Google: почти никто не пользуется двухфакторной аутентификацией +36

- такой же как Forbes, только лучше.

За семь лет, которые прошли с момента включения Google двухфакторной аутентификации, менее 10% из более чем миллиарда пользователей начали ей пользоваться.

image

Гжежож Милка (Grzegorz Milka), программный инженер Google

На странице Google, посвящённой двухфакторной аутентификации в сервисах компании, пользователей встречает надпись «Миллионы пользователей уже защитили свой аккаунт с помощью двухэтапной аутентификации. Присоединяйтесь!». Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.

На конференции по информационной безопасности Usenix's Enigma 2018 программный инженер Google Гжежож Милка (Grzegorz Milka) рассказал, что менее 10% пользователей выбрали двухфакторную аутентификацию в сервисы Google, и всего 12% американцев используют менеджер паролей.

В теории, Google могла бы подключить двухфакторную аутентификацию всем пользователям сразу, вместо них позаботившись о безопасности аккаунтов. На вопрос, почему компания этого не сделала, Milka на конференции ответил «Вопрос в юзабилити. В том, как много людей перестанут пользоваться нашими сервисами, если мы заставим их использовать дополнительные инструменты безопасности».

image

После проникновения в аккаунт в Google мошенники используют один и тот же сценарий. Сперва отключают уведомления, затем ищут нужную им информацию — в том числе данные банковских карт, личные фото, информацию, связанную с криптовалютными кошельками, копируют список контактов и «стирают» за собой все следы.

Как видно на слайде ниже, всё работа по получению информации и очистке ящика от каких-либо следов мошенничества занимает четверть часа.

image

В 2016 году в Великобритании и США провели опрос 4000 человек на тему сложности и количества используемых паролей, «угона» аккаунтов и использования двухфакторной аутентификации. Оказалось, что наиболее внимательно к безопасности относится поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет. Они реже других используют один пароль для всех аккаунтов и чаще используют двухфакторную аутентификацию.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:



Комментарии (215):

  1. aik
    /#10560341 / +1

    Я не пользуюсь двухфакторной аутентификацией, потому что это неудобно.

    • thauquoo
      /#10560439 / +1

      Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству. И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.
      Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.

      • AlexanderS
        /#10560469

        Причём это сделать проще, чем отправлять SMS и по идее с этого стоило бы начинать, предоставляя пользователю в будущем выбор )

        • nickName0
          /#10561413

          А к SMS-переписке, кстати, можно получить доступ и через оператора сотовой связи
          (у них ведутся журналы, подробнее — см. СОРМ-3).

      • aik
        /#10560487

        Мне вообще не нравится привязка ко второму устройству. Могли бы, к примеру, какой-нибудь графический код придумать в пару к паролю — картинку там заранее заданную показывать или что-то подобное.

        • Iv38
          /#10560609

          Тогда это по сути перестанет быть двухфакторной аутентификацией, ведь в обоих случаях используется один и тот же фактор «знания» просто в немного разной форме.

          • aik
            /#10560645

            Но разные «знания». Если пароль можно кейлоггером утащить, то графический ключ уже не так просто увести. Ну или действительно присылать код на вторую почту или в аську ту же (ну или любой другой мессенджер).

        • nickName0
          /#10561429

          Есть приложение, например Google Authenticator,
          что осложняет доступ другого пользователя к вашим данным.

          • zenkz
            /#10562617

            Не только другим пользователям, но и вам. Если вдруг понадобилось зайти проверить почту, а телефон забыли дома или его украли…

            • nickName0
              /#10562861

              Если так смотреть, то и замкИ на дверях — это усложнение
              (а сколько времени потеряно, если забыл/{взял не тот} ключ)?

              Несколько раз помогал подключать и настраивать 2FA, разным людям.

              Зато 2FA — это гарантия, что без особых ухищрений
              (как то: доступ к отправляемым Вам сообщениям;
              речь о ваших затратах на эту доп.защиту),
              никто не «залезет» в ваш ящик
              (а если и попробует, Вы об этом узнаете, получив сообщение с кодом подтверждения).

              Узнать пароль можно, например, через троянца (на скомпрометированной системе),
              или через незакрытую дыру в настройках вашего аккаунта/(используемого софта).

              Если Вы признаёте замки на дверях (в т.ч. продублированные/усиленные), то должны понимать, что 2FA работает на Вас.

              Да, впринципе, лучше иметь несколько разных ящиков, для разных целей.

              Насчёт потери телефона (нет его рядом, когда нужен):
              виноват тот, кто не подумал об этом.

              Чем проще система, тем меньше её стойкость (чаще всего) ко взлому.
              Всё просто :)

              • firk
                /#10563173

                > Если так смотреть, то и замкИ на дверях — это усложнение

                Только вот 2FA на почте — как замок на туалете, для большинства. Вроде бы и хочется иметь возможность запереть, но не настолько важно чтобы из-за этого терпеть неприятности из-за забытого ключа. Поэтому запирается на защёлку и не более того.

                • nickName0
                  /#10563203

                  И почта разная бывает:
                  для аккаунта, куда привязаны кошельки (напр-р, криптовалют):
                  поверьте, если у Вас «угонят» такой ящик, Вы радикально измените взгляды на 2FA :),
                  и самый общий, для всего не очень важного.

      • yokotoka
        /#10560533

        Использую для всех TOTP (в том числе гуггл) приложение Authenticator Plus с синхронизацией через Dropbox. С одного устройства добавил — на всех появилось. Очень удобно.

        • vsespb
          /#10561389

          осталось только скомпрометировать ваш дропбокс

          • ProRunner
            /#10562043

            У меня подобная схема, дропбокс также защищен 2FA через смс. Для и утечка бэкапа Authenticator Plus не страшна — она зашифрована мастер-паролем.

        • ilyakos
          /#10561821

          Что-то вообще непонятно, кто разработчик этого приложения. Ну и правила использования еще более мутные.

      • stardust1
        /#10560549

        или к конкретному устройству


        Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.

        И то, и другое меня не устраивает, так как я не готов делиться такими личными данными с корпорациями типа Google.


        Если это ваша основная почта, то они эти данные наверное и так имеют.

        • thauquoo
          /#10561361

          Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.
          Я бы больше доверял своему домашнему серверу.

          Если это ваша основная почта, то они эти данные наверное и так имеют.
          Нет, основная почта у меня на Kolab, на публичных сервисах вроде GMail — только для рассылок, некоторых регистраций на сайтах, и иногда общение с шифрованием GPG.

        • thauquoo
          /#10561451

          Вроде с Authy можно синхронизировать на нескольких устройствах. Правда тут вопрос можно ли доверять этим ребятам.

          Я бы больше доверял своему домашнему серверу.


          Если это ваша основная почта, то они эти данные наверное и так имеют.

          Нет, основная почта у меня на Kolab, на публичных сервисах вроде GMail — только для рассылок, некоторых регистраций на сайтах, и иногда общение с шифрованием GPG.

          • ilyakos
            /#10561825

            Ага, WD Cloud c их специальными паролями для d-link

            • thauquoo
              /#10562871

              Нет, я не имел ввиду WD Cloud, использующие проприетарную My Cloud OS. Это вообще плохой пример, когда мы говорим о приватности.


              Я больше доверяю домашнему серверу на основе любого популярного свободного дистрибутива Linux или *BSD.

              • ilyakos
                /#10563975

                У меня просто Wd Cloud и я до сих пор бешусь от той истории с паролями… Но работает для моего кейса использования хорошо и теперь только локально (надеюсь с настройками они не врут). По поводу любого свободного дистрибутива — я бы предпочел лучше платный, но с надежными и быстрыми обновлениями. Не доверяю я ничему бесплатному. За хороший продукт надо платить — иначе получается и спрашить не с кого. Если продукт не выдержал эксплуатации и имеет дыры — голосую кошельком в пользу другого. Но это личное мнение конечно.

      • Barnaby
        /#10560751

        Я не пользуюсь, потому что идёт или привязка к номеру телефона, или к конкретному устройству.

        Просто с TOTP нет привязки, я на нескольких сервисах так freeOTP использую. Но гугл как выяснилось не дает включить 2FA без привязки к номеру, а потом еще удивляется что его никто не использует.

        • powerman
          /#10560843

          Именно! Я использую Google Authenticator (тоже TOTP) на других сайтах, и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона. Так что в этом плане они ССЗБ, слишком хамски-требовательно собирают личные данные.

          • profesor08
            /#10561279

            Вот вы свой номер пораздовали всем своим друзьям, у кого-то телефон на адндроиде, и наверняка есть синхронизация контактов с аккаунтом гугла. Получается независимо от вашего желания, ваш номер уже известен корпорации.

            • powerman
              /#10561323

              Это, безусловно, огорчительно, но я могу контролировать только то, что я могу контролировать. Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email и IP. На самом деле мой номер, безусловно, есть у гугла и так — я использую Google Play. Но для регистрации в Google Play использован отдельный email, который используется только для телефона. В общем, делаю что могу, чтобы не упрощать им жизнь. На самом деле, при сильном желании, гугл сможет увязать вместе все мои телефоны и email-ы, не всё автоматически, и не всё со 100% уверенностью, но сможет — но я сомневаюсь, что кто-то там будет этим заниматься сейчас, когда абсолютное большинство людей сами добровольно отдают всю эту инфу.

              • sptor
                /#10561349

                Кроме того, мой номер у них в контактах, по крайней мере, не привязан к моему email

                Я бы не был так уверен в этом. У многих в контактах, на смарте по крайней мере, пишется и мэйл, причем обычно таки основной — если он известен.

                • powerman
                  /#10561375

                  Я в этом уверен, потому что во-первых знаю, с кем общаюсь по email и как у них настроена почта, а во-вторых потому, что у меня основной email на своём домене, а вовсе не на gmail, так что даже если кто-то и указал email к моему телефону, то не gmail-овский, так что это практически ничего не даст (примерно ту же инфу можно найти у меня на сайте и в публичном резюме).


