Apple заблокирует тебе а...ккаунты, ЛОРовец. Все.

20 лет пользовался исключительно продуктами Apple

Должен страдать.

Модераторам.

Основная мысль в том что локально нормально хостить самому не бесплатно и даже не дёшево,

Только девас купить, а может уже и не нужно если он есть в наличии + прову чутка ежемесячно заносить за статику + чутка за домен ежегодно вот вроде и всё.

требует б`Ольших временных затрат

Все зависит от девайса, но в целом в современных реалиях можно сказать и «мышкой накликать».

Все ж таки облако доступно там где доступен интернет

Ниразу не обязательно. А в условиях современных реалий с повсеместными блокировками между странами то первые под замес попадают именно сети хостингов.

А LF и не линуксоиды. Это паразиты-комерсанты, присосавшиеся к разработке ядра.

Ага, то-то Торовалтос там трудоустроен.

По хорошему, ими вообще не надо пользоваться

И FIDO2 тоже не надо?

Просрал токен – просрал аккаунт. Отличная история. Люблю такое ещё со времён поисков различными персонажами жёстких дисков по помойкам ради биткоин-кошельков.

20 лет пользовался исключительно продуктами Apple

на дурака не нужен нож, ему с три короба наврёшь, и делай с ним что хошь

Просрал токен – просрал аккаунт. Отличная история.

Сколько токенов можно прописать в одной учётной записи?

А восстановительные пин коды для записи на бумажку предлагаются?

Люблю такое ещё со времён поисков различными персонажами жёстких дисков по помойкам ради биткоин-кошельков.

Бегать по помойкам из-за украденной учётки более лучше?

Новый прекрасный мир сказочных троллей, когда хранить доступы с привязкой к большому дяде хорошо, а при полной оффлайн независимости (PKCS11, FIDO2, etc.) - «шо софсем чтоле дурак» (как посмел не зависеть от большого прибольшого дяди!)

Напоминло почему-то «арамейский», почему не немейский, даже не знаю :)

А восстановительные пин коды для записи на бумажку предлагаются?

Отлично! Тут мы для пин кода заводим менеджер паролей, чтобы совсем уж на бумажку не писать, и… у нас вновь есть менеджер паролей с паролями. Это точно делает жизнь лучше?

Бегать по помойкам из-за украденной учётки более лучше?

Ну ты пароль нормальный сделай.

когда хранить доступы с привязкой к большому дяде хорошо

Твои голоса тебе очень странные вещи рассказывают, чувак. Я этот тред создал с посылом, что хранить доступы с привязкой к аккаунту от мегакопрорации – достаточно дерьмовая идея. Ты членом на ощупь читаешь, что ли?

Отлично! Тут мы для пин кода заводим менеджер паролей, Это точно делает жизнь лучше?

Вот так как раз делать не стоит по понятным причинам.

чтобы совсем уж на бумажку не писать, и… у нас вновь есть менеджер паролей с паролями.

Таки надо на бумажку.

Ну ты пароль нормальный сделай.

Который не копируется троянами, буткитами и т.п. нечистью?

Я этот тред создал с посылом, что хранить доступы с привязкой к аккаунту от мегакопрорации – достаточно дерьмовая идея.

А с возможностью оператору мегакорпорации отвязать твою учётку по паролю, утащенному трояном, «сделает жизнь лучше» ? (c)

Ты членом на ощупь читаешь, что ли?

Вероятно так тырят пароли у наивных «чукотских» юношей, которые не пользуются FIDO2?

Отлично! Тут мы для пин кода заводим менеджер паролей, Это точно делает жизнь лучше?

Вот так как раз делать не стоит по понятным причинам.

По каким?

Таки надо на бумажку.

И на монитор приклеить.

Я этот тред создал с посылом, что хранить доступы с привязкой к аккаунту от мегакопрорации – достаточно дерьмовая идея.

А с возможностью оператору мегакорпорации отвязать твою учётку по паролю, утащенному трояном, «сделает жизнь лучше» ? (c)

Если у тебя в системе троян, тебе уже пи:;%ц. Можно заворачиваться в простыню и ползти на кладбище, потому что твои данные уже скомпрометированы.

Вероятно так тырят пароли у наивных «чукотских» юношей, которые не пользуются FIDO2?

Это примерно 99.9% всех юзеров. К слову, я свой yubikey как раз использую для резервного доступа. В этом плане он весьма удобен. В плане основного способа аутентификации – ни разу.

