У пользователей есть несколько вариантов для второго фактора защиты учетной записи: через одноразовый код в национальном мессенджере Мах, через одноразовый код в специальном приложении и по биометрии, их можно выбрать в разделе "Безопасность". Вариант с подтверждением по СМС сохраняется для пользователей "Госуслуг" для ПК.
Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
-
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
С максом как то боязно. Что это вообще такое? Какая там на самом деле защита? Трудно ли злоумышленнику воспользоваться как-то твоим максом?
А как использовать одноразовый код в специальном приложении? Что это за приложения, как они работают и защищены?
Re[2]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, qqqqq, Вы писали: Q>А как использовать одноразовый код в специальном приложении? Что это за приложения, как они работают и защищены?
Прекрасно они работают. Главное — не требуют наличия связи вообще. Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая.
Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. https://habr.com/ru/articles/534064/
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Лазар Бешкенадзе, Вы писали:
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
Подозреваю, что им пофиг.
Эффективные менеджеры сэкономят на СМС и заставят всех установить MAX — получат премию и благодарность.
Re[3]: Минцифры откажется от СМС-подтверждения для входа на
S>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
Друга ищи не того, кто любезен с тобой, кто с тобой соглашается, а крепкого советника, кто полезного для тебя ищет и противится твоим необдуманным словам.
Здравствуйте, Sinclair, Вы писали:
S>Здравствуйте, qqqqq, Вы писали: Q>>А как использовать одноразовый код в специальном приложении? Что это за приложения, как они работают и защищены? S>Прекрасно они работают. Главное — не требуют наличия связи вообще. Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая. S>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Re[4]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, wl., Вы писали:
wl.>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Только придётся перевести часы назад ещё и на сервере. Тогда примет, да.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[4]: Минцифры откажется от СМС-подтверждения для входа на
Здравствуйте, Osaka, Вы писали:
S>>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно. O>Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
Здравствуйте, wl., Вы писали:
wl.>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Пароль же на серваке проверяется, причем тут локальное время?
Здравствуйте, Marty, Вы писали:
M>Здравствуйте, wl., Вы писали: wl.>>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет? M>Пароль же на серваке проверяется, причем тут локальное время?
а, понял, это для сайта, а не в приложении на телефоне аутентификация
Re: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
У пользователей есть несколько вариантов для второго фактора защиты учетной записи: через одноразовый код в национальном мессенджере Мах, через одноразовый код в специальном приложении и по биометрии, их можно выбрать в разделе "Безопасность". Вариант с подтверждением по СМС сохраняется для пользователей "Госуслуг" для ПК.
ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.
У Apple для всех их политик контроля над пользователями есть одна безотказная отмаза — безопасность. Здесь на мой взгляд точно так же. Цель в том чтобы люди установили мессенджер Max и собрать с людей биометрию.
Идиоты они только в том смысле, что в своё время именно путинское правительство шантажировало людей для регистрации на гос. услугах. Если люди не смогут туда зайти чтобы платить налоги и штрафы, то они сами себе злобные буратины.
Но вообще люди в том числе и я съели полное отключение мобильного интернета. Не так как в петушковых регионах, где до сих пор кукарекают, что всё работает. А раз так, то я и полному отключению стационарного интернета не удивлюсь.
У меня мобильный тариф на момент подписки стоил 490 рублей, уже давно 590 рублей. Я не плачу за него уже несколько месяцев. Путинскому правительству всё равно, а оператора связи взяли за горло. Ну привет чебурнет по белым спискам с гос. услугами и мессенджером Max, вопрос только кто за это будет платить.
В принципе я жил в эпоху лазерных дисков dvd и cd, жил в эпоху дискет 3.5" и 5.25", жил в эпоху магнитофонных кассет с программами на них. Сейчас интернет с сервисами порой такой тормознутый как будь-то сидишь на телефонном модеме.
Просто мы вступим в новую эпоху, эпоху больших автономных хранилищ, вот и всё. Это касается в основном России, другие страны возможно даже этого не заметят. Хотя те же европейцы заставляли ставить политику конфиденциальности, и вроде даже хотели недавно передумать, так как поняли, что это глупо.