                  Суть не в том, чтобы от кого-то скрываться, а в том, что я готов сообщать свои личные данные только в обмен на что-то, что нужно лично мне — например, свой сайт и публичное резюме мне нужны, чтобы получать хорошую работу. А когда из меня пытаются требовательно вытягивать излишние (для функционирования нужного мне сервиса) личные данные, на пустом месте, не давая ничего взамен — я это воспринимаю как хамство и, по мере сил, сопротивляюсь.


                  Возвращаясь к теме статьи, про двухфакторную авторизацию, суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP), и она не требует знания номера телефона. Но гугл требует сообщить ему номер телефона и без этого не даёт включить двухфакторку через TOTP. Это — наглое вымогательство, и я лично этому потакать не собираюсь.

                  • nickName0
                    /#10561479

                    суть проблемы в том, что техническая возможность включить её есть (на базе приложения для TOTP)
                    — Речь, как понимаю, о том, что именно номер телефона абонента — это не есть тот номер, по которому сеть (сотовой связи) обеспечивает абонента связью. Абонентский номер — нужен лишь для людей (чтобы могли связаться).

                    Это — наглое вымогательство, и я лично этому потакать не собираюсь.
                    — Теоретически — согласен. Практически-же — имею больше плюсов, чем минусов, от той-же 2FA.

                  • profesor08
                    /#10567597

                    Суть в том, что вы хотите пользоваться сервисами гугла, и ничего не давать в замен. Причины понятны, гугл настолько приелся уже, его сервисы как само собой разумеющееся, стали частью нашей жизни. Но существование этих сервисов обеспечивается рекламой, цель рекламы — продавать, чтоб продавать хорошо, надо знать что пользователю нужно, для этого нужно иметь как можно больше информации о пользователе.

                    • powerman
                      /#10567755

                      В большинстве случаев Вы были бы правы, но в моём случае — это не совсем так.


                      Лично я из всех сервисов гугла реально пользуюсь только Play Market-ом, потому что мне кажется (возможно — зря, я из альтернатив использую только F-Droid, другие даже не смотрел пока), что в других маркетах нет нужных мне приложений (широкого выбора игр, в первую очередь, и некоторых платных приложений) и даже такого поверхностного контроля вредоносных приложений как в гугле.
                      Почтой гугла я практически не пользуюсь — у меня есть несколько аккаунтов, но используются они исключительно через POP3, а не веб-интерфейс gmail, так что в гугле они или любом другом сервисе — для меня не имеет значения, где исторически открыл аккаунт там и живёт.
                      Поиском не пользуюсь — предпочитаю duckduckgo.
                      Документами не пользуюсь — предпочитаю paper.dropbox.
                      Диском не пользуюсь — предпочитаю dropbox и акционный терабайт в mail.ru (должна же быть от mail.ru хоть какая-то польза) через webdav.


                      Отдельно я иногда вынужден пользоваться почтой/документами/диском гугла потому что этого требует компания, на которую я в данный момент работаю — но для меня это не является поводом делиться персональными данными с гуглом, на самом деле я для таких рабочих вещей тупо завёл отдельный телефон с отдельной симкой — если компания хочет отдавать свои данные гуглу, это её право, я возражать не стану и буду рабочие документы держать в гугле, но только рабочие, а не личные.


                      Ну и последнее, что касается рекламы — даже если я вообще все личные данные передам гуглу это никак не повлияет на его доходы и ту рекламу, которую я вижу — потому что последний раз я рекламу в инете видел лет 15 назад, примерно когда стали популярны анимированные баннеры — с тех пор всё заблокировано намертво, и на компе и на телефоне.

                      • powerman
                        /#10567983

                        Перечитал сейчас этот коммент, и увидел любопытную закономерность — в том, что из меня получился такой вот "невыгодный" пользователь виноваты сами рекламодатели и компании:


                        • Агрессивно блокировать рекламу я начал только после того, как она стала анимированной/popup/popunder и начала мешать читать основной контент сайта.
                        • К gmail я относился вполне дружелюбно в то время, когда они обещали "вот-вот" реализовать поддержку PGP. Как только стало ясно, что читать наши письма для гугла важнее, чем обеспечить безопасность переписки, и что PGP там не будет никогда (или будет, но с ключами у них на сервере, а не у меня в браузере) — я перестал воспринимать gmail как полезный сервис.
                        • Я, вообще-то, к акциям равнодушен, и никогда ничего не делаю только потому, что мне сделали "выгодное" предложение — с зарплатой программиста можно позволить себе не гоняться за скидками и не экономить каждую копейку. Терабайт в облаке mailru был первой акцией, на которую я среагировал — и причина была вовсе не в том, что мне нужен этот терабайт, а в том, что они слишком нагло требовали установки своего говнософта с сильно подмоченной репутацией. Так что я из принципа поставил его в виртуалке, состояние которой после этого вернул на снимок сделанный до установки как только выполнил условия акции. А когда они (ожидаемо) отключили "бета" поддержку webdav, чтобы без их софта этим терабайтом пользоваться стало невозможно — поставил стороннюю утилиту работающую как webdav-прокси в их протокол.

                        Я понимаю, что реклама нужна, что бедным компаниям нужно получать прибыль… просто помимо денег надо иметь ещё и совесть! И вот с последним у них проблема. Пока это не изменится — не надо рассказывать мне какой бессовестный я, что лишаю компании их "недополученной прибыли".

          • rogoz
            /#10561657

            и использовал бы и в гугле, если бы можно было его включить не сообщая свой номер телефона.

            Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
            как выглядит в настройках

            Телефона нигде нет, специально проверил.

      • lonelymyp
        /#10561317

        Вы серьёзно считаете что гугл и остальные корпорации ещё не знают ваш номер телефона?

        Ваш номер с ФИО засветился у гугла давным давно, когда кто-то из ваших знакомых синхронизировал свой андроид, вы могла этого человека вобще один раз в жизни видеть, это мог быть банально сантехник из жека которого вы просили позвонить и оставили свой номер.

        Гугл даже знает как вы выглядите, что покупаете и что любите есть/пить, проанализировав фотки ваших друзей которые они на гуглофото хранят и прочитав все ваши письма об онлайн заказах.

        Скрыться от корпораций невозможно, не прекратив общение с внешним миром, всегда найдётся кто-то кто тебя сдаст, даже не подозревая.

        • powerman
          /#10561339

          От одного номера с ФИО пользы мало. Чтобы делать на этой информации деньги или нанести ущерб, нужно привязать к этому кучу других данных — email-ы, геолокацию, фоточки, интересы, посещаемые сайты, поисковые запросы… И вот доступ к этой информации частично можно ограничить (заблокировать геолокацию, не заливать фоточки, …), частично осложнить объединение этих данных в общую запись (использовать для телефона отдельный email, использовать на андроиде XPrivacy а в браузерах плагины вроде uBlock Origin и uMatrix, …).

          • lonelymyp
            /#10561381

            Автор камента наивно полагает что его личные данные ещё пока что неизвестны =) Обычно данные сначала попадают к корпорации, а потом уже люди задумываются о приватности.
            Что потом делают корпорации с этими данными это уже другой большой вопрос.

            PS
            А чтобы блокировать геолокацию, надо обладать нужными знаниями, перепрошить смартфон на прошивку без сервисов гугла (для многих телефонов таких нет) или под рутом выпилить сервисы гугла.
            Простое отключение геолокации не прекращает отправку данных о локации в гугл, лишь в аккаунте перестают отображаться твои перемещения на карте, это может быть полезно в ситуации когда злоумышленник угнал твой аккаунт (воспользовавшись отсутствием 2fa) и может посмотреть твои перемещения по карте.

            • powerman
              /#10561407

              Автор коммента не настолько наивен, и задумался о приватности задолго до того, как об этом стало модно говорить (и, да, до того, как добровольно сообщать о себе корпорациям что-либо, чего не хотел сообщать). Нужными знаниями автор так же обладает, телефон прошит как полагается, более того, автор выложил здесь статью о том, как это правильно делать: Защита личных данных на Android-телефоне. За прошедшие годы она несколько устарела, основная проблема — XPrivacy не работает на версиях Android начиная с 7.0, поэтому автор пока, скрипя сердцем из-за отсутствия обновлений, остаётся на 6.0.1. Рано или поздно, скорее всего, необходимость в обновлениях перевесит потребность в контроле над телефоном и приватностью, но пока — я предпочитаю сохранять XPrivacy.

              • lonelymyp
                /#10561487

                Раз вы так близко с ним знакомы, расскажите как он умудрился запретить всем с кем общается по телефону, особенно малознакомым людям, заносить его номер в их список контактов.

                • powerman
                  /#10561547

                  Про это уже было выше.

                  • lonelymyp
                    /#10561563

                    Даже вы, с учётом всех предостережений, признаете что ваш номер всётаки есть у гугла и вопрос стоит лишь в продвинутости алгоритмов сопоставлений, что уж говорить про автора комментария, который наивно полагает что его личная информация не доступна =)

                    PS
                    Есть такие штуки как цифровой отпечаток компьютера, как с этим бороться? Для каждой почты использовать отдельный ПК?
                    На мой взгляд нет смысла в полумерах, типа не включать 2fa и убирать галочку геолокации в настройках, тут нужен либо сверхпараноидальный режим во всём что касается коммуникаций, либо вообще не париться, полумеры бесполезны.

                  • Animegravitation
                    /#10562093

                    И? Тут была статья как на основе всего 4х точек в пространстве времение можно вычислитьс отдельного человека из миллионов по логам базовых станций. Собственно вот

                    habrahabr.ru/post/174221


                    Анализ базы данных, в которой была собрана анонимизированная информация о времени и месте звонков и СМС 1 500 000 абонентов на протяжении пятнадцати месяцев показал, что для идентификации 95% людей достаточно знать всего четыре пространственно-временные точки.

                    Всего две точки позволяют различить индивидуальный след половины пользователей, а одиннадцати достаточно, чтобы различить все до единого следы. На иллюстрации слева приведены примеры таких индивидуальных следов. Авторы исследования сравнивают уникальность мобильного следа с отпечатками пальцев — в 1930 году французский пионер криминалистики Эдмон Локард показал, что для идентификации по отпечатку пальца достаточно двенадцати совпадений деталей рисунка.


