньги снялись дважды). В обоих случаях удалось без проблем отозвать ошибочные транзакции.

Serge10 ★★★★★
()
Ответ на: комментарий от X512

Например в Японии на многих видах подработки запрещено иметь при себе телефон в рабочее время, а также проносить телефон на кухню ресторана/склад с товарами и т.д..

Извините, но это совсем другая история. В России тоже есть компании, политика безопасности которых запрещает использование мобильных устройств на работе.

Но мы-то про другое говорили? А именно про то, что людей не нужно принуждать таскать с собой мобильный телефон, по которому их можно легко отследить. Они радостно делают это сами, просто потому, что удобства, которые предоставляет телефон, перевешивают потенциальные проблемы с приватностью.

И я абсолютно уверен, что в будущем точно такая же ситуация сложится и с чипами.

Ношение, потому что удобно и принуждение ношения по закону - разные вещи.

Конечно, с этим и спорить глупо. Но вот с точки зрения использования телефонов в целях тотального контроля за перемещениями граждан разницы практически никакой - тем ничтожным процентом людей, которые в силу каких-то причин именно сегодня оказались без телефона, можно просто пренебречь.

А раз так, то зачем обострять ситуацию, принимая заведомо непопулярный в обществе закон? Когда и без закона отслеживание прекрасно работает.

Serge10 ★★★★★
()
Ответ на: комментарий от X512

У имплантированных чипов особо нет преимуществ по сравнению с обычными RFID картами или телефоном.

Это сегодня. А завтра такие преимущества могут появиться. Собственно говоря, главное преимущество есть уже сегодня - имплантированный чип невозможно потерять/украсть/забыть дома. Но сегодня есть и серьезные недостатки - размер чипов, необходимость какой-никакой операции для имплантации, вопросы с энергопотреблением и т. п. Поэтому сегодня недостатки перевешивают удобства.

Но представьте, что завтра размеры чипов уменьшились на порядок, для имплантации достаточно, например, выпить стакан воды с чипом. Уже этого будет достаточно, чтобы многие воспользовались подобной технологией. А ведь по поводу применения чипов можно долго фантазировать - он может выполнять и коммуникационные функции, и функции носителя информации. Вот Вам и те преимущества, ради которых большинство пожертвуют своей приватностью. Да и честно говоря, уже и жертвовать-то будет нечем - на потерю приватности большинство согласилось уже сегодня, перейдя на пользование мобильными телефонами и оплатой покупок банковскими картами.

А недостатков хватает: можно занести заразу при имплантировании, чип может сместится куда не надо, вызвать аллергию или ещё какую реакцию, чип может выйти из строя или устареть, что потребует частой замены, может быть несколько чипов с несовместимыми протоколами и придётся имплантировать много чипов одновременно.

Все верно, но Вы перечислили сегодняшние недостатки. Именно поэтому пока никто кроме отдельных фриков этой технологией и не пользуется. Но технологии развиваются. В 70-е годы прошлого века, например, только в компании Моторолла верили в возможность создания носимых мобильных телефонов, все остальные производители считали это никогда не реализуемой блажью (слишком большие размеры и необходимость большого аккумулятора) и сосредоточились на разработке встроенных в автомобили телефонов.

Так и сейчас с чипами. То, что сегодня кажется невозможным, будет реализовано в будущем. И лично я уверен, что все перечисленные Вами недостатки удастся устранить.

Serge10 ★★★★★
()
Ответ на: комментарий от anc

Рандом. Сто пенсионеров или сто пионеров?

Есть такое понятие - репрезентативная выборка ;). А если серьезно, то можно, конечно, сослаться на 100 детей в детском саду (хотя в последние годы даже у детей стали появляться телефоны), или на 100 пациентов в доме престарелых. Но мы же с Вами не в слова играем? Уверен, Вы поняли мысль, которую я хотел донести.

Далее, вы никогда не забываете телефон дома/на работе?

Очень редко. И в таких случаях всегда возвращаюсь за ним. Без телефона я как без рук :(.

так или иначе хотя бы в один раз забывают телефон дома.

См. выше, я отвечал на этот вопрос. Конечно, всегда есть какой-то ничтожный процент людей, которые в силу каких-то причин остались без связи. Но он никак не влияет на возможности тотального контроля властей за гражданами. Сами подумайте, от того, что пару дней в году Ваши передвижения не удастся полностью отследить (частично удастся, потому что останутся еще оплата банковской картой, GPS-модуль в автомобиле и т. п.), общая картина не пострадает.

Serge10 ★★★★★
()
Ответ на: комментарий от hateyoufeel

Заведи себе карту с 3D Secure. Тоже платёж без подтверждения не будет проходить.

Так это же та самая двухфакторная авторизация по SMS, против которой все в этой теме так ополчились ;).

Я уж не говорю о том, что вроде как в России последние лет 5 карты без этой технологии не выпускают. И думаю, что не только в России, т. к. это сервис не банка, а самих платежных систем.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Собственно говоря, главное преимущество есть уже сегодня - имплантированный чип невозможно потерять/украсть/забыть дома.

Украсть чип можно без проблем: вырывается чип вместе с кожей. И в отличии от кражи телефона/смарт карты остаётся травма на всю жизнь. С физической кражей надо бороться не техническими средствами, а улучшением правопорядка, например как в Японии - одной из стран с самым низким уровнем преступности.

Но представьте, что завтра размеры чипов уменьшились на порядок, для имплантации достаточно, например, выпить стакан воды с чипом.

Если фантазировать, то лучше сразу на роботехническое тело перейти. Это будет быстрее, чем выпиваемые чипы.

X512 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.