Reuters: самое время менять пароль на Gmail/Mail.ru/Yahoo

Возможно именно с этой базы были взяты пароли Кисилева и вот только что сообщили, что хакнули замминистра энергетики этой страны.

Старье, наверное, какое-нибудь.

А когда ты в последний раз менял пароль от гмыла? Я — 2 года назад.

Кто-то ещё не пользуется двухфазной аутентификацией?

Ты украл мой коммент!

это та, которая на мобиле? А если телефон потеряешь?

Симку восстановить у оператора 30 мин

TOTP не имеет отношения к симке, а то, что имеет, не нужно, т. к. сообщения могут быть перехвачены.

А если телефон потеряешь?

ТНе беда, контрольные вопросы, запасной номер ...

Gmail
mail.ru

Зонд вырвали!:)

TOTP не имеет отношения к симке, а то, что имеет, не нужно, т. к. сообщения могут быть перехвачены.

При условии, что они знают номер телефона. Для этого лучше использовать отдельную симку, номер которой никто не знает.

Судя по характеру данных, собиралось это все подсовыванием троянов пользователям и/или через банальный фишинг.

Ничем таким не пользуюсь, что и хорошо.

Угу, чужой дядя по липовой доверенности перевыпустит симку и уведет все пароли. 2FA с отечественными операторами превращается в 0FA :)

Кто-то ещё не пользуется двухфазной аутентификацией?

У меня сложилось впечатление, что двухфакторная аутентификация - это хорошее решение среднего уровня для массового лоховатого в вопросах иб пользователя, но правильно организованная однофакторная (логин/пароль) без дополнительных лишних сущностей и без восстановлений пароля надежнее, потому что меньше точек отказа (взлома).

Я не пользуюсь, потому что от нее больше геморроя.

Кто-то ещё не пользуется двухфазной аутентификацией?

Ты полностью доверяешь мобильному оператору?

если вы о сливе данных, собранных при помощи троянов, сомнительного ПО, и таких же сомнительных сайтов, то я могу не волноваться

но спасибо, я регулярно меняю пароли, причем на более длинные каждый раз

Задрали требования менять пароль. Устал их выдумывать и запоминать. Когда же все эти ваши облачные сервисы наконец сдохнут.

Типа, Неуловимый Джо?

где качать базу?

Это не обязательно код в смс, есть генераторы одноразовых паролей, как в банках. Тот же Google Authentificator.

Запарили двухфазной. Скажи, в ssh она есть? По делу - пароли сильные, длинные, регулярно меняю. Есть несколько правил, чтобы запоминать.

Симку угнать с мутной ксерокопией и рожей кирпичом 30 минут, ты хотел сказать?

TOTP всё равно лучше в плане безопасности. Секрет можно перехватить только в момент обмена им, ну и постфактум, завладев физическим девайсом.

Если уж про отдельную симку, то тогда уж ей и пользоваться надо в месте, о котором никто не знает, с телефона, о котором никто не знает.

Учитывая фигурирование mail.ru, вангую, что слили с российских компов каким-нибудь трояном. Ну и под шумок слили остальные найденные пароли на компе жертвы (yahoo и gmail). Эмпирический вывод: если нет акка на мэйлсру, то можно не дёргаться.

при замене сим карты приходит смс, после которой остается достаточно времени, чтобы среагировать

Да, секрьюрити оно такое - парит.

Я, у меня в поездках телефон не работает регулярно или на нём интернета нет. Что с этим можно поделать?)

У того же гугла есть программа, которая генерит необходимые ключи (Android).

Достаточно, чтобы он был включен. Наличие на нём сети не имеет значения. Ставишь приложение, которое генерирует одноразовые коды и всё.

А как оно узнает когда генерировать? Или типа приложение знает алгоритм по которому генерировать и может сгенерировать в любой момент без связи с свервером?

Можно и без всяких доверенностей. У знакомого увели 500 рублей с QIWI, перехватив СМС-подтверждения, сотрудники самого оператора (МТС). Просто в один прекрасный момент пришла СМС с кодом для восстановления пароля, а затем быстро с кодом для подтверждения платежа. При этом симка в тот момент была вставлена в тупую звонилку, которой много лет, так что возможность использования зловреда под Android исключается.

В голову с ходу приходит вариант с асимметричной криптографией. Скажем, если приложение генерирует приватный и публичный ключ. Публичный ключ отправляют в гугл и прикрепляют к аккаунту. Приватный ключ остаётся на устройстве. При генерации пароля приватным ключом шифруется текущая дата (с точностью до секунды, скажем), результат шифрования и будет паролем. Сервер дешифрует и проверяет, чтобы пароль не был слишком тухлый. Плюс добавляет пароль в список «уже было» и в следующий раз не принимает (по истечении срока годности пароля, можно забыть его навсегда, чтобы не забивать чёрный список). В результате получается огромная надёжность (пока не сопрут приватный ключ, но это будет невозможно без физического доступа, если отключить на устройстве интернет), а связь с сервером требуется только в момент генерации ключей.

Как это сделано в конкретном примере - понятия не имею, но должно быть что-то подобное.

Запарили двухфазной. Скажи, в ssh она есть?

Можно прикрутить через PAM.

меньше точек отказа (взлома)

это не так хотя бы потому что в двухфакторной для успеха нужно выполнить то же что в однофакторной и ещё нечто, так что это лишь защита существующих точек; насколько бы ни были слабы новые, они хуже явно не сделают

Я видел один отзыв, что бывший банковский безопасник уличил мудозвонов в подделке кодов 3Ds. Самый днищенский опсос, не зря я их избегаю с 2002 года

типа имею голову на своих плечах?

Это той, в которой твои смс с OTP перехватывают или в той, где дебилы-работники опсоса выпускают дубликат твоей сим-карты?

+1

сейчас 21 век на планетке. postfix, dovecot и прочие умеют авторизацию по сертификатам, ключам, etc. а тут про какие-то пароли и какое-то гмыло говорят. пещерные люди мира ит :)

а я поменял месяц назад, когда гугл написал, что в мою почту пытались зайти из саудовской аравии. до сих пор новый пароль запомнить не могу.

Кому выгодно информировать о компрометировании поролей? Хаксоры проникли в СМИ и с их подачи кто-то таки полезет менять пароль, что им и требуется для теста какой-нибудь экзотичной атаки на пороли.

Так влом менять и по новой логиниться на всех девайсах, особенно на ведре с сенсорной клавой

это не так хотя бы потому что в двухфакторной для успеха нужно выполнить то же что в однофакторной и ещё нечто, так что это лишь защита существующих точек; насколько бы ни были слабы новые, они хуже явно не сделают

Но на практике через компрометированную часть (опсосов или e-mail) что-то еще делается, например, восстановление пароля, проверки какие-то. Кроме того, у них оказываются сведения о самом факте использования каких-то услуг и конкретное время их использования. Все это лишнее, если им нет доверия.