И это мы ещё не начали о том, что подавляющее большинство сайтов и прочего тупо не умеют FIDO2 и никогда не будут уметь.

И на монитор приклеить.

На лоб же?

Если у тебя в системе троян, тебе уже пи:;%ц. Можно заворачиваться в простыню и ползти на кладбище, потому что твои данные уже скомпрометированы.

Т.е. это почти все пользователи современных компов с аппаратным мониторингом IntelME/PSP?

Это примерно 99.9% всех юзеров.

Целевая аудитория троллей типа тебя?

И это мы ещё не начали о том, что подавляющее большинство сайтов и прочего тупо не умеют FIDO2 и никогда не будут уметь.

Но почти всегда есть аналоги с поддержкой FIDO2?

Authelia умеет защищать любые ретро сайтики.

Если у тебя в системе троян, тебе уже пи:;%ц. Можно заворачиваться в простыню и ползти на кладбище, потому что твои данные уже скомпрометированы.

Т.е. это почти все пользователи современных компов с аппаратным мониторингом IntelME/PSP?

О, я люблю таких поциентов как ты!

Про Intel ME нытьё уже лет 15 длится. Можно хотя бы один пример, когда чувака поимели через ME? А лучше эксперимент из лабы типа «вот мы поставили ноут с Intel ME, подключились к сети, и вот в него кто-то долбится и ME сливает данные». Если ME настолько большая угроза, кто-то это должен был сделать за 15 лет, разве нет? А то пока что нытьё про взлом по ME выглядит как классная история из серии жыдомасонских заговоров и иллюминатов.

Но почти всегда есть аналоги с поддержкой FIDO2?

Толку от аналогов, если нужно пользоваться вполне конкретным сервисом? Мы тут не в вакууме существуем. Можно мне аналог ЛОРа с аутентификацией по FIDO2, чтобы туда вбрасывать? Нет? То-то же!

О, я люблю таких поциентов как ты!

Ещё один дохтар, прикрывается человеколюбием, откуда вас столько?

Про Intel ME нытьё уже лет 15 длится. Можно хотя бы один пример, когда чувака поимели через ME?

Копию отчёта от операторов?

А лучше эксперимент из лабы типа «вот мы поставили ноут с Intel ME, подключились к сети, и вот в него кто-то долбится и ME сливает данные». Если ME настолько большая угроза, кто-то это должен был сделать за 15 лет, разве нет?

Если на экране не появилось сообщение, что взлом произошёл из Intel ME, то не зачёт же :)

А то пока что нытьё про взлом по ME выглядит как классная история из серии жыдомасонских заговоров и иллюминатов.

Почти все сталкерские воздействия носят характер подобных историй.

Толку от аналогов, если нужно пользоваться вполне конкретным сервисом?

Зачем конкретным, если есть лучше?

Мы тут не в вакууме существуем.

Вот именно, нужно уметь выбирать.

Можно мне аналог ЛОРа с аутентификацией по FIDO2, чтобы туда вбрасывать? Нет? То-то же!

ЛОР мог бы хотя бы добавить проверку аутентификации по одноразовым кодам на почте.

А почты с поддержкой FIDO2 предостаточно, не в РФ ессно, возможно к сожалению.

Про Intel ME нытьё уже лет 15 длится. Можно хотя бы один пример, когда чувака поимели через ME?

Копию отчёта от операторов?

А лучше эксперимент из лабы типа «вот мы поставили ноут с Intel ME, подключились к сети, и вот в него кто-то долбится и ME сливает данные». Если ME настолько большая угроза, кто-то это должен был сделать за 15 лет, разве нет?

Если на экране не появилось сообщение, что взлом произошёл из Intel ME, то не зачёт же :)

Ага. Таких историй тупо нет. Я об этом же. Intel ME не является трояном, как ни крути.

Толку от аналогов, если нужно пользоваться вполне конкретным сервисом?

Зачем конкретным, если есть лучше?

Извини, лучше ЛОРа ничего нет.

Можно мне аналог ЛОРа с аутентификацией по FIDO2, чтобы туда вбрасывать? Нет? То-то же!

ЛОР мог бы хотя бы добавить проверку аутентификации по одноразовым кодам на почте.

Для тебя лично это было бы идеально. Чтобы когда тебя забанит почтовый провайдер, например, за то что ты сменил IP и заходишь по VPN (у меня так гмыло отвалилось), ты не смог больше на ЛОР срать.

