Не использую. СМС не просто бесполезен, а опасен, потому что мой номер, по сути, мне не принадлежит. Устройство-генератор кодов было бы неплохо, но пока не осилил. Мало кто его умеет, кроме того. GH, например, не умеет.

Не доверяю я номер своего мобильника разным чатам и социалочкам, а вот в банке каждая онлайн-транзацкция подтверждается кодом в смс.

Там AES-шифрование 128-битное + аппаратные счётчики, меняющиеся с каждым нажатием. Не знаю, что уж там можно фишнуть.

У меня когда-то давно было так: письмо, затем оттуда звонок на мой модем. И всё ради халявного подпольного Инета.

Другое

кто-то из лохов на лоре реально отвечает правдиво на вопросы о своей безопасности?

Как раз фишнуть на одну операцию. Тебе дают окно, ты вводишь туда юзера, пароль и код. Именно эта комбинация улетает и используется один раз злоумышленником.

Твой способ автентификации должен быть достаточно надежен чтобы злоумышленник не мог им воспользоваться даже если знает его. Security through obscurity это библейский пример плохих практик безопасности

Использую для банков, банк выбор «не использовать» не предоставляет.

Один банк использует СМС, другой карту кодов, третий на выбор либо карту кодов, либо приложение-генератор кодов.

https://ru.wikipedia.org/wiki/Безопасность_через_неясность

если есть нормальный вариант термина на русском языке, зачем выёживаться и писать на английском? Вы хиппи?

Security through obscurity это библейский пример плохих практик безопасности

нет.

Я хочу говорить именно так

а! так неяснее, потому что безопаснее?

Любому образованому человеку в сфере IT ясно, потому что в IT принято в мире говорить на английском языке. Не понятно - вон из профессии

Пока не нужно, а там поглядим.

С двухфакторной авторизацией по SMS у нас вот так дела обстоят, если кто пропустил.

Можно подумать, без участия оператора это не делается. Фейковые GSM станции уже в открытую продают.

так это же русский язык!

Не использую и даже избегаю, где это только возможно. Рост шанса потери доступа превалирует над мизерным (и эфемерным) приростом безопасности.

+1
А все потому, что большинство сервисов в корне неверно понимают суть двухфакторной аутентификации. Если кратко, то вместо «И» между условиями двух проверок ставится «ИЛИ». С радостью поставил бы Google authenticator, если бы не возможность использовать его _вместо_ моего пароля.

язабан

Используете ли вы двухфакторную авторизацию
авторизацию
авторизацию
авторизацию
авторизацию

Проверено: Falcon-peregrinus

И что? Говорить на русском языке != не понимать английский != запрещать другим говорить по английски

Иными словами - ПНХ

4.8

Допускается использование других языков при цитировании внешних источников, сообщений об ошибках, исходных текстов программ и в других подобных случаях

не использую облачный сервисы.

нет, *ты*! при условии OR у тебя получится «альтернативные источники авторизации». MFA это именно про AND. ты, я надеюсь, понимаешь, что при условии OR достаточно скомпрометировать любой один из твоих факторов?

в целом я удивлен количеству с первого взгляда адекватных лорвцев в этом треде которые совершенно не понимают ни как работает правильно реализованный MFA, ни рисков identity theft.

Обычно пароль остается всегда и к нему необходим второй способ. Между вторыми способами часто ИЛИ. Например я могу в Gmail зайти через пароль+код или пароль+ключ

Не использую и не понимаю почему смс или уж тем более голосовой звонок можно считать надёжнее пароля. Телефон быстрее можно стырить учитывая что его везде с собой таскают чем найти хорошо спрятанную бумажку с записанным на ней паролем а часть пароля вообще можно просто запомнить. К тому же админы телефонной сети смогут получить доступ перехватив смс или голосовой звонок.

нет, *ты*! при условии OR у тебя получится «альтернативные источники авторизации».

А я о чем и говорю!
https://support.google.com/mail/answer/185710?hl=ru
Под заголовком «Восстановление по телефону». Читать до просветления.

Например я могу в Gmail зайти через пароль+код или пароль+ключ

А я могу зайти в *твой* Gmail, украв предварительно твой телефон. И никакой пароль не нужен.

Хм, попробуй разблокируй его или разшифруй его разделы

Недавно использовал для облачных, но в итоге перешёл на сложные пароли.

