дебилы блять

Здравствуйте, wl., Вы писали:

wl.>я же правильно понимаю, что одноразовый пароль превращается в многоразовый, если знать время его действия? Просто переводишь часы назад на момент валидности пароля, и прога его примет?
Если ты можешь перевести часы "проги", т.е. например Госуслуг, то да — примет.
Но таких людей не очень много

Здравствуйте, Osaka, Вы писали:

S>>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
O>Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
Зависит от нюансов реализации телефона. Если в нем есть secure enclave, то, по идее, извлечь из него seed TOTP стороннему мессенджеру не получится.
Но, наверное, можно угнать текущий код, что сильно повышает требования к скорости осуществления этой атаки.

Здравствуйте, Marty, Вы писали:

M>По моей версии рассогласование времени не важно, важно, как быстро код вернулся по другому каналу связи. Тут мне кажется, не важно, у кого какое время. Важно, чтобы полученный код был равен текущему или паре-тройке предыдущих на кортких временных интервалах

Зачем? Фронт просто отдаёт бэку код с вопросом "оно"? Бэк генерирует три последовательных кода, и при совпадении хотя бы с одним из них говорит "ок".
Всё. Зачем ему заранее что-то генерировать, держать в каких-то кэшах?
И никакого "другого" канала связи нет — речь только об одном канале. Код передаётся ровно по тому же каналу, что и логин/пароль.

Здравствуйте, wl., Вы писали:

wl.>да, я понял, просто Sinclair писал: "Приложение генерирует корректный TOTP независимо от мобильного интернета, сотовой сети и прочего вайфая."
wl.>Я неправильно интерпретировал, что код подойдет для приложения Госуслуги на телефоне, а не то, что на компе интернет есть, а на телефоне нет, но телефон всё равно сделает нужный пароль для сайта
Приложению "на телефоне" код не нужен, потому что на телефоне чувствительных данных мало. Портал госуслуг — это ж имба: там тебе и налоги, и работа, и дети, и недвига, и авто, и чего там только нет.
В приложении ничего этого нет; максимум — локальный кэш каких-то данных. Не выходя в интернет, ты от собственности на квартиру через Госуслуги не откажешься.
Поэтому приложения защищаются локальной биометрией, там не нужен никакой "второй фактор". Нужна хорошая реализация secure enclave в платформе и правильное её использование в приложении.

Здравствуйте, Marty, Вы писали:

CRT>>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать
M>Что, оно и правда так работает?

нет конечно. тебе выдадут одноразовый пароль, который нужно будет обязательно сменить при первом входе. точно также дают доступ к ЛК налоговой.

Здравствуйте, Marty, Вы писали:

CF>>Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.

M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести

Именно так. Но код генерируется на текущий момент, по текущим системным часам. Поэтому если отмотать часы назад, то старые коды окажутся валидными.

Иными словами, сценарий такой (совершенно нежизнеспособный и неактуальный по ранее описанным причинам, но технически реализуемый):
1. Злоумышленник перехватывает чью-то сессию аутентификации, сохраняет себе, в какой момент времени это происходило, и записывает пересланный код TOTP.
2. На сервере он отматывает системные часы на то же самое время.
3. Инициирует процедуру аутентификации. Сервер использует свои текущие показания часов для генерации кода TOTP; ему пофиг, актуальное это время или нет, он этого знать не знает, просто берёт значение и засовывает его в алгоритм.
4. Поскольку алгоритм детерменированный и зависит исключительно от секретного кода (который не менялся) и от текущего времени (которое злоумышленник выставил на нужное ему значение), сгенерированный TOTP-код окажется идентичным тому, который был перехвачен в пункте 1.
5. Злоумышленник в ответ на запрос TOTP-кода отправляет этот перехваченный код, сервер сравнивает его с тем, что сгенерировал сам, убеждается в идентичности и авторизует сессию.

Здравствуйте, Marty, Вы писали:

M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести
Аутентификатору не передаётся ничего, он в оффлайне работает. Даже секрет записывается оффлайн — с QR-кода. Он даже не знает, для какого сервера этот секрет.
Берётся формула, например, хоть OTP=e^(K*T) mod 1E6. Или в Гугле используется OTP=HMACSHA1(K,T) mod 1E6.
K — секрет клиента, формируется при регистрации и хранится на нём. T — номер временного интервала, время UTC в секундах, делённое на 30, например, как у Гугла.
Дальше сервер просит ввести код. Юзер чешется, может пропустить хоть полчаса, хоть два дня, а потом зайти в аутентификатор, ввести код, посчитанный в моменте, и сервер, получив код, подставит текущее время и секрет клиента в формулу, получит код и сверит с тем, что прислал клиент.

Здравствуйте, Лазар Бешкенадзе, Вы писали:



ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.