                    Ну вы поняли? :) Анализ бигдаты позволяет деанонимизировать всех. А те кто не поддаются деанонимизации увы сразу привлекут внимаение систем, как необычные элементы

                    Собственно вот
                    habrahabr.ru/company/nordavind/blog/180063

                    • powerman
                      /#10563487

                      Не путайте возможность получить немного каких-то данных через анализ бигдаты, и добровольный слив вообще всех возможных данных в удобной для анализа форме.


                      Что касается привлечения лишнего внимания — на здоровье, пусть развлекаются. Даже если меня целевым образом взломают и сольют всё, что смогут — они получат не более, чем все остальные отдают добровольно, а вот ресурсов на это им придётся затратить намного больше. Мои данные принадлежат мне, и делиться ими со всеми любопытствующими желающими я не считаю необходимым или полезным для себя. Если им очень-очень любопытно, они готовы сильно потратиться на получение этих данных, и у них получится взломать мои системы — ну и ладно, значит моей квалификации не хватило для их защиты, и в этом никто кроме меня самого не виноват. Ну и кроме того, чем больше людей будут понимать вред от добровольного слива всех своих данных корпорациям, тем больше будет стараться это предотвращать, и тем меньше внимания будет привлекать каждый из нас.

      • ilyakos
        /#10561815

        У сервисов Майкрософт можно на почту получать ну и на телефон тоже. Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!

        • Exchan-ge
          /#10562745

          Причем забавно: просят ввести последние 4 цифры телефона, причем 2 последние показывают. Стыдоба!


          Что здесь не так?

          • ilyakos
            /#10563977

            Они для проверки просят последние 4 цифры телефона. Из них 2 последние показаны на предыдущем экране.

            • Exchan-ge
              /#10564789

              Из них 2 последние показаны на предыдущем экране.


              Знание двух последних цифр ничего не дает — код будет выслан на полный номер телефона, состоящий не из двух и не из четырех цифр.

              Две цифры — всего лишь напоминалка владельцу аккаунта о том, какой именно номер был использован для аутентификации.

              У меня, например — используются три разных номера для трех разных групп аккаунтов. Без подсказки их легко перепутать.

      • zagayevskiy
        /#10562885

        Смартфонами вы тоже не пользуетесь?

      • Igrek_L
        /#10565109

        Но меня бы устроила двухфакторная аутентификация с отправкой одноразового пароля на другую почту или в Jabber. Увы, я такого не видел в крупных компаниях.

        У Google есть Google authentificator в качестве второго этапа. Ему не нужен номер, только более менее точное время.

    • osipov_dv
      /#10560451

      Достаточно спорное заявление, 2FA требуется только при логине на новом компьютере. Если на компе не выходить все время из учетки, то ее требуется сделать только один раз.

      • aik
        /#10560479

        Гуглопочта где-то раз в неделю на всех компьютерах просит повторно пароль ввести.
        Ну и вообще я за себя говорю. Кому-то может и удобно.

        • osipov_dv
          /#10560525

          двухфакторная включена, ничего не просит…

          • Iv38
            /#10560615

            У меня тоже. Никаких повторных запросов тоже не случается, если гугл уже знает это устройство. Иногда при совершении опасных действий может повторно запросить основной пароль. Мне кажется у Гугла одна из самых ненавязчивых форм 2ФА. А самая настырная и раздражающая — у LastPass.

            • theWaR_13
              /#10560765

              В плане Гугла, у меня так же не запрашивает повторной авторизации, у LastPass включена проверка каждые 30 дней, но включил я ее намеренно. Все это можно изменить в настройках.

          • ourlive
            /#10565111

            За последние пол года два раза одновременно на всех компах вылетал в перелогин. Возможно гугл что-то считает подозрительной активностью.

            • osipov_dv
              /#10565167

              два раза за полгода перелогиниться, разве это проблема?

              • ourlive
                /#10565177

                Говорить, что "совсем ничего не просит" не корректно. А перелогиниться нет, не проблема.

      • CaptainFlint
        /#10560491

        Попробуйте это Стиму объяснить. Клиент ещё более-менее держит сессию, но и то иногда требует снова залогиниться. А если браузером пользоваться, да ещё на разных машинах, да ещё разными браузерами — постоянно слетает авторизация. Причём вход отдельно в магазин, отдельно в Community.

        • skyscaper
          /#10561529

          В чем проблема пользоваться клиентом стима и не любить себе мозг? За 2 года владения текущим ПК логиниться приходилось раза 3 максимум.

          • CaptainFlint
            /#10561557

            В том, что клиент Стима не позволяет ставить расширения, зачастую здорово упрощающие жизнь. В том, что ссылки из почтовых уведомлений Стима открываются в браузере, а не в клиенте. В том, что интеграция сторонних сервисов со Стимом тоже производится в браузере, а не в клиенте.

      • vsespb
        /#10561391

        нет, если гуглю кажется что-то подозрительным (например ваш ип) то попросит ввести код.

    • zomby
      /#10561327

      Эти неудобства причем иногда сам гугл создает на ровном месте. Купил недавно телефон на андроиде, вставил симку, включил, и мастер начальной настройки радостно сообщил — мы подключились к мобильной сети, давайте теперь залогинимся в гуглосервисы! Ввожу логин, пароль. «Введите код, отправленный вам в SMS». Только SMS прочитать мы вам не дадим. Потому что нехер, ты сначала залогинься, а смски свои потом почитаешь. Гугл, вы идиоты.

    • sashamorozov
      /#10561531

      1Password имеет поддержку одноразовых паролей, доступно на всех возможных системах и расширениях браузеров.

      Я давний пользователь, и это очень удобно. Особенно после историй друзей как они потеряли телефоны, а у них не было бэкапа, и 2FA исчезала. Даже если я все устройства потеряю, то всё равно при синхронизации с сетью я верну все свои пароли и 2FA.

  2. rub_ak
    /#10560345 / -1

    Интересно через сколько на минут кокой-нибудь GM отреагировали власти, если бы они сказали: Мы знаем что ремни безопасности спасают жизни, но из юзабилити включать в стандартную комплектацию их не будем.

    • logran
      /#10560375 / +2

      Не равнозначное утверждение. 2fa в комплекте есть, просто её не используют клиенты.

      Это как если бы сказали «мы знаем, что ремни безопасности спасают жизнь, но из-за юзабилити не станем автоматически принудительно пристегивать каждого севшего в машину».

      • vics001
        /#10560463

        Во многих автомобилях есть неотключаемое предупреждение о не пристегнутом ремне, иногда это ужасно неудобно, но это правила регуляторов.

        • jaiprakash
          /#10560503 / +1

          И заглушки в замках не помогают?

          • uu_69
            /#10560667

            Коллега жены разбился, да еще и удавился ремнем, так как имел привычку перекидывать через голову постоянно пристегнутый ремень.

            • dmitry_dvm
              /#10560797

              Всегда интересно — кого такие люди пытаются перехитрить?

          • Finesse
            /#10561061

            Или просто вытащить провод из разъёма датчика на замке

        • lonelymyp
          /#10561505

          всего 7 лет езжу, но ни разу не испытывал неудобств, с удивлением смотрю на тех кто без ремня, расскажите хоть на словах, что за неудобство такое.

          • CaptainFlint
            /#10561571

            На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать. Плюс, когда пристёгнут, сложно дотянуться до бардчка или, скажем, достать что-то с заднего сиденья (понятно, что не во время движения, можно и на красном свете).

            P. S. Ни в коем разе не агитирую против ремней, просто отвечаю на вопрос.

            • Meklon
              /#10561687

              Остановился, отстегнул, достал, застегнул, нет?

              • CaptainFlint
                /#10561861

                Я ж не говорю, что это нерешаемая проблема. Просто ситуация, когда без ремня существенно удобнее, чем с ним.

            • kolyan222
              /#10562315

              можно и на красном свете

              Если в это время другой водитель решит проскочить на красный/уснёт/другая причина, что будет с водителем копающимся в бардачке или на заднем сидении?

              • CaptainFlint
                /#10562403

                Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?

                В любом случае, голову отключать никогда не рекомендуется, и любая ситуация оценивается самостоятельно. Я не думал, что к простой фразе начнутся придирки, поэтому не стал расписывать точную планировку дорожной ситуации и прикладывать план расположения всех транспортных средств с указанием их векторов скоростей, с теоретическим обоснованием того, что процедура залезания в бардачок и взятия нужного предмета, занимающая такое-то количество времени, в указанной ситуации будет безопасной. Какой смысл загромождать комментарий бесполезными очевидными деталями? Или вы будете утверждать, что таких ситуаций не может быть в принципе? Даже когда водитель стоит в дикой пробке, окружённый неподвижными машинами со всех сторон?

                • kolyan222
                  /#10562705 / +1

                  Проскочить на красный, телепортировавшись сквозь несколько стоящих впереди машин?

                  Не совсем понял насчёт телепортации.
                  У водителя сзади банально может свести ногу судорогой (или он перепутает педаль) и всё, впереди стоящую машину выбросит на перекрёсток/в кювет.

                  Но не суть. Писал я это не ради придирки, а что бы напомнить, транспортное средство является объектом повышенной опасности, а потому отстёгивать ремень, когда поблизости находятся другие транспортные средства не разумно ни под каким предлогом.

            • Exchan-ge
              /#10562759

              На некоторых машинах ремни давят, очень некомфортно, приходится постоянно подтягивать.


              У меня таких проблем даже на жигулях не было )
              Пристегиваюсь на автомате, даже если еду недалеко и небыстро.
              В такси — тоже.

  3. Sadler
    /#10560353

    Если бы двухфакторная аутентификация гугла представляла из себя просто SMS с кодом на телефон, я бы с удовольствием ей пользовался. К сожалению, по факту требуется установка приложения, в отзывах к которому масса негатива, связанного с проблемами входа в аккаунт после переустановки, обновления, утери телефона. Если SIM-карту и номер я могу восстановить у оператора, то в случае привязки к конкретному экземпляру софтины мне придётся дополнительно ещё связываться с техподдержкой гугла и доказывать им, что я не верблюд.

    С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.

