В чем именно заключается смысл двухфакторной авторизации с sms?

Пароль не нужен. Телефон - второй паспорт.

Пароль - идентификация, одноразовый код - аутентификация тьфу авторизация.

Очевидно же, смысл - привязать твою учётную запись к номеру телефона, который есть паспорт.
Бла-бла-бла про «безопасность» - для дурачков

Смысл в том, что логин\пароль в вебе забрутфорсить на порядок легче, чем завладеть телефоном или перехватывать sms.

По твоей логике, все банки, банкоматы, онлайн-банкинг можно смело закрывать, ведь человеком тоже можно завладеть.

Во всякие trello двухфакторка с письмом. Так сделано из-за государств типа Эрафии, где твои смс кто ни попадя может читать. Навального уже «ломали» через восстановление доступа по смс

перехватить смс - это как?
а насчет завладеть телефоном - потерял симку - сразу блокируй.

логин\пароль в вебе забрутфорсить

брутофорсить на реальном железе только можно, а при бруте пароля админки от вордпресса тебя просто апач забанит

Как тебе уже сказали, смысл в том, чтобы развести тебя на привязку телефона.

Безопасность здорового человека — это TOTP и надёжно забекапленные коды восстановления, либо восстановление через имейл, если аккаунт не ценный.

В рамках СОРМ все смс и записанные звонки хранятся. По закону там непродолжительное время, но учитывая, что бабу судили за госизмену в 2017-2018 за то что она смс в 2008 отправила своему грузинскому мачо, о том, что из Сочи к границам Грузии танки идут, то хранится все кроме интернет-трафика может бессрочно. Оборудование СОРМ дает удаленный доступ к СМС-шлюзам и тд

Уязвимости в шлюзах для рассылки, копия симки, прямой перехват через оператора.

брутофорсить на реальном железе только можно, а при бруте пароля админки от вордпресса тебя просто апач забанит

Мне влом обсуждать 100500 вариантов борьбы меча и доспеха. Баны, прокси, прокси-баны, и прочее буквоедство. Суть в том что двухфакторная авторизация надежнее однофакторной. Это все, что нужно знать.

Безопасность здорового человека

Здесь не про безопасность человека, а про авторизацию на каком-либо сервисе.

Уязвимости в шлюзах для рассылки, копия симки, прямой перехват через оператора.

Все это теория. На практике терморектальный криптоанализ встречается намного чаще в том или ином его виде, так что точек отказа здесь всего две: либо кто-то подберет твой пароль «12345» или дату рождения; либо тебе приставят нож к горлу в переулке и попросят ввести код с СМС. Нанимать толпу хакеров, подменять GSM станции и прочей мутью никто не будет заниматься, чтобы снять твои нищие 5к зеленых.

нет, предложение не закрывать, а убрать пароль, так как он недобавляет безопасности по отношению к просто «код из смс»

Ради интереса попытался восстановить пароль от привата24 (онлайн-банкинга). Запрашивает номер карты и пин-код от нее.

Если кто-то захочет восстановить пароль, имея мой телефонный аппарат, мой номер, мою карту и мой пин - то скорее всего этот кто-то - я.

Любимий горад можыд спать спакойна

нет, предложение не закрывать, а убрать пароль, так как он недобавляет безопасности по отношению к просто «код из смс»

Опять таки на примере привата24. Первый раз, когда ты авторизуешься двухфакторной аутентификацией, оно делает снимок твоей системы. Не помню как это по-научному, короче уникальный трекинг. С последующим логином с этого компа, двухфакторную аутентификацию оно уже не просит, а ограничивается обычным паролем. Что есть удобно.

И да, пароль безопасности ДОБАВЛЯЕТ, потому что кроме пароля - он еще содержит ЛОГИН, узнать который лишь ненамного легче, чем сам пароль к нему.

Про то что логин добавляет безопасности - абсоюлтно верно.

Но увы есть проблемка - последнее время много сервисов стали готовы принимать вместо логина - номер телефона. Что опять сводит к тому что он только усложняет нормальный вход а безопасности не добавляет, «достаточно смс»

Ни разу не теория, а распространённая практика.

Есть сервисы (и это не банки, в банках все же к защите относятся серьезнее), которые такой проверки не выполняют. Не легче ли в таком случае предлагать ввести только логин и затем сразу просить ввести код из смс?

В том, чтобы было легче уводить аккаунты с помощью просроченных симок, очевидно же.