Но вот в то, что российское правительство поумнеет я не верю. Они там на своей волне будут сидеть до последнего, пока мы не вступим в эпоху киберпанка где данные внезапно перевозят курьеры данных. Вот это предсказание из прошлого, но смысл действительно есть.
А люди сейчас ещё юморят, что дескать будут спрашивать купить ютуб за такое-то число или какой-то сайт. А это на самом деле не так смешно, как кажется на первый взгляд. Или совсем даже не смешно, а разумно.
Re[6]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, wl., Вы писали:
wl.>а, понял, это для сайта, а не в приложении на телефоне аутентификация
Так приложение на телефоне всё равно лезет на сайт. Тут другой вопрос с телефоном, что если им завладел злоумышленник и смог получить доступ, то пиши пропало.
Лично мне эта цифровизация настолько повальная нафик не упёрлась, а так-то и ножками могу протопать в МФЦ, при необходимости
Здравствуйте, CaptainFlint, Вы писали:
wl.>>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
CF>Только придётся перевести часы назад ещё и на сервере. Тогда примет, да.
А как сервер воспримет то, что у него почему-то на будущее в базе лежат кучи кодов, которые он вроде бы пока ещё не должен был бы генерить?
Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать
Здравствуйте, Marty, Вы писали:
wl.>>а, понял, это для сайта, а не в приложении на телефоне аутентификация M>Так приложение на телефоне всё равно лезет на сайт. Тут другой вопрос с телефоном, что если им завладел злоумышленник и смог получить доступ, то пиши пропало.
да, я понял, просто Sinclair писал: "Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая."
Я неправильно интерпретировал, что код подойдет для приложения Госуслуги на телефоне, а не то, что на компе интернет есть, а на телефоне нет, но телефон всё равно сделает нужный пароль для сайта
Re[6]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Marty, Вы писали:
CF>>Только придётся перевести часы назад ещё и на сервере. Тогда примет, да.
M>А как сервер воспримет то, что у него почему-то на будущее в базе лежат кучи кодов, которые он вроде бы пока ещё не должен был бы генерить?
M>Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать
Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.
Никакие кэши тут не нужны. Зачем? Пользователи не так часто логинятся, чтобы это требовалось кэшировать, а у разных аккаунтов секреты разные, так что и коды будут получаться у каждого свои. А то, что коды из будущего — во-первых, сервер знать не знает, из какого они времени. Сгенерировал коды, сравнил с клиентским вводом, дал разрешение или отлуп, а из какого они там времени, его не колышет. Более того, сервер в любом случае будет генерировать коды из будущего, так как рекомендуется принимать код из текущего интервала, предыдущего и следующего (чтобы не падать при малейшем рассинхроне времени и корректно принимать коды, сгенерированные на границе интервала).
Естественно, от перевода времени могут быть всякие странные последствия (в зависимости от структуры кода и базы данных), но к TOTP это уже отношения не имеет.
И в любом случае, это был чисто умозрительный пример. Если уж мы заполучили доступ к серваку с привилегиями, достаточными для смены текущего времени, то с большой вероятностью у нас уже есть доступ к коду движка и базе данных, а там хранятся все секретные коды для TOTP в сыром виде (хэшировать нельзя, для генерации кода нужен оригинал). И тогда нам нафиг не сдалось куда-то перематывать время, мы можем просто генерировать актуальные коды и по текущему времени. И более того, даже сами эти коды нам уже будут совершенно не нужны.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[7]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, CaptainFlint, Вы писали:
M>>Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать
CF>Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.
Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести
Здравствуйте, Marty, Вы писали:
M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик.
Да, именно так. При рассогласовании времени на устройстве отп код работать не будет
Re[9]: Минцифры откажется от СМС-подтверждения для входа на "Госуслуги"
Здравствуйте, Nnova, Вы писали:
M>>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. N>Да, именно так. При рассогласовании времени на устройстве отп код работать не будет
Стопе
По моей версии рассогласование времени не важно, важно, как быстро код вернулся по другому каналу связи. Тут мне кажется, не важно, у кого какое время. Важно, чтобы полученный код был равен текущему или паре-тройке предыдущих на кортких временных интервалах
Здравствуйте, CRT, Вы писали:
M>> а так-то и ножками могу протопать в МФЦ, при необходимости
CRT>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать
