Где блекджек, где мои шлюхи? Ничерта не работает! Войти !bnw Сегодня Клубы
Интересует субъективное мнение Бнвача. Яндекс в принципе более или менее убедительно вещает о том, что двухфакторная авторизация через TOTP и HOTP — не очень: https://habrahabr.ru/company/yandex/blog/249547/. И уже года три, как предлагает собственное решение, типа более адекватное. Недостаток по сравнению с тем же TOTP по-моему один: надо подключить телефон к интернету, чтобы пользоваться. За это время Яндекс вполне мог пробить свой алгоритм в виде какого-нибудь тоже RFC. И превратить, таким образом, своё наколеночное поделие в полезную по всему миру вещь. Что мешало? Пофигизм? Жлобство?
#2II9KK / @dluciv / 2483 дня назад

эх щас бы доверить свой аккаунт дырявому решету в кармане
#2II9KK/OOC / @voker57 / 2483 дня назад
@voker57 У тебя в кармане более дыряво, чем у Контактика на сервере? Ну поздравляю, чо.
#2II9KK/69O / @dluciv --> #2II9KK/OOC / 2483 дня назад
@dluciv При чем тут контактик?
#2II9KK/ZTT / @voker57 --> #2II9KK/69O / 2483 дня назад
@voker57 Ну ок, давай, колись, где у тебя аккаунт. Только чтобы в кармане было более дыряво.
#2II9KK/5CE / @dluciv --> #2II9KK/ZTT / 2483 дня назад
@dluciv в кармане погремушка блядь необновляемая и с 25 гигабайтами говнокода на десяти языках и интерпретатором JS, дырявей не бывает. А если сервис проебет твой аккаунт, тебе никакая секурность не поможет, при чем тут вообще?
#2II9KK/SRZ / @voker57 --> #2II9KK/5CE / 2483 дня назад
@voker57 Да при том, что в 80% случаев, сдаётся мне, более дырявым окажется сервис. Причём мобильное приложение можно тоже считать частью сервиса. Оно скорее что-то само продолбает, чем злобные хакеры из него что-то выломают, благодаря уязвимости телефона. Потому что оно говнокод на JS, как ты сам сказал. С сайтом сервиса та же фигня. На столе у тебя примерно настолько же дырявое решето.
#2II9KK/ZVX / @dluciv --> #2II9KK/SRZ / 2483 дня назад
@dluciv ну так зачем мне дырявое приложение чтоб логиниться через него? На десктопе у меня нормальные прыщи без лишнего и браузер в сэндбоксе, явно секурнее.
#2II9KK/JN6 / @voker57 --> #2II9KK/ZVX / 2483 дня назад
мыши плакали, кололись, лишь бы не аппаратный токен
#2II9KK/NTG / @anonymous / 2483 дня назад
@anonymous Так а аппаратный токен с шестизначным паролем подбирается за трое суток же...
#2II9KK/07F / @dluciv --> #2II9KK/NTG / 2483 дня назад
@dluciv если сервис разрешит тебе пробовать один пароль в секунду?
#2II9KK/ZVJ / @voker57 --> #2II9KK/07F / 2483 дня назад
@voker57 Если пароль уже поломали, то второй фактор, думаю, разрешат пробовать довольно часто. Далеко не сразу забанят.
#2II9KK/JI8 / @dluciv --> #2II9KK/ZVJ / 2483 дня назад
@dluciv второй фактор от тебя потребуют сгенерить новый после нескольких попыток, если система не говно
#2II9KK/2AO / @voker57 --> #2II9KK/JI8 / 2483 дня назад
@voker57 Особенно легко это будет сделать с аппаратным токеном %)
#2II9KK/TC4 / @dluciv --> #2II9KK/2AO / 2483 дня назад
@dluciv ты вообще знаешь, что такое аппаратный токен?
#2II9KK/Y08 / @voker57 --> #2II9KK/TC4 / 2483 дня назад
@voker57 Видел парочку
#2II9KK/213 / @dluciv --> #2II9KK/Y08 / 2483 дня назад
@dluciv и эта парочка представляла собой шестизначный пароль, записанный в ПЗУ?
#2II9KK/77A / @voker57 --> #2II9KK/213 / 2483 дня назад
@voker57 Да не парочку конечно. Из них некоторые были с маленьким LCD от калькулятора, и на них примерно то же самое происходило, что в Google Authenticator. Большинство втыкались в USB. Такие конечно за три дня не переберёшь. Но это не отменяет исходной фабулы поста: TOTP действительно морально устарел, и яндексовская поделка, при всех её недостатках, актуальнее. Я ж не предлагаю заменить ей все аппаратные ЭЦП например. Для своих целей её должно хватать.
#2II9KK/GWY / @dluciv --> #2II9KK/77A / 2483 дня назад

чем это лучше второго фактора через смс/пуши?

#2II9KK/PWJ / @anonymous / 2483 дня назад

С таким способом аутентификации пользователь запускает приложение на смартфоне, вводит в него свой пин-код и сканирует QR-код на экране своего компьютера.

лолд, то есть второй фактор -- неизменный пин-код и картиночка, которую можно получить по HTTP-ссылке?

#2II9KK/CC3 / @anonymous / 2483 дня назад
2FA не нужна просто.
#2II9KK/FG5 / @l29ah / 2482 дня назад
@dluciv В этом и состоит наебалово в статье яндекса — они говорят сначала про OTP и TOTP, а потом критикуют только OTP. Ну подбери мне за трое суток TOTP, меняющийся каждые 30 секунд.
#2II9KK/UHL / @anonymous --> #2II9KK/07F / 2482 дня назад
@anonymous Ок, согласен, за год. Просто одно и то же число долбить — за год где-то совпадёт =).
#2II9KK/4GV / @dluciv --> #2II9KK/UHL / 2482 дня назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.