    • Sadler
      /#10560367 / +1

      UPD: мне в личку написали, что у меня устаревшая информация. Проверил, действительно, есть двухфакторная и по sms, и уведомлениями android без стороннего приложения. В общем, всё круто, включил.

    • dartraiden
      /#10560419

      после переустановки, обновления, утери телефона

      Вы ведь как-то решаете вопрос с сохранением информации на случай переустановки или утери. Бекапы там, синхронизация с облаком? Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?

      • Sadler
        /#10560435

        Google Authenticator предлагается ставить на устройство с android, где никаких бэкапов у меня нет, т.к. никаких важных данных там не хранится. Не уверен, дублируется ли какая-то информация с GA в облако по умолчанию. Пока буду обходиться другими способами двухфакторной аутентификации, без установки софта.

        • Andrusha
          /#10560493

          Он на любой смартфон ставится, и даже не смартфон — есть реализации на J2ME, поддержка в KeePass/KeePassX/MacPass, отдельные приложения для ПК...

      • Iv38
        /#10560671

        Что же мешает делать регулярные автоматические бекапы того же Google Authentificator/FreeOTP/другой-программы?

        В самом Google Authentificator такая возможность не предусмотрена, в Андроиде без рута тоже.

        Доступ можно восстановить, воспользовавшись альтернативным каналом получения одноразовых паролей.

    • AlexanderS
      /#10560465

      С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы, и создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли.

      У меня на каждый сервис пароль из не менее 16 случайных символов. Я это физически помнить не смогу)
      Использовать хороший и большой, но одинаковый пароль везде — это еще большее снижение безопасности, т.к. при его компроментации со стороны какого-то одного сервиса под удар подставляется вообще всё.

      • Sadler
        /#10560485

        Я использую везде разные пароли от 16 до 30+ символов, но они не случайны, а компонуются по определённой схеме. Если не светить саму схему, то компрометация любого из паролей несущественна.

        • MiXei4
          /#10560629

          А если надо сменить пароль, то для этого есть вторая, третья… схемы?
          А если скомпрометированы 2 пароля?

          • Sadler
            /#10560637

            В схеме есть параметр, определяющий необходимую сложность. Если пароль скомпрометирован, увеличиваем на 1. Из-за этого за десять лет использования схемы некоторые пароли значительно выросли, поэтому мне недавно пришлось модифицировать её и сменить все пароли на всех сайтах.

        • Iv38
          /#10560649

          Это известный подход, но нельзя сказать, что он чем-то значительно лучше менеджера паролей. Лучше он разве что тем, что не нужен менеджер паролей, и нет проблем с синхронизацией.

          создают дополнительные риски потери доступа, т.к. теряется привычка помнить свои пароли


          Тут то же самое: вы не помните пароли, вы помните схему их формирования.

          Подобная методика имеет ряд известных недостатков перед менеджерами паролей. Например, сложно или невозможно подобрать схему, которая подошла бы сразу под все ограничения всех сервисов. Или невозможно хранить пароли, которые вы не можете формировать сами. Невозможно хранить дополнительную информацию, хотя бы тот же логин. Невозможно хранить более одного пароля для сайта. Если схема формирования пароля не очень сильная, то компрометация одного из паролей может привести к компрометации всех.

          В общем, на мой взгляд, такой подход можно использовать в дополнение к менеджеру паролей, а не вместо.

          С менеджерами паролей всё проще: они гарантированно снижают уровень безопасности за счёт хранения паролей где-либо, кроме моей головы


          Очень спорно, голова тоже не очень надежное место, особенно для редкоиспользуемых паролей, они просто забываются между использованиями. Парольные менеджеры обычно могут предоставить хорошую криптографию и ту же многофакторность, плюс можно самостоятельно окружить его дополнительными уровнями защиты в зависимости от уровня паранойи и позаботиться о хорошем мастер-пароле.

        • andrewenka
          /#10560653

          Если только схему не легко вычислить при знании домена/названия сервиса и пароля для этого сервиса (та самая компроментация какого-то одного сервиса).
          А если схему вычислить сложно, то тогда скорее всего сложно и пароль по ней воспроизвести каждый раз, входя в сервис.

    • Vilgelm
      /#10560489

      Есть по СМС, но во-первых, это не безопасно (склонировать вашу симкарту стоит в районе 15к руб), во-вторых, если вы окажитесь вне зоны действия сети, то в аккаунт войти не сможете.
      Приложение не обязательно использовать именно гугловское, там открытый стандарт, который много кто поддерживает. А ключи можно забэкапить (на бумажку или файлом, если есть рут).

      • Sadler
        /#10560495

        Ага, спасибо, я уже распечатал себе список резервных ключей и положил в укромное место.

  4. SimSonic
    /#10560361 / +1

    Шёл вроде бы 2009 год, я поехал в Питер, а денег на счету не хватило для активации роуминга. Пытался пополнить, но единственным вариантом было «получить смс с кодом», чего я сделать не мог. Пришлось просить других людей. Да и сейчас живу в яме, где сигнал сотовой связи время от времени пропадает, если телефон не у окна. По этим причинам очень не люблю, когда для какого-то действия нужно дождаться смс. Понятно, что сейчас есть приложения для подтверждения. Но нет, просто эмоционально 2FA мне не нравится, я считаю что мои пароли уникальны и достаточно безопасны.

    • DrZlodberg
      /#10560441

      У знакомых ребят есть дача в относительно ближнем подмосковье, но относительно далеко (километров 5) от крупных населённых пунктов. Есть вполне приличный мобильный инет… На оплату ими чего-ли с карты без слёз взглянешь. Смс то не приходит, то приходит с опозданием на пол-часа… час, когда код уже не валидный. Да, с банком лучше перестраховаться, но при работе с почтой такой мазохизм не оправдан. Ну и с доступом в при дальних разъездах тоже могут быть проблемы да.

    • Renaissance
      /#10560705

      Аналогичная ситуация: на работе в моем углу сотовая связь почти не ловит (ирония в том, что в этом же здании располагается радиочастотный центр :D), поэтому получать СМС с двухфакторкой очень неудобно. Приходится тупо выходить из помещения, ждать пока мобильник поймает сигнал, примет СМС и возвращаться обратно.
      Еще одна история в копилку минусов двухфакторки: у одного хостера включил, но СМС с кодом не приходило. Обращался к оператору — безрезультатно. В итоге позвонил хостеру, и девушка безо всяких дополнительных вопросов мне просто двухфакторку отключила. Вот она и безопасность…

    • 3aicheg
      /#10561071

      У меня обычно вообще нет сотового телефона. Есть обычно смартфон без сим-карты, либо планшет без гнезда для таковой вообще. Плюс мобильный интернет. Для всего хватает! Несколько лет был телефон, года полтора назад потерял его, и до сих про ни разу(!) не понадобился. Всякий раз при упоминании всех этих двухфакторных авторизаций как чего-то само собой разумеющегося испытываю сложные противоречивые чувства: с одной стороны, с пониманием отношусь к тому, что никого не заботят ничтожные доли процента таких вот, как я, архозавров-извращенцев; с другой стороны, горите в аду, суки, про Microsoft tax вот любят бухтеть, а на фактический «сотовый налог» чё-то пофиг всем…

    • Alexeyslav
      /#10562379

      Трояну, например, насрать на уникальность и сложность пароля. Он его просто утянет как есть. Пароли сейчас наверно нет смысла подбирать прямым перебором, по хешам пароли ломаются быстрее вне зависимости от величины но хеш теперь солят, правда ещё не везде.

  5. kvazimoda24
    /#10560363

    Если большинство угонщиков аккаунтов действуют по одной схеме, может будет лучше при совершении подобных действий принимать какие-то меры, там лишний раз проверить телефон у пользователя или ещё что-нибудь. А так это похоже на то, что мы знаем, что аккаунт угнали, но делать ничего не будем с этим. Собственно, судя по отзывам и появляющимся даже на гиктаймсе статьям, у Гугла это официальная позиция. Им наплевать на угоны и пользователей. А сейчас у них с одной стороны какая-то дикая параноя, раньше использовал почтовые ящики на gmail, чтобы с серверов уведомления себе присылать, потом, в какой-то момент, уведомления приходить перестали, т.к. Гугл ужесточил какие-то настройки, и надо обязательно проходить доп. проверки, типа номера телефона. Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.
    И всё это на фоне того, что люди предоставляют всю мыслимую и немыслимую информацию о своём аккаунте, который угнали, а гугл их шлёт лесом

    • AlexanderS
      /#10560471

      Пришлось на виртуалке поднять почтовый сервер и забыть про гугл.

      Я уже тоже к этому прихожу. А на чём делали?

    • Iv38
      /#10560683

      В поведении злоумышленника в представленной схеме мало необычного. Самое необычное поведение — удаление только что отправленных писем. Но на этом этапе бить тревогу уже поздновато.

  6. Barnaby
    /#10560405

    Попробовал включить 2FA, а мне предложили указать телефон и смс или звонок. OTP все?

    • Dvlbug
      /#10560423

      Нет. Это на тот случай если будет потерян телефон с программой.
      Для аутентификатора Гугла (ОТР), нужно чтобы просто время точное было на телефоне. Если про вход на сервисы Гугл, то даже при утере телефона можно зайти через «список резервных кодов» или смс.

      • powerman
        /#10560847

        Нет, это ни на какой-то там случай, это тупо потому, что гугл хочет получить номер Вашего телефона. После ввода и верификации номера телефона открывается возможность использовать вместо номера телефона (звонок/смс) другие методы, включая через приложения для TOTP. А на случай утери телефона/программы — скачиваются одноразовые коды (которые надо положить в менеджер паролей).

  7. Nomad1
    /#10560429

    Надпись выглядит весьма иронично, если знать, что уже пару лет назад количество пользователей почты Gmail перевалило за миллиард, а этим способом аутентификации пользуются не десятки и не сотни миллионов.

    Такое можно утверждать только если бы было сказано «менее 0.999(9)%». Ведь даже 1% от 1 млрд (+ 1 человек) уже больше 10 млн, а для «менее 10%» верхняя граница выше 100 млн. Таким образом автор статьи намеренно создает окрас «это бесполезно» имея на руках относительно нейтральные неполные данные.

