Proton Authenticator — новое открытое приложение для безопасной двухфакторной аутентификации

Безопасный протон это оксюморон

для безопасной двухфакторной аутентификации

Для безопасной двухфакторной аутентификации ГДЕ? Если у них самих - то в толксы.

Microsoft Authenticator уже закопали.

Странно, что не сравнивают с open source Aegis.

Улыбают иногда красноглазые бородатые дети с ЧСВ как у главы пентагона))

В клиентбанках, всяких госуслугах\дiях - нормальная однофакторная, изредка с использованием смс или bankid, а чтобы запостить говнокод или накатать ишшую - безопасность уровня секретной лаборатории, бгааа.

Вангую появление аналогичных сервисов, где «киллер-фичи» будут как у этого мессенджера Session - отсутствие двухфакторных аутентификаций и привязок к 3rd-party.

Не верю я их безопасным приложениям, у них на сайте fingerprintjs

Что это за рекламный высер вместо иллюстрации? Сравнить с https://getaegis.app/ побоялись?

Для безопасной двухфакторной аутентификации ГДЕ?

Бгыы… в попытке нагенерить побольше маркетингового бреда они реально забыли упомянуть что это тупо ещё одна реализация ТОТР - из примерно дюжины существующих.

Чтобы твой аегис заюзать, надо еще где-то андроид надыбать. Отдельный смартфон чисто ради аутентификатора не очень удобно.

ГДЕ?

Короче, отвечаю самому себе - они прикрутили скотчем растовский сканер QR-кода.

Ничего другого я в репе не нашёл, но я и не особо искал.

Отдельный смартфон

Невероятное ограничение в наше время конечно :-D

Даже не знаю как с ним справляются - возможно ставят одну из реализаций ТОТР что уже есть в дистрах в отличии от этой рекламной срани?

Честно говоря удивляет, сколько приложений вокруг такого простого алгоритма. TOTP это же буквально 2-3 строчки, если есть доступ к библиотеке с криптографическими функциями. Чего они клепают эти приложения.

Ты не совсем понимаешь, в чём тут дело.

Однофакторную авторизацию я уже давно не видел на сколько-нибудь важных ресурсах. Хоть код на почту, да пришлют.

SMS это хорошо и стандартно, но это во-первых стоит денег, во-вторых ненадёжно. Я вот периодически сталкиваюсь с тем, что SMS не приходит. Буквально несколько дней назад переустанавливал Whatsapp и SMS не пришла. Через час нажал «повторить» (раньше не позволяло), со второго раза пришла.

Преимущество TOTP в том, что он во-первых бесплатен, во-вторых 100% надёжен, в-третьих абсолютно тривиален в реализации. Ну а главный его недостаток, что в нём разбираются только гики, никаких шансов того, что его сможет успешно использовать Тётя Мотя Ноготки, нет.

Что-то посредине это Passkeys.

говно на расте, не нужно.

Пользуюсь яндекс.ключом, потому что он один поддерживает яндексовый NIH под названием «YaOTP». Хотя сейчас в яндексе внедрили пасскеи, так что наверно уже можно переехать на что-то нормальное.

Для оценки качества продукта https://www.bleepingcomputer.com/news/security/proton-fixes-authenticator-bug-leaking-totp-secrets-in-logs/

Чёта смешно.

Google Authentificator
Microsoft Authentificator
Proton Authentificator
CIA Authentificator
RosGosMosFSB Authentificator

А почему бы просто не пользоваться KeePassXC?

А почему не Nextcloud? Раз уж начали сравнивать несравнимое.

В смысле «несравнимое»? В Keepassxc есть TOTP аутентификация. Хранишь ее вместе с обычным паролем, более-того, там же можно хранить и recovery codes. Очень удобно (хранить все яйца в одной корзине).

Работает и на любом ПЭКА, и на телефоне, очень удобно бэкапить и нет никакой привязки к ГОСПОДИНУ.

Ты прав. Я KeePassXC не пользовался уже лет 8 точно, тогда там TOTP не было.

В nextcloud есть web-приложение keepass.

YaOTP

В Aegis добавили поддержку пару лет назад.

Вспомнил из недавнего: Mail.ru с 1 июня оказывается выпилили поддержку TOTP для своих аккаунтов. Почему недавнее - нужно было залогиниться в один аккаунт по работе. И вот сейчас в качестве альтернативы TOTP, который генерируется на твоём устройстве и не зависит от третьей стороны, предлагается два стула: получать коды по SMS или через VK ID, который тоже на номер телефона завязан. Вот такая сесурити.

Это тот, который сохранял секреты в открытом виде на iPhone?

Пользуюсь Vaultwarden, удобно ещё и в том плане что браузерное дополнение после заполнения полей логина и пароля, помещает код в буфер обмена, так что на запросе кода нужно Ctrl+V нажать просто. Раньше пользовался Aegis, но это телефон доставать нужно было, искать код в приложении и вводить вручную.

помещает код в буфер обмена

Мне он под полем ввода подсказку с кодом показывает, на которую просто нажать надо.

В клиентбанках, всяких госуслугах\дiях - нормальная однофакторная

Молодцы, упростили жизнь мошенникам.