так *двухфакторная аутентификация* же. ее не только на почту надо включать, а *везде*. иначе у тебя в любом случае будет самое слабое место. у меня телефон зашифрован, и залочен паролем + ключем, записанным в yubikey. что ты будешь делать с этим бесполезным куском железа?

Не использую, т.к. это объективно неудобно и занимает слишком много времени чтобы получить доступ к своему аккаунту. Люди устали от капчи за столько лет, теперь еще это, еще какой-то код вводить, ждать смс. Посмотрим правде в глаза - это неудобно. Аппаратный ключ тоже та еще хренотень (особенно смарт-карты), но это, мне кажется, чуть ли не единственное что еще можно сделать нормально (если не изобретать совсем новый другой велосипед). Где-то видел инфу про лицо + отпечаток пальца, это еще как-то похоже на правду, с распознаванием лиц наверно беда сейчас, а вот отпечатки точно уже очень хорошо работают, даже предпочел бы палец прикладывть, чем вводить эти дурацкие пароли.

Считается что OTP можно фишнуть. А каким-то образом аппаратный ключ нельзя, деталей не скажу, так как сам пока не читал подробно

Это u2f нельзя фишнуть. OTP можно перехватить.

С двухфакторной авторизацией по SMS у нас вот так дела обстоят, если кто пропустил.

ну а МТС причем? им принесли бумажку где написано что информацию по этим действиям/запросам разглашать нельзя, нарушить они не могут. обычно дело. в тех же штатах такое повсеместно.

тут проблема не в мтс, а в «равнодушии честных людей» (с), которые не ходят на выборы потому что «там и без нас решат», а потом удивляются пустякам вроде этого.

Мне больше нравится подход, который у Яндекса, с его «Ключом». Но да, если потерять устройство, можно нехило попасть.

Стараюсь использовать приложение-генератор (например от Google). Телефон запаролен. + ещё PIN на самом приложении.

СМС-ки только на крайняк, если всё совсем плохо или ничего другого нет. Ибо СМС-ки уязвимы донельзя.

так *двухфакторная аутентификация* же. ее не только на почту надо включать, а *везде*. иначе у тебя в любом случае будет самое слабое место. у меня телефон зашифрован, и залочен паролем + ключем, записанным в yubikey. что ты будешь делать с этим бесполезным куском железа?

Да он, в принципе, даже физически не нужен. Достаточно поднять фейковую GSM-соту. А далее - плачусь в гугл, типа я такой-то val-amart, забыл пароль от своего акка, вышлите/сбросьте мне его, пожалуйста. Перехватываю входящую СМС - и «восстанавливаю» пароль используя полученный код.

Гугловское приложение для генерации кодов. Удобно.

это да, но это касается только СМС. я смс именно поэтому избегаю как огня. U2F FTW!

Не хватает пункта «Да, но какую не скажу»

И насколько это реально? Из принципа цена информации ниже цены взлома... Сколько такое удовольствие стоит?

И зависимость нелинейная, где то будет опережать, где то отставать от суммы.

Всегда отставать

r = 1-(1-a)*(1-b) = 1-(1-a-b+a*b) = a+b-a*b

Аппаратный ключ + пароль: в серверную дверь ключем открываю.

это да, но это касается только СМС. я смс именно поэтому избегаю как огня.

Проблема в том, что в настройках гугла нигде нет галочки «я никогда не попрошу восстановить пароль через СМС». Единственный вариант - не вписывать туда никакой номер. Но для использования google authenticator его все же надо указать.

И насколько это реально? Из принципа цена информации ниже цены взлома... Сколько такое удовольствие стоит?

Из принципа покупаем новое устройство для каждой новой жертвы - достаточно дешево, чтобы окупиться взломом типичного аккаунта в какой-нибудь платежной системе.

кто-то из лохов на лоре реально отвечает правдиво на вопросы о своей безопасности?

Да, потому что sequrity by obscurity - это тупая идея

и ещё один гениальный ответ без аргументации.

смс не шифруется совсем. Да еще и контролируется вообще кем угодно, десятки мелких структур имеют к ним доступ. Никакой реальной защиты от спуфинга и снифинга.
Это не дополнительная защита, а дополнительная дыра в защите.

тебе ли не знать?

У меня автовход, судо без ввода пароля и один ни разу в жизни не изменившийся пароль на всем железе. Потому что я - неуловимый Джо.

для доступа к приват24.

вряд ли онлайн-банк можно назвать облачным сервисом. Так бы не было перевеса ответов «Не использую»

SMS