    • ivansychev
      /#10560447

      Речь исключительно в формулировке на странице Google: Google пишет «миллионы», а не «десятки миллионов». Понятно, что менее 10% — это менее 100 млн, но почему-то выбрана именно формулировка с «миллионами». По поводу «бесполезно» — не имел этого ввиду и никоим образом не пытался сформировать такое мнение у читателя.

      • Nomad1
        /#10560475

        Я имел в виду, что если все аудитория составляет 1 000 000 001 человек, то промежуток [0%;10%) от этого числа = [0;100 000 000]. А формулировка уже в этом случае выбирается в зависимости от желания маркетолога. Например, есть данные, что «менее 10% населения Австрии имеют высшее образование», но в реальности процент составляет 9.9%, это около 850 тысяч высококлассных специалистов.

      • solariserj
        /#10564315

        Лично для меня миллионы означает от 3млн до 1млрд… Формулировка иногда зависит от толщины маркетологов и может гугл немного по другому на это смотрит. Например: Уау!!! Это видео!!! просмотрело более!!! 13500 раз!!! А для гугл на такое даже не обращает внимание.

  8. AlexanderS
    /#10560445

    1) Нет выбора — сервисом без указания номера телефона просто не начнёшь пользоваться.
    2) Корпорация надо все больше и больше данных. Им уже давно мало мой IP и куки. Хотите 2FA? Но вторым фактором может быть контрольное слово, второй почтовый ящик и т.д.
    3) Если не приходит SMS — ничего не сделаешь.
    4) Наличие уязвимости SS7 не делает защиту абсолютной, как многие полагают в финансовой сфере.
    5) Если я меняю номер телефона, то меня ждёт куча геморроя, если у меня нет старого.

    Я как-то для одного сайта сделал почту через Яндекс ПДД. Через 5 лет надо было ящик добавить. По бумажкам нашел реквизиты для доступа, но пароль не подошёл. Однако есть ящик почты с которого делали. Но… номера телефона уже давно нет. И всё встало. Вы пробовали когда-нибудь вообще обращаться в саппорт яндекса? Нет ни телефонов, ни почты тематической, форма для техподдержки зарыта где-то в глубинах фака и когда я через неё отправил данные — мне никто не ответил до сих пор. У гугла — аналогичная фигня. С таким подходом и отношением к пользователям — оно и не удивительно, что народ нафиг посылает весь этот геморой.

    Я за то, чтобы оставлять контроль и ответственность на стороне пользователя. Есть мои логин/пароль — я сам должен заботиться об их сохранности. Если я сочту нужным включить 2FA — включу, если нет — не буду. Но так, как есть это сейчас — навязывание — так быть не должно.

    • romxx
      /#10560563

      > Если не приходит SMS — ничего не сделаешь.

      SMS? Вообще-то мне казалось, что основной способ это Google Authentificator App.

      • AlexanderS
        /#10560735

        Я имел ввиду SMS.
        Но привязка к приложению, которое привязывается к конкретному устройству меня тоже не сильно радует.

        • Iv38
          /#10560799

          Но ведь в этом и суть второго фактора — подтвердить владение устройством. А аварийным каналом является СМС или список предварительно сгенерированных одноразовых паролей.

    • maxwolf
      /#10561043

      Плюсовать не могу, но горячо поддерживаю. В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду. После продолжительной борьбы с роботами (жалко было бросать такой ящик!) вышел-таки на человека в поддержке, но человек этот, вместо того, чтобы сверить информацию, доступную только реальному владельцу ящика, запросил скан моего паспорта(!), при том, что никаких паспортных данных я 17 лет назад яндексу не давал, и с чем он их собрался сверять — совершенно непонятно. Гугл каждый раз при пересечении границы блокирует доступ по pop3, и шлёт грозные письма «Someone has your password». Хвала аллаху, пока он позволяет вернуть доступ через web, но я просто-таки спинным мозгом чувствую, что скоро эту «вольницу» и они прикроют.
      Вообще, расстраивает тенденция железной рукой загонять всех в рай. Сделали новую секурную фичу — предложите её юзеру. Даже сделайте включённой по умолчанию… Но оставьте возможность и выключить! Жизнь — она сложнее любых, наперёд продуманных, схем!

      • AlexanderS
        /#10561535

        В прошлом году Яндекс забанил мне доступ к ящику, использовавшемуся уже 17 лет кряду.

        Вот поэтому я купил себе домен и сделал «свою» почту, которая просто где-то хостится.
        Следующий этап, до которого я уже созрел — свой почтовый сервер, возможно в виде решения на своём компе. Во всей этой схеме меня расстраивает только зависимость от домена. Покупка на 1-2 года только, я бы с удовольствем выкупил его лет на 20, как-нибудь юридически это оформить и можно про это направление уверенно забыть или хотя бы не думать )))

        • powerman
          /#10561567

          У меня лет 20 свой почтовый сервер дома, и я честно скажу — домен это мелочь. Помимо домена нужен статический IP (причём крайне желательно — не замеченный ранее в рассылке спама), нужен сервер не на винде (и нужно запретить файрволом виндовым машинами в локалке отправлять что-то в инет на порты SMTP) — иначе вирусы рано или поздно начнут спамить с вашего IP, нужно настроить DNS (и не только MX, но и SPF, обратный резолвинг IP и, нередко, ещё кучку всего), и, не смотря на все эти усилия, периодически этот IP всё-равно будет попадать в разные чёрно-серые списки и удаляться из них нужно будет самостоятельно, а крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее. Ну и спам-фильтр тоже свой нужен. Я за столько лет привык, но если бы надо было заниматься всем этим с нуля сейчас — не факт, что я бы на это решился. Из плюсов — посторонним корпорациям сложно читать мою почту или лишить меня доступа к ней (сложно а не невозможно потому, что не шифрованные PGP письма может читать мой провайдер, а лишить доступа можно отобрав домен), ну и я вижу ушло от меня письмо на самом деле, или пока болтается в исходящей очереди qmail.

          • AlexanderS
            /#10561823

            Ну, к техническим моментам я готов, в первый раз даже интересно будет) А вот:

            крупные сервисы вроде AOL и gmail периодически могут переставать принимать от вас почту и разблокироваться там ещё сложнее

            это может быть проблемой. У меня сейчас-то некоторые сервесы иногда не принимают мой e-mail, т.е. чисто адрес, наверное, валидацию не проходит «по названию».

          • AlexanderS
            /#10562011

            А вы сами всё руками настраивали? Просто вверху вон предлагают iRedMail — я посмотрел, вроде как всё что нужно в одном пакете, вполне по силам.

        • Andrusha
          /#10563653

          Есть зоны, где можно купить навсегда, .ro например.

          • AlexanderS
            /#10564873

            Слышал. Но там у них вроде правила хитрые, в которых эта «навсегда» может быть и отозвано)

            • sumanai
              /#10564877

              Нет такой зоны, где бы не отозвали, кроме разве что .onion или других основанных на криптографии, но они, по понятным причинам, с обычным интернетом взаимодействовать не могут.

  9. read2only
    /#10560499

    Перестал пользоваться двухфакторной аутентификацией просто потому, что SMS либо не приходили вовсе, либо приходили с неприемлемой задержкой (более 20-30 минут).

    Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.

    P.S. Для меня лучший менеджер паролей это две маленькие записные книги.

    • Dvlbug
      /#10560515

      У брата также была записная книжка, пока он не обзавелся ребёнком :)

    • AlexanderS
      /#10560541

      Менеджер паролей… Ну это как доверить некоему лицу хранение документов удостоверяющих личность, при этом тебя заранее предупреждают — ни за что ответственности не несут.

      Поэтому надо:
      — принудительно изолировать менеджер паролей от интернета (блокировка файрволом, например)
      — пользоваться им только на той системе которую делал сам, не запускать и не открывать на чужих
      — обязательно шифровать базу паролей и не держать её открытой всё время — ввёл пароль, автоматом через минуту база должна закрыться и отключиться
      — не держать менеджер паролей в явном виде на компе — портейбл решение, контейнер TrueCrypt, отдельная флешка, но только как установленное приложение в системе
      — использовать только опенсорс решения

      Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)
      У меня записная книжка в ворде. Раз в год обновляю бумажную версию)

      • powerman
        /#10560853

        Просто поставьте KeePass. И не издевайтесь над животинкой, дайте ему доступ в инет — пусть синхронизирует файл с паролями через Dropbox. И получите опенсорс, надёжно зашифрованный файл с паролями, доступ к паролям со всех устройств и всех ОС, автоматический ввод паролей на сайтах, etc. А чтобы не вводить основной пароль на чужих компах — держите KeePass на своём телефоне.

        • Alcpp
          /#10561047

          Погуглил «KeePass взлом»

          Чуть ли не первая же новость:

          «Энтузиаст под ником denandz сумел не только найти способ взлома менеджера паролей KeePass, но и написал специальную утилиту, чтобы любой смог без проблем получить доступ ко всем паролям, хранящимся в KeePass.»

          Да, я понимаю, все исправлено уже, но все же…

          • powerman
            /#10561067

            Если у вас есть возможность подложить свои выполнимые файлы в каталог — почему просто не запустить кейлоггер, или не подменить сам KeePass.exe на фейк, который запросит пароль, а потом запустит настоящий KeePass.exe?


            Давайте не сходить с ума — да, в винде есть проблема с загрузкой dll из текущего каталога вместо системного (в *NIX похожую проблему решили много десятилетий назад убрав . из $PATH), и, насколько мне известно, KeePass под виндой содержит немало специфических для винды механизмов защиты от разных архитектурных недостатков винды, хотя вряд ли они помогают на 100%, но дело вовсе не в этом. Дело в том, что в данный момент ничего более надёжного и при этом доступного обычным пользователям просто не существует (и я сейчас не про конкретное приложение KeePass, а про сам подход — локальное опенсорсное приложение, использующее открытый формат файла и стандартные алгоритмы шифрования, плюс старающееся противодействовать архитектурным дырам в ОС настолько, насколько это получается сделать).


            Хотите большей безопасности — не используйте винду, для начала… но это беспредметный разговор, потому что абсолютно надёжных систем не существует, и любая попытка значительно увеличить безопасность ещё более значительно вредит юзабилити и доступности решения.