А как его добавить? Насколько я помню, добавление ключа тот ещё геморрой с смсками

Точно не помню, но вроде так же, как и обычные ключи добавлялся, только ещё отдельное поле для ввода пина имеет, который не надо каждый раз вводить, в отличие от приложения яндекса.

• На гитхабе версии только для iPhone и Android;
• Это электрон?

С 2FAS (https://github.com/twofas) стыдливо не стали сравнивать?
Потому что там и опенсурс, и анонимность, и шифрование, и отсутствие трекеров, и все то же. Зачем с ним сранивать, рили.

Это электрон?

Дожили. Протон на электроне…

Короче, отвечаю самому себе

Объясни ещё и для остальных: я ваще ниче не понял. Я это приложение как-то могу использовать в своих сервисах? Как это работает? Я делаю запрос на ИХНЕЕ апи, они проверяют пользователя своей супер пупер аутентификацией и мне говорят, да, это он? Или где?

С 2FAS (https://github.com/twofas) стыдливо не стали сравнивать?

Это менеджер паролей. Другого уровня и функциональности приложение.

я ваще ниче не понял.

Значит, тебе это вообще не нужно, не забивай голову бесполезным мусором.

А давайте мы возьмём все ваши аккаунты, соберём их в одном месте и полчим прибыль!

Объясни ещё и для остальных: я ваще ниче не понял. Я это приложение как-то могу использовать в своих сервисах? Как это работает?

TOTP это довольно простой криптографический протокол, ему не нужен внешний сервис. На backend можно взять готовую библиотеку или самому сделать, там ничего сложного нет.

А давайте мы возьмём все ваши аккаунты, соберём их в одном месте и полчим прибыль!

Каким образом в твою резонансную полость, где у других людей обычно расположен моск, проникло данное подобие мысли в контексте этой новости?

Объясни ещё и для остальных: я ваще ниче не понял.

Это генератор короткоживущих токенов. При подключении сервиса к нему, на телефоне сохранится секрет. Затем приложение каждые 30 секунд будет генерировать новый код как второй фактор аутентификации в сервисе. То есть логинишься на сайте, а он будет просить тебя ещё и ввести циферки из приложения.

Я это приложение как-то могу использовать в своих сервисах?

Да, если у себя TOTP настроишь.

Как это работает?

Грубо говоря, телефон и сайт хранят начальное время привязки T0 и разделяемый секрет K. Каждые X секунд генерируется шестизнак TOTP((T-T0)/X, K).

Я делаю запрос на ИХНЕЕ апи, они проверяют пользователя своей супер пупер аутентификацией и мне говорят, да, это он?

Нет. Приложение может вообще без сети работать. Всякие синхронизации с облаком и прочая мишура необязательна для работы.

А что с этой конторой? А то я пропустил.

Это менеджер паролей. Другого уровня и функциональности приложение.

Нет https://github.com/twofas/2fas-android

TOTP это довольно простой криптографический протокол

Термин "криптографический" вводит в заблуждение. Секрет в 99% случаев передаётся в открытом виде через QR, так что "криптография" там уровня ключа под ковриком перед дверью.

Кто и за чем это придумал - для меня до сих пор загадка, так как на практике оно разве что может помешать авторизироваться в состоянии очень сильного опьянения, никакого другого логичного сценария я придумать не смог.

И да, я автоматизировал вход по логинопаролю + ТОТР в одной именитой конторке. "Временный" секрет для ТОТРа вообще был отлит в граните, и ни разу не изменился за всё моё время работы там.

По-моему, ты не понимаешь о чем говоришь.

Я говорю про тот ТОТР, который (почти) везде используется - тебе выводят QR рядом с полями логинопароля.

QR тебе один раз выводят, и там действительно находится секрет в открытом виде. Потом он сохраняется у тебя на устройстве и его уже не покидает.

И каким образом окно входа узнает, что мне не надо показывать QR? Реализации, что я видел с QR, автоматом выводят его прямо рядом с окном входа. Никто никакой хитрожопой логики из двухфазного входа с проверкой "известен ли этому пользователю QR" не делает. И да, секрет в QR-коде один на всех.

Буква "Б" в аббревиатуре "ТОТР" означает "безопасность".

там действительно находится секрет в открытом виде

Об чём и речь.

Хотя SMS-коды аутентификации являются еще одним распространенным вариантом, они остаются уязвимыми для атак с подменой SIM-карты.

Интересно а как это работает? Смысл 2х факторной это когда 2 устройства (не одно) и в начале идет авторификация по паролю и потом через смс. Т.е. нужно знать пароль и еще иметь симку.

И каким образом окно входа узнает, что мне не надо показывать QR? Реализации, что я видел с QR, автоматом выводят его прямо рядом с окном входа.

Ты что-то не то видел, в TOTP в окне входа никогда не показывается QR код. Он показывается только при активации второго фактора.

Я говорю про тот ТОТР, который (почти) везде используется - тебе выводят QR рядом с полями логинопароля.

Можешь примеры таких сервисов привести? Я ни разу такого не видел.

Это был копроративный вход через vpn. Я прям щас с ходу - тоже не могу ничего такого вспомнить, но из моего опыта - QR примерно всегда был доступен без приседаний.