Follow

Мне из-за поломки телефона надо было экстренно поменять второй фактор во многих вещах. И если гугловский аутентифиактор переносится простым сканированием, то вот с я.ключём дела обстоят сложнее. Собственно проходят процедуру смены этого самого ключа я понял, что я.ключ является очень хреновой штукой. А если точнее, то не сам ключ, а способ его восстановления.

Для восстановления я.ключа нужно только знать номер телефона, на который он был зарегистрирован и иметь возможность вводить коды из смс. То есть фактически для входа в яндекс теперь нужно только завладеть моим телефоном. И если авторизация с ключом всё ещё является двух-факторной (пин-код то вводить надо), то вот восстановление является однофакторным. И это прямо большая боль.

· · Web · 1 · 4 · 3

@bano а там разве не стандартный TOTP..? :blobfoxgooglyholdingitsheadinitshands:

@mo авторизация с я.ключем это TOTP с солью в виде пинкода. Гугловский аутентификатор является просто TOTP.

Но вопрос не в работе ключа, а в том, что при восстановлении его нужно только подтвердить наличие у тебя в руках телефона с нужным номером. Не нужно ставить никаких фраз или устанавливать специальных вопросов. Просто вводишь номер, вводишь смс код с него и всё, тебя просят поставить новый пароль на весь аккаунт. Таким образом вся двухфакторная безопасность я.ключа (знание пинкода + владение устройством) сводится к 1 фактору: владению номером телефона.

@bano я щас почитала статью, где они описывают мотивацию сделать кастом
господи, что за пиздец то

"Согласно калькулятору, 6 цифр TOTP можно сбрутфорсить за 3 дня!!"
Они там совсем угашенные были в 2015, что у них можно было просто так 3 дня непрерывно неудачно логиниться в аккаунт?

"Мы хотели сделать удобно, а не для гиков"
Открыть приложение, ввести 6 цифр с нампада. Только гики так будут делать, конечно.

Короче очередная абсолютли проприетари хуетень

@mo ну так прикол в том, что приложение именно для логина получилось более менее удобное. Оно сделано реально не для гиков, как например мой менеджер паролей.

Только они его представляют как 2FA, хотя обходным путём в виде восстановления получается 1FA. Потому что даже при восстановлении обычного пароля они требуют вроде секретную фразу ещё одну или что-то типа такого. Короче жопа

@bano алсо, из статьи не совсем понятно, она у них вообще двухфакторная, или приложение заменяет собой пароль, за исключением случаев когда стриггерило эвристики :blobcatthinkingglare:

@mo да, двухфакторная. Факторы же считаются по количеству источников авторизационных условий. Так пароль и смс с телефона это пруф знания секрета и пруф владения. При этом 2 пароля не являются двухфакторной штукой потому что секрет в результате знать надо один.

Я.ключ использует пруф владения устройством и пруф знания секрета, то есть пина. То что они создают в результате 1 сообщение на сервер факторы не уменьшает.

А вот спрашивать номер телефона и потом на него присылать смс это просто долгая проверка одного фактора: владения устройством.

Поэтому да...

@bano а обычный пароль заданный при создании аккаунта куда девается?

@mo удаляется. Его больше не спрашивают нигде и никогда. Ключ полностью заменяет пароль.

@bano то есть, если я возьму нормальный TOTP, положу его в нормальный FreeOTP+, и потом на FreeOTP+ поставлю пароль/биометрию то у меня будет три фактора? :ageblobcat:

@mo не знаю что такое FreeOTP, но биометрия на телефоне все же очень сомнительно является именно отдельным фактором.

@bano ну не, биометрия тоже фактор ей обладания. Хуевый, не спорю, но фактор

@bano а FreeOTP это приложение, которое хранит в себе ключи TOTP/HOTP и генерирует одноразовые пароли, свободный аналог Google Authenticator

@mo тогда, если мы считаем биометрию отдельным, то все равно 2. Потому что TOTP является частью проверки фактора владения.

@bano но есть же ещё обычный пароль (только TOTP я не видела чтобы использовался)

Sign in to participate in the conversation
Mastodon.ml

Русская нода социальной сети "Мастодонт", части Fediverse - всемирной федерации социальных сетей. Зона общения, свободная от рекламы и шпионажа, теперь и в России.