        • AlexanderS
          /#10561239

          Да у меня он и стоит. Но только без всяких облаков и прочих «левых» синхронизаций)

          • sumanai
            /#10562233

            Синхронизации должны быть «правыми», со своим сервером )

            • AlexanderS
              /#10562667

              Нууу… со своим сервером с физическим доступом — это совсем другое дело! )

      • read2only
        /#10560895

        Записная книжка — это хорошо, когда паролей мало и они короткие. Но когда их на пару десятков страниц ворда, да еще длинной по 2-3 десятка случайных символов… очень утомительно из книжки забивать)

        У меня накопилось страниц 30 верно, все разделены на разделы — ресурсы, почта, различные сервисы и пр. Не могу сказать, что утомительно, видимо привычка. А одной программе я никогда все пароли не доверю — «Что знают двое, знает и свинья».

        • powerman
          /#10560971

          Стороннему сервису вроде LastPass свои пароли доверять, действительно, неблагоразумно. Но программы вроде KeePass совершенно безопасны — код опенсорс, приложение устанавливается на комп/телефон локально, формат файла открытый и простой — а-ля обычный XML зашифрованный AES или что-то в этом духе. Так что использование такой программы для паролей вполне безопасно.

        • Iv38
          /#10560989

          У записной книжки недостатков побольше, чем у свободной софтины с надежными алгоритмами шифрования. Ни синхронизации, ни бэкапов, ни шифрования, все вручную. А если ее потерять…

          • read2only
            /#10561347

            Все минусы простой записной книжки перечёркиваются двумя плюсами — она физически существует, в двух экземплярах.

        • AlexanderS
          /#10561521

          Ну… с таким подходом сложно пользоваться софтом вообще. Нет же гарантий, что пароли не «копит» браузер, почтовая программа, что Windows кейлоггером своей телеметрии тупо не перехватывает ввод их с клавиатуры.

          К слову говоря, в менеджере паролей у меня они далеко не все — у меня свой «блокнот» есть в виде Notepad'a, а бумажная версия (распечатка блокнота) обновляется раз в год ;)

          • read2only
            /#10562321

            Видимо у нас различный подход. Браузеры «копят» мои пароли только от «обычных» ресурсов — форумы и т.п. Прочие «куки» удаляются после закрытия страниц почты (к примеру). Обновления ОС устанавливаю вручную, стараясь избегать нежелательных с телеметрией и т.п.
            Я согласен, всё это эфемерно, для кажущегося спокойствия.

            • AlexanderS
              /#10562675

              Я согласен, всё это эфемерно, для кажущегося спокойствия./blockquote>
              Да… мне тоже такие мысли в голову приходят ;)

  10. romxx
    /#10560567

    Может быть причина в том, что настоящих, живых, реальных пользователей среди этого условного «миллиарда аккаунтов» сильно меньше. У меня у самого суммарно около десятка ящиков на гугле для разных технических нужд и мусорных целей, из них рабочий, реальный только один. И он с 2FA. Так что в моем случае соотношение вполне подтверждается, но совсем не потому, что написано в статье.

  11. diagonal
    /#10560595

    Я пользуюсь 2-факторной верификацией, причем голосовой.
    А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
    Боюсь ее потерять.

  12. exformat
    /#10560657

    Я так то тоже не особо паникую. Но. На некоторые ресурсы захожу только по двухфакторной авторизации. Ибо есть дети и они бывает играют на рабочем ноуте и бывает лень их в их учетку отправлять. Вот тут то и пригождается 2ф ибо без кода от гугла просто не пустит.

  13. alexstup
    /#10560659

    Это значит что у них много фейковых аккаунтов

  14. larienovich
    /#10560661

    Как вариант второй фактор авторизации :)
    При регистрации клиент придумывает число, скажем это 50
    Далее при авторизации клиенту выводится рандомное число, например 26, и клиенту надо ответить на это число (50 — 26 = 24)
    Ответ = 24
    Так не? Старый связисткий метод опознания свой/чужой...

    • necr0x
      /#10560685

      Когда ни один аккаунт имеешь и скажем 2-3 года не требуется этой проверки, то забудешь своё число 99,9%!!!

    • Iv38
      /#10560701

      По сути это не второй фактор, а тот же фактор знания, что и пароль. Разве что число от Гугла вы будете получать через СМС, но тогда непонятно зачем эти вычисления, они избыточны.

  15. necr0x
    /#10560665

    Меня взламывали. Жену бывшую взламывали неоднократно, всё из-за паролей типа «Kiril23052006». Вывод сделал для себя давно — пароли не короче 14 символов, сам набираю или генерирую онлайн, но повторяющиеся буквы, цифры, символы не допускаю. В паролях использую как заглавные, так и строчные буквы, символы всевозможные. Если придумываю пароль сам, то часто заменяю буквы на цифры, например е на 3, и на 1 и так далее. Двухфакторная аутентификация везде где это возможно. И больше ни один мой аккаунт взломан ни разу не был. Двухфакторная аутентификация запрашивается только при попытке залогиниться с нового устройства, если без моего ведома кто-то пытается войти, то на почту получаю IP, время, страну и город. Не напрягает абсолютно, безопасность превыше всего!

    Знаете что меня напрягает, облачные хранилища например и подобные онлайн сервисы, где в качестве пароля тебе нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие. Сразу пропадает доверие к подобным сервисам. Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр. Брутфорсу достаточно скормить алфавит и цифры 0-9, взломать пару дедиков с толстым каналом, кинуть ботов и дело в шляпе!

    • Iv38
      /#10560769 / +1

      … но повторяющиеся буквы, цифры, символы не допускаю.

      И снижаете тем самым энтропию. В идеале пароль должен быть случайной последовательностью и символы могут в нем повторяться сколько влезет.

      нельзя использовать символы клавиатуры, например: !_-#/.%$§" и прочие.… Причём от пользователя они хотят минимум 9 значного пароля из букв и цифр.

      И в чем проблема? 9 знаков в данном случае это нижняя граница, а не верхняя. Вы можете набрать необходимую энтропию увеличением длины.

      • necr0x
        /#10560795

        Любой пароль с букв и цифр легко подбирается брутом, если что. Нюансы опустим.
        А тут ещё и известно, что кроме алфавита и цифр от 0 до 9 в пароле ничего и нет…

        • Iv38
          /#10561019

          Легко подбирается или нет зависит не только от возможного набора символов, но и от длины пароля. Вы всегда можете скомпенсировать меньший набор большей длиной. В конце концов буквы, цифры и разные знаки существуют только для нас, людей. Для компьютера набор символов ограничится всего двумя — нулем и единицей, разница будет только в длине.

          Уж как-то и неприлично в очередной раз вставлять эту картинку:
          image

          Рэндел даже потрудился прикинуть сколько времени придется подбирать пароли этим самым брутфорсом.

          • Iamkaant
            /#10561219

            Часто вижу этот стрип, и вроде все правильно, но есть один нюанс. Если атакующий знает, что пароль – это набор слов, то энтропия там сильно поменьше будет. И все совсем не так впечатляюще, как на картинке.

            • osipov_dv
              /#10561255

              А вы слова целиком не берите, а используйте только несколько последовательных букв. И не обязательно первых… Можно взять 3 первых из первого слова, 3 следующих из второго и т.п. Главное здесь это фантазия

              • Iamkaant
                /#10561315

                Этот подход фактически не отличается от начального «трубадура». Да, так пароль будет длиннее, зато он будет состоять только из букв латиницы.

            • trimtomato
              /#10562193

              Не, не уменьшиться, за счет большого количества слов. Есть такая система выбора пароля которая обычно идет рядом с этой картинкой — Diceware.
              Даже если вы будете знать, что я случайно выбрал четыре слова из словаря в 7776 слов — это даст 64 бита энтропии. Это даже больше чем на картинке.

        • Iv38
          /#10561025

          Кстати, еще про брутфорс. Если злоумышленник не завладел хэшем пароля и одновременно солью к нему, а просто перебирает варианты на сайте через вэб, то он будет сильно ограничен в скорости перебора независимо от того какими вычислительными мощностями обладает. Если же программисты еще и озаботились защитой от перебора (искусственно замедлить ответ, прогрессивно увеличивать задержки, требовать ввод каптчи после нескольких неудачных попыток), то даже поиск короткого пароля может стать невероятно долгим и дорогим, а пользователь может быть оповещен об атаке.

  16. necr0x
    /#10560679

    По поводу менеджера паролей… У меня на MEGA аккаунт бесплатный на 50 гигов, на ПК программа синхронизации установлена и в USB флешка вставлена на 64 гига «CRUZER BLADE USB FLASH DRIVE» от SanDisc, а у них для своих флешек есть приложение шифрования «SANDISK SECURE ACCESS®». Так вот все пароли хранятся в упорядоченном текстовом файле на флешке под шифрованием этого приложения, даже если я её потеряю, никто не сможет получить доступ к содержимому, ну а если она крякнется однажды, то само приложение шифрования синхронизируется через сервис MEGA и на сервисе я не храню запрещённый контент, чтобы однажды не заблокировали аккаунт. Пароль от сервиса MEGA и от SANDISK SECURE ACCESS® один и тот же, чтобы не запутаться, он не записан ни где, он сложный и он хранится в моей голове. Никакие другие пароли мне запоминать не нужно, это как мастер-пароль. Удобно и безопасно! Никаким менеджерам паролей я не доверяю и никогда на это не подпишусь!

    И ещё больше треша от Гугл. У меня от почты был забыт сложный пароль давно уже, года три назад, прикол в том, что на ПК стоит портативный The Bat и почтой я пользуюсь без проблем (кстати, может кто-то подскажет как из него вырвать мой пароль?), но вот при попытке восстановить пароль, Гугл просит кучу старой, давно забытой информации. Ну и 5 последних писем отправленных, с этим проблем нет. Но они проверяют всю инфу в сумме. В общем через браузер мне на почту не попасть, но уже 3 года принимаю и отправляю через The Bat на ПК. Всё бы ничего, но некоторые письма нужные в спам папку ушли, а на ПК эту папку не показывает… Идиоты они там 90%е!