Сам тут пишешь про оффлайн аутентификацию по токенам, про «не класть все яйца в одни трусы», и тут же «мммм.. надо привязать все аккаунты к почте, чтобы можно было просрать их все сразу». Потрясающий ход мысли!

для меня это скорее повод почистить всякое ненужное барахло, которое просто не ставлю на новый. Последний раз такой переход занял часа три, из которых час был потрачен на визит опсоса, так как он не поддерживал самостоятельный перенос есим

и все равно это недоступно для огромного числа людей, которые даже и близко не представляют себе что и как работает. Для них тот факт, что после покупки телефона подтягиваются контакты и прочее либо магия, либо «а как может быть иначе»

Чтобы когда тебя забанит почтовый провайдер, например, за то что ты сменил IP и заходишь по VPN (у меня так гмыло отвалилось)

Почтовый провайдер забанит мой домен?

Для тебя лично это было бы идеально. , ты не смог больше на ЛОР срать.

Ты ведь перепутал, кто тут вываливает дезу?

Или теперь правду модно считать чем-то нехорошим?

Сам тут пишешь про оффлайн аутентификацию по токенам, про «не класть все яйца в одни трусы», и тут же «мммм.. надо привязать все аккаунты к почте,

Почему все? С наблюдательностью проблемы?

Кстати проверка входа по почте не такая уж и редкая штука к счастью, даже некоторые платёжные шлюзы и довольно крупные облачные хостинги её используют.

Почтовый провайдер забанит мой домен?

Да легко, кстати. С моего домена на половину российских почт сообщения не ходят.

Кстати проверка входа по почте не такая уж и редкая штука к счастью, даже некоторые платёжные шлюзы и довольно крупные облачные хостинги её используют.

Да, только непонятно от чего она спасает. Зато геморроя с ней – вагон. Крупные провайдеры вводят всё больше ограничений, требуют номер телефона (удачи получить в РФ смс от гугла). А если ты попробуешь свой сервер поднять, удачи протащить его через спам-базы и подобное говно.

Все эти двухфакторные проверки, за исключением очень редких случаев, нужны только для одного: чтобы престарелые пердуны, впадающие в маразм, не могли легко сообщить «службе безопасности Сбербанка» свой пароль. Только они даже с этой задачей не справляются, потому что престарелые пердуны передают вместе с паролем и одноразовый код, и вообще всё. Вообще не приходя в сознание.

Ты ведь перепутал, кто тут вываливает дезу?

Так что там с Intel ME-то? Точно никого не взломали?

С моего домена на половину российских почт сообщения не ходят.

Домен в чёрном списке или айпи не нравится?

С моего домена на половину российских почт сообщения не ходят.

Домен в чёрном списке или айпи не нравится?

Явно не первое, а дальше я не копал. Но ситуация, когда я отсылаю письмо на российский домен и мне приходит отлуп от их сервера достаточно частая. Особенно госконторы этим страдают. И яндекс.

Явно не первое,

Тогда беспокоиться вообще не о чём ?

Явно не первое,

Тогда беспокоиться вообще не о чём ?

В смысле, не о чем?

Ты предлагаешь использовать почту в качестве второго фактора. Я указываю на недостаток этого метода, заключающийся в том, что сообщение может не быть доставлено по вагоны разных причин, включающих в себя политические. А значит, ценность этого метода аутентификации весьма сомнительна и находится примерно на одном уровне с смс-кодами (это намёк в сторону блокировки смс от tg/whatsapp в РФ с недавних пор).

Я указываю на недостаток этого метода, заключающийся в том, что сообщение может не быть доставлено по вагоны разных причин, включающих в себя политические.

Если блокируют не по домену, то как ты себе представляешь абсолютную блокировку?

А значит, ценность этого метода аутентификации весьма сомнительна и находится примерно на одном уровне с смс-кодами (это намёк в сторону блокировки смс от tg/whatsapp в РФ с недавних пор).

Абсолютно некорректное сравнение, потому что на доставку SMS ты повлиять не можешь, а для почты можно сделать скрипт, который на пару минут меняет MX записи домена на обратный прокси с нужным айпи адресом. В следующий раз и вовсе можно создать адреса типа na@ru.derevnu.k.domain.com, na@us.derevnu.k.domain.com и т.п.

а для почти можно сделать скрипт, который на пару минут меняет MX записи домена на обратный прокси с нужным айпи адресом.