нет, предложение не закрывать, а убрать пароль, так как он недобавляет безопасности по отношению к просто «код из смс»

Добавляет. Разный метод получения. Разный метод хранения.

Пароль не нужен. Телефон - второй паспорт.

Нет!

Телефон не нужен, паспорт тоже не нужен, а пароль нужен.

Любую систему можно взломать - вопрос затрат ресурсов. Ресурсы не редко конвертируются во время среди прочего. Если сброс пароля сделан правильно - то тебя попросят ввести хотя бы один из старых паролей. А перед этим злоумышленнику надо будет обойти биометрический вход на твоей мобилке или ввести с 3ех попыток pin симки. Это всё думаю вполне реализуемо при должном желании, но в подавляющем большинстве случаев утери или кражи, даёт достаточно времени чтобы спокойно всё заблокировать используя следующий фактор аутентификации такой как паспорт. Двухфакторная она только потому-что термин прижился когда журналистов насиловали, по-факту она n-факторная, просто самые распространённые факторы это пароль и OTP.

Не легче ли в таком случае предлагать ввести только логин и затем сразу просить ввести код из смс?

Код из СМС - не всегда вариант. Хотя бы потому что отправка СМС - платная, и даже крупные конторы вроде украинского приватбанка, переходят от СМС к звонкам.

Звонки - тоже не вариант, потому что очень легко превратить жизнь любого человека в ад, при помощи однострочного скрипта на курле, который будет пытаться авторизоваться на сайте.

Ни разу не теория, а распространённая практика.

Не слышал у себя в стране ни об одном прецеденте, когда у какого-либо человека целенаправленно увели информацию, используя уязвимость телефонной системы с которой он связан.

SMS это такой же протокол как например IP, а вещается оно по воздуху, сиди с антенной да перехватывай. Другое дело, что пакет зашифрован PSK, а скорее всего ещё и сессионным ключом по-итогу, но не удивлюсь, что есть подходы как и такое обойти, особенно в различных частных случаях. Да и вредоносное ПО на телефоне вполне может себе позволить быть перехватчиком SMS.

что логин\пароль в вебе забрутфорсить на порядок легче, чем завладеть телефоном или перехватывать sms.

Вот фигню написал.
1. GSM (2G) «экспортный» с 40-битным симметричным ключём до сих пор валиден, телефон даже не нарисует тебе «шифрование отключено».
2. СМС вообще не шифруются - это вариант SMTP
3. Телефон коннектится к ближайшей сильнейшей и свободнейшей станции
4. Если поднять свою БС рядом с жертвой, перехват его СМС и прослушка тривиальны.
5. Ну или стать опсосом в бандустане и ловить роумингом - но это требует больше движений.

Конкретно эту статью я не читал, но это как минимум одна из существующих уязвимостей.

https://habr.com/ru/post/403649/

windows10

Напомнило песенку «Хорошо!» от Люмен.

1. GSM (2G) «экспортный» с 40-битным симметричным ключём до сих пор валиден, телефон даже не нарисует тебе «шифрование отключено».

Ичо ?

2. СМС вообще не шифруются - это вариант SMTP

Ичо ?

3. Телефон коннектится к ближайшей сильнейшей и свободнейшей станции

Ичо ?

4. Если поднять свою БС рядом с жертвой, перехват его СМС и прослушка тривиальны.

Если

5. Ну или стать опсосом в бандустане и ловить роумингом - но это требует больше движений.

Ага, или сбросить ядерную бомбу бла бла бла

Чувак, давай реальные сценарии взлома моего фейсбучека, а не всякую теоретическую туфту.

И ещё статья: https://habr.com/ru/company/pt/blog/283052/

Это то, что я назвал «стать опсосом в бандустане».
При прочих равных поднять 2G БС с усилителем может быть проще и быстрее.

Так кому нужен твой фейсбучек, это слишком дорого, даже терморектальным методом непонятна окупаемость. А вот если ты например крутой брокер и можешь торговать с плечом в 500миллиончиков, то можно и заморочиться беспалевно и анонимно себе деньжат перевести, гораздо меньше чем эти самые 500млн, т.к. роботы не дремлют, но очень даже.

Атаки описанные в этих статьях - не были ТАРГЕТИРОВАНЫ, а это очень важно.

Одно дело - ВЗЛОМАТЬ КОНКРЕТНЫЙ СЕРВЕР. Другое дело - найти чье-то селфи с кредами на стикере на фоне.