    • Iv38
      /#10560779 / +1

      само приложение шифрования синхронизируется через сервис MEGA… Пароль от сервиса MEGA и от SANDISK SECURE ACCESS® один и тот же.

      Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.

      Никаким менеджерам паролей я не доверяю и никогда на это не подпишусь

      Чем по вашему этот самый SANDISK SECURE ACCESS безопаснее чем KeePass, например? Это закрытое коммерческое ПО, вы ничего о нем не знаете. Сочетание шифровалки флешки с блокнотом дает вам какое-то подобие менеджера паролей, но лишает дополнительных фич, в том числе и в области безопасности, например защиты паролей в памяти. Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.

      Вам бы серьезнее все обдумать, ваши меры избыточно сложны, но не добавляют безопасности.

      • necr0x
        /#10560801

        Отличная идея! Потенциально сотрудники этого сервиса имеют доступ ко всем вашим паролям.

        Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…

        Пока ваша флешка расшифрована, она доступна вообще всему софту на вашем компе.

        Слава программе MalwareBytes Premium за 40 евро в год. Уже 3 года у меня и я честно сказать позабыл что такое рекламное ПО, навязчивое ПО и вирусы в программах с опасными сайтами. И систему не нагружает и ничего не пропускает! В отличие от разных дорогих антивирусов, уже не говоря о бесплатных. У меня с безопасностью всё хорошо!

        • Iv38
          /#10560811

          Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…

          Если вы используете метод защиты «неуловимый джо», то почему не используете просто LastPass?

          Слава программе MalwareBytes Premium

          Отлично, еще и сомнительный антивирус в качестве гарантий безопасности. У вас плохо все с безопасностью, только ее видимость. Театр безопасности расслабляет и снижает безопасность еще сильнее.

          • necr0x
            /#10560813

            Ну да, возьмём например любой софт от Майл.Ру — Ваш отечественный/зарубежный/платный/бесплатный/известный/малоизвестный антивирус что делает? — НИЧЕГО :) А эта программа наглухо фильтрует весь рекламный приаттаченный софт, блокирует его и кидает в карантин, но сам софт от этой корпорации работает исправно и ничего нигде не выскакивает! Я уже не буду говорить о вирусах. Всё проверено, там где ваш известный софт обсирается, мой софт блокирует!

            • Iv38
              /#10560993

              Это заблуждение. Нет надежных антивирусов и быть не может. Слепо полагаться на него опасно. Тем более антивирус сам по себе программа с величайшими привилегиями в системе. Почему ему можно доверять, а менеджеру паролей — нет?

              • necr0x
                /#10561199

                Ну при таком раскладе лучше не пользоваться интернетом в принципе.

                • sumanai
                  /#10562239

                  При таком раскладе нужно настраивать SRP или Applocker, если вы на Windows. Вашими словами

                  возьмём например любой софт от Майл.Ру… отечественный/зарубежный/платный/бесплатный/известный/малоизвестный антивирус

                  SRP зарежет это всё, в отличии от вашего антивируса.

                  • necr0x
                    /#10563365

                    Весь вред от Майл.Ру приложений, это сопутствующий при установке PUP софт, конечно там есть галочки, которые можно поснимать, но мало кто это делает (чаще всего). Malwarebytes позволяет не снимая никаких галочек, при установке софта от Майл.Ру или любого другого софта с наличием приаттаченых к файлу установки PUP приложений, установить целевое приложение без вреда для системы и работоспособности этого приложения. Все PUP приложения блокируются и заносятся в карантин ещё при начале установки целевого приложения. Система не подвергается никакому риску. Вы бы все прежде чем наезжать, узнали бы что это такое и поспрашивали знакомых, кто уже ставил. Я ничего лучше не знаю! А можно подробней про SRP и как это работает?

                    • sumanai
                      /#10564613

                      установить целевое приложение
                      Майл.Ру

                      Сначала поясните, зачем это вообще может потребоваться устанавливать.
                      Вы бы все прежде чем наезжать, узнали бы что это такое

                      Я прекрасно знаю, что такое антивирус.
                      А можно подробней про SRP и как это работает?

                      Просто до безобразия- блокировка запуска любого софта кроме белого списка, по умолчанию всё что лежит в Program Files и системных каталогах. То есть без разницы, вирус это, шифровальщик, аська от мейлру- всё при попытке запуска выдаст «Невозможно открыть данную программу из-за политики ...» и т.д. Система практически полностью защищена от вирусов, шифровальщиков и шаловливых ручек, при никакой дополнительной нагрузке.

                      • powerman
                        /#10567757

                        Сначала поясните, зачем это вообще может потребоваться устанавливать.

                        Ну, я ставил чтобы получить акционный терабайт. Ставил не глядя, со всеми галочками — ради терабайта не жалко! Правда, это была виртуалка, которая сразу после этого была откачена на предыдущий снимок, до состояния когда всё это ещё даже не скачивалось.

        • Andrusha
          /#10563659

          Ну да, я же у них один пользователь, взяли нашли меня в базе и вуаля…
          Не один, но теперь они знают, что нужно выполнить поиск по файлам *.txt слова «necr0x» (логины же вы тоже храните?).

    • jib
      /#10565127

      кстати, может кто-то подскажет как из него вырвать мой пароль?

      Свойства почтового ящика, транспорт, журнал протоколов, включить.

  17. Rohan66
    /#10560689

    Вот что-то я недопонял. Есть у меня гугловская поста на телефоне. Она требует пароль. И подтверждение по СМС приходит на этот же телефон. И где здесь двухфакторная авторизация? Скорее уж двухэтапная.

    • necr0x
      /#10560731

      По сути это одно и то же, что двухфакторная. Называть можно и так и так.
      Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.

      Просто Гугл трактует это как:

      Двухэтапная аутентификация – это просто
      При входе в аккаунт вы можете установить флажок «Запомнить код на этом компьютере», после чего система перестанет запрашивать код.

      Однако ваши данные по-прежнему будут под защитой. При попытке входа в аккаунт с другого компьютера система потребует ввести код или вставить токен авторизации.


    • Iv38
      /#10560793

      Двухфакторная аутентификация здесь в том, что даже в этом случае злоумышленнику нужно владеть двумя факторами: владеть телефоном и знать пароль.

      • WraithOW
        /#10562505

        владеть телефоном

        Нет, ему достаточно узнать содержимое СМС. Например, дав денег сотруднику какого-нибудь салона связи и перевыпустив вашу сим-карту, таких историй навалом.
        Фактор остается тем же, просто добавляется шаг. Так что это 2SV.

        • catharsis
          /#10563389

          Но пароль так он все равно не узнает

          • WraithOW
            /#10566037

            А я этого и не утверждал. Речь о том, что смс-код относиться к той же категории «что я знаю», а не «чем я владею», в отличии от брелка-аутентификатора, например. Поэтому фактор один («что я знаю»), а в нем — два шага, на которых надо ввести. Я чуть выше скидывал ссылку.

  18. semmaxim
    /#10560777

    В своё время Dropbox при попытке входа через двухфакторную авторизацию просто не присылала SMS. Вообще ничего не было. Я потерял весь доступ к своим файлам. Хорошо, что откопал комп, на котором был давно настроен аккаунт и смог через него войти в профиль и отключить эту двухфакторность.

  19. redpax
    /#10560841

    Начал пользоваться очень активно, имкю более 30 сервисов на которые звхожц постоянно и на которых включена двухфакторка от гугл.


    Параноики которые боятся двухфакторги от гугла, могут скомпилировать свою программу и пользоваться ей или же пользоваться простеньким ява скриптом работающим онлайн например таким http://live4sharing.com

  20. diagonal
    /#10560855

    Я пользуюсь 2-факторной верификацией, причем голосовой.
    А пароли храню в маленькой телефонной книжке, как упоминалось товарищами выше.
    Боюсь ее потерять.

    • Alexeyslav
      /#10562645

      Надо использовать две книжки — в каждой из них только половина пароля. Вторую половину, впрочем, можно и запоминать… или вводить в пароли намеренные искажения которые достаточно легко исправить. Тогда проверка «влоб» не прокатит, и решат что пароли не действующие.
      Кстати, как вариант — разработать собственный алфавит…

      • diagonal
        /#10563443

        Эти идеи хороши, но они против кражи книжки.
        Но я больше боюсь потерять ее.
        После чтения комментариев я поняла, что нужно иметь 2 книжки с половинами паролей, и каждую в 2 экземплярах, чтоб не потерять.
        Ну, и не забывать обновлять их.

        • Ugrum
          /#10564885

          И тут, внезапно, теряются две книжки с первыми половинами паролей :))

  21. Exchan-ge
    /#10560919

    А почему в опросе нет пункта: «Я не имею учетной записи Google»?

    Возможно — это самый эффективный способ защиты от утечки информации.

    • Alexsey
      /#10560937

      Возможно — это самый эффективный способ защиты от утечки информации.

      Только если вместо google вы не пользуетесь другими сервисами. Потому что вполне возможно что среди всех компаний у гугла защита пользовательских данных наиболее серьезная. Но это лично мое мнение, которое не подкреплено никакими фактами.

      • Exchan-ge
        /#10560951

        Только если вместо google вы не пользуетесь другими сервисами


        У других сервисов лучше с защитой (той же двухфакторной аутентификацией) и они не столь навязчивы.
        Кроме того, шансы на то, что злоумышленники разработают методику взлома аккаунтов именно пользователей Google — выше (аналогия с вирусописателями), обратная сторона популярности.

    • sumanai
      /#10560959

      А почему в опросе нет пункта: «Я не имею учетной записи Google»?

      Я воздержался от голосования.

  22. Iv38
    /#10561003

    Результаты опроса на ГТ удивительны. 2ФА пользуются больше людей, чем парольными менеджерами?

  23. Alcpp
    /#10561053

    А что если я к примеру уехал на месяц в Индонезию с одним телефоном и двухфакторкой на нем и потерял его там (частая история).

    Код с двухфакторкой на бумажке, никто с собой не таскает понятное дело.

    Это получается в почту я зайду только когда вернусь домой и сделаю симку?