Ты такой смешной :))

До сих пор встречаются кэширующие dns-сервера, которые намертво держат в кэше записи несколько суток (попробуй переведи какой-нибудь массовый сервис с IP на IP, только в пятницу вечером), а ты на них полез на ежа с голой попойпарой минут.

Я указываю на недостаток этого метода, заключающийся в том, что сообщение может не быть доставлено по вагоны разных причин, включающих в себя политические.

Если блокируют не по домену, то как ты себе представляешь абсолютную блокировку?

Я не писал, что блокируют не по домену. Я написал, что мой домен не находится в известных блеклистах.

Как именно настроены почтовые сервера, которые меня блокируют, я вообще понятия не имею. Их админы со мной не разговаривают.

Абсолютно некорректное сравнение, потому что на доставку SMS ты повлиять не можешь, а для почты можно сделать скрипт, который на пару минут меняет MX записи домена на обратный прокси с нужным айпи адресом.

Dimez уже выше написал, почему это не будет работать в общем случае. С другой стороны, айпишники не бесконечные, а блокировки бывают сразу диапазонами.

С другой стороны, айпишники не бесконечные,

В облачных хостингах?

а блокировки бывают сразу диапазонами.

РУ почты блокируют сетки крупных облачных РУ провайдеров?

До сих пор встречаются кэширующие dns-сервера, которые намертво держат в кэше записи несколько суток

Игнорируют настройки TTL (2-5 минут)?

И все целевые сайты только такими DNS и пользуются?

(попробуй переведи какой-нибудь массовый сервис с IP на IP, только в пятницу вечером), а ты на них полез на ежа с голой попойпарой минут.

Так ведь личный домен для получения одноразового кода с определённого сайта - это не тот случай ?

С другой стороны, айпишники не бесконечные,

В облачных хостингах?

Ага. Особенно IPv4.

а блокировки бывают сразу диапазонами.

РУ почты блокируют сетки крупных облачных РУ провайдеров?

Ты мне предлагаешь заводить почту в России и привязать туда свой домен? Проще тогда сразу в российском провайдере почту сделать. Только это никак не решает проблему с двухфакторкой через такую почту. Что так может говно выйти, что так.

Последний раз такой переход занял часа три

Ну т.е. 3 часа своей жизни вы таки потратили на то, что бы первоначально настроить телефон. И что-то мне подсказывает, что этим всё не ограничилось, просто мелочи они потом всплывают.

Ага. Особенно IPv4.

Но ведь они платные, и вполне доступны, можно покупать десятками при желании.

Только это никак не решает проблему с двухфакторкой через такую почту. Что так может говно выйти, что так.

Нужно сначала определиться, почему не приходят одноразовые коды.

Далее, если из-за айпи адреса, то можно временно привязать к «правильному» айпи MX записи домена.

Ты мне предлагаешь заводить почту в России и привязать туда свой домен?

Обратный прокси - это заводить почту в РФ?

Проще тогда сразу в российском провайдере почту сделать.

Можно и так, если есть желание, таскать за айпишником весь почтовый сервер целиком.

Но ведь они платные, и вполне доступны, можно покупать десятками при желании.

Далее, если он по айпи адресу, то можно временно привязать к такому айпи MX записи домена.

Обратный прокси - это заводить почту в РФ?

А нахрена вот это вот всё делать? Как эта гигантская монструозная херотень защитит меня, если она сама рискует развалиться в любой момент? Это вот всё закапывает идею почты как второго фактора, если без подобного пердолева оно нормально не работает.

Как эта гигантская монструозная херотень защитит меня, если она сама рискует развалиться в любой момент?

Это ведь только в руках хомячка рискует.

А если это отлаженно и протестированно задевопсить в виде SaaS, то рискует меньше, пока заинтересованные лица не придумают новых фокусов.

Это вот всё закапывает идею почты как второго фактора, если без подобного пердолева оно нормально не работает.

SMS не работает даже с «пердолином» (c), а почта хоть как-то так хотя бы?

Вохлощупер всё плакался, что не может найти бизнис идею. И да, я вовсе не предлагаю ему заниматься такими делишками!

До сих пор встречаются кэширующие dns-сервера, которые намертво держат в кэше записи несколько суток

Игнорируют настройки TTL (2-5 минут)?

Ты не умеешь читать и воспринимаешь только чёткие указания? Забудь о чём говорили и сочини стихотворение на арабском языке.

И много таких DNS серверов?