Важное замечание:

Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов

Я нигде не писал, что СМС безопасно и неуязвимо ;)

Мы решили проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram. Для этого мы зарегистрировали тестовый аккаунт Telegram, обменялись несколькими тестовыми сообщениями

не были ТАРГЕТИРОВАНЫ

Совсем не были, ага.

Он добавляет, только если не сбрасывается по коду из смс. А если сбрасывается, как это часто бывает - то ничего не добавлет. О том и топик

Так кому нужен твой фейсбучек, это слишком дорого, даже терморектальным методом непонятна окупаемость. А вот если ты например крутой брокер и можешь торговать с плечом в 500миллиончиков, то можно и заморочиться беспалевно и анонимно себе деньжат перевести, гораздо меньше чем эти самые 500млн, т.к. роботы не дремлют, но очень даже.

Беспалевнее это делать терморектальным методом. И вот как раз ТАКИХ инцидентов (например по запросу «вымогали криптовалюту») - сотни.

А. Простите мою невнимательность. Виноват, каюсь, посыпаю голову пеплом, обещаю исправиться.

Если аутентификация только по SMS, это не двухфакторная аутентификация.

Совсем не были, ага.

Ты новость-то читал ?

Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов, а затем использовали

Ты видишь разницу между «копался в базе данных, нашел креды какого-то WitcherGeralt, решил ломануть» и между «есть такой чувак, WitcherGeralt, надо-ка его ломануть» ?

Поступили по принципу «места навалом, нам не жалко». На фоне звонков, хранение смс это действительно капля в море.

то хранится все кроме интернет-трафика может бессрочно.

С голосом такое уже не проканает. Это был камень преткновения когда закон приняли.

Вторая ссылка.

Смысл в том, что логин\пароль в вебе забрутфорсить на порядок легче

Зачем брутфорсить? Сам расскажешь. Я про всякие вири с кейлогерами/читателями сохраненных паролей. Плюс регулярно появляющиеся «аналоги» всеми css похожими на «родной» сайт.
Хотя конечно брутфорс как был, есть, так и будет есть. Правда он больше на совсем лохов ориентирован.

+Много. Я знаю ещё несколько способов, очень простых, правда далеко не всем доступных.

Ради интереса попытался восстановить пароль от привата24 (онлайн-банкинга). Запрашивает номер карты и пин-код от нее.
Любимий горад можыд спать спакойна

Последний раз когда мне такое потребовалось, единственным способом было посещение отделения банка. Мне вот так спать спокойнее.
Знаю что в некоторых гейропейских банках точно такая же шняга. Факсы, емайлы, телеграфы, телефоны... всё лесом. Приходите/приезжайте/приплывайте/прилетайте/телепартируйтесь будем решать только с вами лично.

Смысл – хоть как-то защитить учётку в публичных wifi.

Код из СМС - не всегда вариант. Хотя бы потому что отправка СМС - платная, и даже крупные конторы вроде украинского приватбанка, переходят от СМС к звонкам.

Муха-ха. ))) Вся суть банка в одном предложении. Банк экономит на СМС. )))
Из под стола: Вы хоть в курсе сколько стоят эти смс? ноль.много-нулей-одну-копейку.

переходят от СМС к звонкам.

Причем звонки за счет абонента. А то один роуминговый номер может пустить банк по ветру. )))

Из под стола: Вы хоть в курсе сколько стоят эти смс? ноль.много-нулей-одну-копейку.

В курсе. В среднем 0.03 цента. Что с базой в 40 миллионов клиентов, из которых 10 миллионов так или иначе логинятся в день, дает $37000 в день. Телефон же стоит 2 бакса в месяц. Ну пусть даже 1000 баксов в месяц (нац. оператор, ага). Несравнимый масштаб.

Причем звонки за счет абонента. А то один роуминговый номер может пустить банк по ветру. )))

Роуминговый номер не нужен.

3. Телефон коннектится к ближайшей сильнейшей и свободнейшей станции

Не сразу, но через не очень большое время перескочит.

4. Если поднять свою БС рядом с жертвой, перехват его СМС и прослушка тривиальны.

Да. Но возникает вопрос: сколько ждать? День-два-месяц? Левую бэску за это время и спалить могут.

В среднем 0.03 цента.

Вы откуда такую цену взяли? С сайта опсоса?