    • AEP
      /#10561699

      Google дает привязать более одного номера. Сразу по прибытии вы же все равно купите местную симку — вот и укажите ее номер как запасной.

    • catharsis
      /#10563385

      Родственники на домашний телефон получат звонок и запишут для вас код

  24. dendron
    /#10561205

    Не пользуюсь авторизацией через мобильный телефон, потому что это деанонимизация, о необходимости которой так давно говорит наше государство.

    Сейчас Гугль на требования властей отдаст лишь ваше имя пользователя и неверифицированные (а значит потенциально подложные) ФИО, ну и ip с которых входили в ящик. Всё это юридически не доказывает принадлежность ящика вам. А вот номер мобильного телефона — всё, сушите сухари.

    Уверен после само-переназначения 2018 мы в скором времени увидим обязательное требование верификации «персональных данных» (почему-то принадлежащих государству, а не человеку) для любых интернет сервисов. Конечно же для нашей «безопасности» и «борьбы с террористами», шатающих скрепы.

  25. KOLANICH
    /#10561233

    Двухфакторная аутентификация имеет grave bugи.
    1 Потерял досуп ко второму фактору — потерял доступ к аккаунту навсегда. Вы же знаете: у гугла нет и не может быть при такой огромной аудитории техподдержки, даже если пользователь будет согласен предъявить паспорт, отпечки пальцев, результат колоноскопии и ЭЭГ с вживлённых в мозг электродов, это не поможет. У гитхаба техподдержка есть, но как они собираются вернуть аккаунт при идентификации личности — загадка. В Штаты что ли для этого лично ехать? Как онп убедятся, что аккаунт действительно принадлежит этой личности? Или они на полицию надеятся, что они посадят того, чей паспорт предъявили, и что это будет достаточным препятствием?
    2 Гугл и мейлру требуют привязку телефона.
    3 Взламывают аккаунты обычно через секретный вопрос, а не через пароль, если пароль надёжный. В качестве любимой еды у многих — борщ (а в истаграме фотка — чел в кафешке кушает борщ), а в качестве девичьей фамилии матери — Иванова, а в качестве клички домашнего животного — кличка, засвеченная в соцсети под фоткой «ПаСмАтРиТе На БаРсИкА !111». Ответ на секретный вопрос должен быть рандомным.
    4 миниальные требования к паролям — «должно быть столько то цифр и такая-то длина» — это snake oil.

    • Nubus
      /#10561271

      Цифры против словарных брутфорсов. Длина-против простейших брутфорсов. Это не snake oil, это наследие когда капчами и прочими методами не ограждали входы в аккаунты.

    • vsespb
      /#10561405

      ничего подобного. на случай потери TOTP приложения есть одноразовые коды, бэкап ключа TOTP приложения на бумаге и смс.

  26. firk
    /#10561257

    Некоторые до сих пор не понимают, что большинству пользователей всех этих сервисов их безопасность настолько не важна (и обоснованно), что даже минимальное затруднение для её повышения будет ими закономерно отвергнуто. То же самое касается и паролей типа 123123. Даже если не брать в расчёт одноразовые аккаунты (которых, несомненно, значительная доля, если только там не стоит какая-то специальная эвристика против них), большинству людей практически наплевать на возможность того, что их почтовый аккаунт украдут. Ну украдут — пофиг, новый зарегистрируют, никаких проблем, всё равно ничего важного там обычно нет и, даже если он не одноразовый, используется он в примерно таком же режиме.

  27. TheOleg
    /#10561845

    Использую везде 3 пароля, по одному для совсем левых сайтов, для обычных и для важных. При этом знаю, что первые два пароля давно слиты в сеть.
    Для важных сайтов привязал 2FA. Если взломают на левых сайтах, то там ничего нет, если на важных, то телефон защитит.

  28. AndreyYu
    /#10561897

    Всегда всем включаю 2FA везде.
    Т.к. authenticator работает с привязкой к устройству, то в случае потери или кражи анонимно на пэйтбин выложены резервные коды без лишней информации в случае чего ссылка открывается и доступ без проблем получается. Чтобы легче было запомнить ссылку сделан редирект с поддомена аккурат на пэйстбин (или другие варианты)

  29. Sevensenn
    /#10565131

    Я не пользовался 2FA пока у меня не увели аккаунт.
    Я не пользовался менеджером паролей пока не забыл пароль от аккаунта. Восстановить его не смог, ибо забыл пароль от почты и не имел доступа к мобильному телефону, который был указан.
    Как бонус: я не пользовался облачным хранилищем фотографий пока не сломалась флешка в телефоне. Восстановить 1500 фотографий восстановить предложили за +-24к рублей (в трех разных сервисах)

    P.S. Доверяю свои данные Apple и Google

  30. BlackSCORPION
    /#10565133

    Слово в защиту мененджера паролей: самые надежные пароли это сгенерированные пароли, которые регулярно меняются. Каждый день где то что то ломают, сливают данные, и заинтересованные люди их хранят. Во времена технологий БигДата и машинного обучения проанализировать эти данные не проблема. HumanFriendly пароли раскрывают Вас, ваши паттерны, мышление, предпочтения. Даже одного пароля достаточно чтобы составить словарь и забрутфорсить алгоритм составления паролей на одном из богом забытых сайтов где вы когда то регистрировались.

  31. igorb4
    /#10565135

    Что за бред: «поколение бэби-бумеров — люди, которым на тот момент было от 51 до 69 лет.» ???

    • ivansychev
      /#10565139

      Бе?би-бум[1] (англ. baby boom) — компенсационное увеличение рождаемости в конце 1940-х — начале 1950-х годов.

  32. ilyaska
    /#10565141

    1passwod умеет хорошо и удобно выдавать 2фа ключи

  33. sbh
    /#10565143

    Вечная дилемма: безопасно или удобно.

  34. viloncool
    /#10565145

    Спасибо за статью! Раньше и не подозревал о существовании у гугла двухфакторной аутентификации, теперь активировал и сплю спокойно.

  35. Murimonai
    /#10565147

    Не понимаю я этой страсти к парольным менеджерам. Сама идея доверить все пароли одной софтине напоминает мне корзинку с яйцами из известной пословицы.

    • powerman
      /#10567759

      Зависит от софтины. В случае KeePass — софтина опенсорсная, формат файла с паролями открытый, если не путаю — алгоритм шифрования AES, внутри XML. Есть несколько реализаций, в т.ч. под разные платформы, плюс чуть ли не библиотеки для разных языков программирования для чтения базы KeePass. В общем, как бы ни сломалось конкретное приложение KeePass под конкретной OS — доступ к своим паролям Вы не потеряете.

  36. saskasa
    /#10565149

    Может ли кто-то объяснить чем отличается соединение по imap при включенной на аккаунте 2FA и с выключенной?
    Т.к. сам по себе imap такую проверку не поддерживает (на сколько мне известно), то первое что пришло мне в голову, что при включении 2FA, imap перестанет работать. Но imap после включение 2fa работает как и раньше.
    Сейчас я думаю что гугл при аутентификациях в аккаунт запоминает ip и разрешает imap-соединение с таких ip. На сколько правильно такое суждение?

  37. Armozlo
    /#10565151

    включал 2фа — в итоге так и не смог настроить внешний почтовик на корректную работу с мылом. отключил.

  38. Tetrodotoxin
    /#10565155

    Купил недавно U2F ключ (на самом деле 2 — для бэкапа). А тут как-раз Firefox их поддержку добавил. Ну, думаю — теперь заживём. Банки начнут поддерживать, госуслуги :-) Привяжу где смогу.
    Однако, как оказалось, FIDO U2F уже не модно. За столько лет так и не взлетел.
    Теперь не торопясь пилят новый стандарт Web Authentication twitter.com/jamespugjones/status/931324766782332928
    Такое ощущение что надёжная аутентификация никому (читай правительствам и корпорациям) не нужна, кроме гиков-фриков.

  39. zzmaster
    /#10566023

    А меня вообще бесит, когда я создаю какой-нибудь мусорный аккаунт, в Гугле ли, в Яндексе или Фейбуке и от меня требуют мер безопсности, уместных для банковских операций. Позвольте мне самому определять, нужно ли блокировать мой аккаунт пока я не вышлю фотку, подтверждение с телефона (реальный случай с мордокнигой) и проч. или меня устраивает пароль 123 и чтоб никаких блокировок!

    • sumanai
      /#10566553

      Понимаете, они позволяют пользоваться своими сервисами не просто так, а в обмен на ваши персональные данные и клики по рекламе. Поэтому им нет резона держать фейковые аккаунты.

  40. rexen
    /#10566623

    Иногда привязка к СМС/SIM просто выбешивает. Иногда даже три раза подряд:

    Приезжаю тут к родне в Донецк.
    Сюрприз первый — через месяц вырубился роуминг Мегафона и моя российская СМС-ка стала «тыквой»… А там привязка к вебманям, Авито и т.п…
    Ладно, помучался, но как-то пережил. Перепривязал к другому оператору.
    Второй сюрприз — через несколько месяцев симка того второго оператора просто молча сдохла, потомучто деньги на ней кончились, а я думал, что она в «read-only» режиме год может функционировать.
    Хрен с ним — второй раз нудная переписка с саппортом вебманей…
    И тут недавно те же грабли в третий раз — ложится последний украинский ОпСос, действовавший в Донецке… А местный сотовый оператор работает замкнуто внутри ДНР.
    Занавес.

    PS: Случай исключительный, да, но осадочек-то у меня всё-равно остался от таких жёстких «аутентификаций».
    PPS: Не пишите про внешние ключи для WM и прочие советы — это уже освоено, но после собственных шишек.

    • sumanai
      /#10566637

      а я думал, что она в «read-only» режиме год может функционировать.

      Такого нигде практически нет, даже с деньгами симки блочат через в среднем 3 месяца и отбирают номер.

      • rexen
        /#10566671

        Ну вот какраз Vodafone, которому в январе перебили оптокабель на линии соприкосновения всегда по USSD-отчёту об остатке средств приписывал, что СИМка действует целый год после последнего списания/пополнения.
        И у меня почему-то возник стереотип, что у всех операторов так. А на самом деле по-разному бывает.