ЛБ>-

это не совсем так . Для восстановления пароля надо еще перс. данные .
Хотя СМС действительно иногда очень неудобно . Для одного банка нам пришлось добавить google authenticator — клиентам не приходили SMS зарубежом.

идея с Max тухлая изначально .

Здравствуйте, mike_rs, Вы писали:

CRT>>>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать
M>>Что, оно и правда так работает?

_>нет конечно. тебе выдадут одноразовый пароль, который нужно будет обязательно сменить при первом входе. точно также дают доступ к ЛК налоговой.

Что "нет конечно"?

Марти писал что ему "цифровизация нафик не упёрлась" и что он "ножками может протопать в МФЦ".
То есть я понял что он собирается получать государственные услуги непосредственно в МФЦ а не через портал госуслуг.
А я ему написал что ему в МФЦ всё равно будут делать через его лк в госуслугах, который для него создадут.

К чему тут твой комментарий "тебе выдадут одноразовый пароль, который нужно будет обязательно сменить при первом входе"?

Здравствуйте, Marty, Вы писали:

CRT>>Где оператор создаст тебе л/к в г/у, сам задаст пароль и сам будет в твоем л/к оперировать

M>Что, оно и правда так работает?

Для части услуг насколько я понял да. По крайней мере на примере некоторых людей которые я знаю.

Здравствуйте, Janus, Вы писали:

J>это не совсем так . Для восстановления пароля надо еще перс. данные .

День рождения? Как у этих:

https://online.mkb.ru/login

? Персональные данные не являются секретом в отличие от пароля.

Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе.
Сам факт посылки SMS человеку который ее не заказывал, то есть не вводил пароль, уже безобразие.

-

Здравствуйте, Лазар Бешкенадзе, Вы писали:

ЛБ>Кто этим идиотам наконец объяснит что проблема не в SMS в качестве второго фактора а в том что у них нет двухфакторной аутентификации. У них нет первого фактора — пароль можно восстановить через SMS.

Чтобы восстановить пароль через СМС, требуется ввести паспортные данные. Их надо еще откуда-то знать, чтобы ввести.

Здравствуйте, Sinclair, Вы писали:

S>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
S>https://habr.com/ru/articles/534064/

Можно попросить пользователя его куда-то там ввести. Собственно, с кодами из СМС примерно так и происходит.

Здравствуйте, Pzz, Вы писали:

Pzz>Чтобы восстановить пароль через СМС, требуется ввести паспортные данные. Их надо еще откуда-то знать, чтобы ввести.

Вас послушать так можно отменить все пароли и везде аутентифицироваться по паспортным данным.

Пароль это секрет в отличие от паспортных данных — я например свои ввожу в сервисе tutu.ru когда покупаю железнодорожные билеты.
Возможность восстановить пароль должна быть при предъявлении паспорта в МФЦ а не паспортных данных на сайте Госуслуг.

-

S>>>Угнать TOTP или там "перенаправить его на телефон злоумышленника" тоже невозможно.
O>>Но если "один из национальных месенжеров"(c) позволяет удалённое управление телефоном, тогда что мешает всё это проделать прямо на устройстве лоха, пока тот спит?
M>Какой месенджер такое позволяет, и что именно?
Даже если сейчас подобные факты не установлены, кто готов взять на себя финансовое поручительство, что возможность не появится с очередным автоапдейтом (в т. ч. любых других приложений)?

ЛБ>Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе.
А операционистки МФЦ/банков должны честно восстанавливать пароль только при явке гражданина с заявлением, а не по звонку из колл-центра.

Здравствуйте, Osaka, Вы писали:

ЛБ>>Восстановление пароля к Госуслугам должно быть возможно только в МФЦ. Для банков только через банкомат банка либо через операциониста в офисе.
O>А операционистки МФЦ/банков должны честно восстанавливать пароль только при явке гражданина с заявлением, а не по звонку из колл-центра.

а если в другой стране находишься, ну хоть в том же безвизовом Китае

Здравствуйте, Osaka, Вы писали:

O>А операционистки МФЦ/банков должны честно восстанавливать пароль только при явке гражданина с заявлением, а не по звонку из колл-центра.

В МФЦ именно так — должно быть письменное заявление человека. В банке достаточно аутентификации по банковской карте. Собственно в Сбербанке все операции делаются при предъявлении паспорта и аутентификации по банковской карте.

-

Здравствуйте, wl., Вы писали:

wl.>а если в другой стране находишься, ну хоть в том же безвизовом Китае

Билет на самолет и в Россию в ближайший областной центр.

Ради комфорта горстки людей которые заграницей теряют или забывают пароль нельзя подставлять десятки миллионов людей.

UPDATE
Или перед выездом в Китай ты пишешь заявление в МФЦ что хочешь иметь возможность восстанавливать пароль online. Пусть она будет у тебя. Мне она не нужна — мне нужна нормальная двухфакторная аутентификация.

-