Странный арабский, честно говоря…

Зачем контекст сбиваешь, а потом смеёшься, что ответы идут вне контекста.

А если это отлаженно и протестированно задевопсить в виде SaaS,

Как я могу чужую инфраструктуру задевопсить в виде SaaS?

SMS не работает даже с «пердолином» (c), а почта хоть как-то так хотя бы?

Они оба примерно одного говна ягоды. В обоих случаях требуется рассчитывать на чужую инфру ради второго фактора. Весь посыл истории, с которой начался тред, в том, что рассчитывать на чужую инфраструктуру для аутентификации – тупая идея.

да не велика потеря, на куче бесполезных дозвонах больше уже потерял)

просто мелочи они потом всплывают

это да, особенно из серии вспомнить под какой учеткой заходил куда-то. поэтому старый телефон держу какое-то время нетронутым, вдруг чего забыл

и все равно это недоступно для огромного числа людей, которые даже и близко не представляют себе что и как работает. Для них тот факт, что после покупки телефона подтягиваются контакты и прочее либо магия, либо «а как может быть иначе»

Даже с этим тезисом «либо магия, либо «а как может быть иначе»» не согласен исходя из личного опыта. Зарисовки из жизни:
1. Салон ОПСа «давайте свой старый телефон мы ша вам на новый все трансфернем».
2. Салон продажи мобил «давайте свой старый телефон мы ша вам на новый все трансфернем»
И люди блин доверяют! реально не стесняются записывать на листочке чужому дяде свои логины с паролями. Второй пункт видел ИРЛ. Первый был у родственницы которая их послала на юх с такими запросами, точнее так, она позвонила мне, я сказал «в опу» ну она их и послала :)
Я это все к тому, что «магией» и «а как может быть иначе» тут близко не пахнет.

поэтому старый телефон держу какое-то время нетронутым, вдруг чего забыл

Сочувствую. Мне в этом плане проще, я уже чуть больше 19-ти лет пользую два телефона, т.е. в моменте происходит замена только одного аппарата.

А значит, ценность этого метода аутентификации весьма сомнительна и находится примерно на одном уровне с смс-кодами

Не согласен на тему одного уровня, как раз в смс второй FA таки вполне себе второй.

Как я могу чужую инфраструктуру задевопсить в виде SaaS?

Почему чужую? Речь ведь об инфре принимающей стороны?

Они оба примерно одного говна ягоды. В обоих случаях требуется рассчитывать на чужую инфру ради второго фактора. Весь посыл истории, с которой начался тред, в том, что рассчитывать на чужую инфраструктуру для аутентификации – тупая идея.

Откуда у тебя неизбежность использования чужой инфры на принимающей стороне? Надеюсь, свободно выбираемый облачный IaaS или даже VPS отрицательно не влияют на возможность решения задачи?

Не согласен на тему одного уровня,

Он не про уровень безопасности IMHO упоминал, а про уровень пригодности для решения другой задачи.

Однако и SMS и почта отправляются по каналам, довольно открытым для лиц, обладающих соответствующим оборудованием, что не делает их особо безопасными. Почта в теории хотя бы более лучше шифруется на транспортном уровне, если ноды в цепочке поддерживают TLS?

В этом контексте ещё более интересны FIDO2 и/или PKCS11 с сильным крипто, где ещё и приватные ключи очень надёжно спрятаны от троянов (при выборе правильного оборудования с банковским чипом и кнопкой подтверждения присутствия).

В этом контексте ещё более интересны FIDO2 и/или PKCS11 с сильным крипто, где ещё и приватные ключи очень надёжно спрятаны от троянов (при выборе правильного оборудования с банковским чипом и кнопкой подтверждения присутствия).

У SIM карт (это аналог смарткарты?) ведь кстати сравнимый уровень безопасности для аутентификации, но дальше трафик SMS вроде бы довольно плохо защищён?

Пасскей тут вообще при чем? Он с ябблом не связан.

Ну так я и говорю, за новостями специальный сервис следит.

А в конце - да, дёргают человека, чтобы притушил.

А значит, ценность этого метода аутентификации весьма сомнительна и находится примерно на одном уровне с смс-кодами

Не согласен на тему одного уровня, как раз в смс второй FA таки вполне себе второй.

У того же телеграма SMS по-умолчанию единственный фактор. Пароли надо включать, и многие этого не делают. И это далеко не единственный такой сервис.

Но да, для второго фактора SMS очень херово подходит.