Докажи, что это ты
Google asking to prove you is you
Достаточно скромно, без громких речей и парадов, мы перешли от строгих правил, выученных банковскими безопасниками на компьютерных курсах в их ПТУ - пароли минимум 8, но максимум 14 символов, строчные и прописные буквы, цифры и спецсимволы, непохожесть на словарные слова и предыдущие 1050 паролей - к авторизации всего и вся по СМС. Правда, на тех же курсах безопасности требовали различать идентификацию и аутентификацию, но кого это волнует во времена, когда для демонстрации роста сервисов новых потребителей котиков в интернетах надо уже набирать среди неграмотных африканских племен?
Специально для них 2-й фактор (где он есть и востребован) также завязывают на телефон, что есть полнейшая профанация, но не считая единичных скандалов с кражами аккаунтов и крайне наплевательского отношения к безопасности, биржевая стоимость компаний не упадет из-за правил авторизации ни на цент. «Пипл хавает» (с) во всех смыслах.
Завязывание всего и вся на телефон приводит к «интересным» ситуациям. Чтобы заблокировать SIM у пропавшего смартфона на сайте сотового оператора, надо залогиниться на сайте оператора при помощи... СМС-кода! Только подумайте, 10500 работников не самой лоу-тековой сферы ни разу не симулировали ситуацию, при которой они не могут позвонить себе же в службу поддержки для блокировки SIM-а, ибо телефон пропал или украден, и тем более не могут получить СМС для захода на сайт с планшета или лэптопа.... угадают ли с 3-х раз почему? Нет, ни за что не догадаются, блеать!
Или вот Гугл. Смартфон пропал у младшей дочки в Польше, у ее Гугл-аккаунта нет ни второго фактора, ни бэкап-телефона. Есть только пароль, который я и ввел на новом телефоне. Гугл ответил прикрепленной к посту картинкой: а докажи, что это ты! Ну девочка, ну ёб твою мать! (с) Как же я докажу, что это я, если правильно введенного сложного пароля оказалось недостаточно, а с нового девайса я зашел исключительно потому, что старый оказался недоступным?! Угадают ли с 3-х раз почему? Смешнее всего то, что Гугл типа «угадал»! На третьей попытке ввода пароля (я просто потерял надежду и растерянно пытался войти еще раз, не зная в какую рельсу бить) Гугл меня авторизовал. По-видимому, система милостиво принимает трижды произнесенный ответ «мамой клянусь!», поскольку настоящие взломщики не бывают настолько настойчивыми.
Единственная надежда была когда-то на биометрию, но упрощение логинов для леммингов с одной стороны и перенос на единый телефон вообще всех способов аутентификации (включая неотзываемые) с другой - приводят не к упрощению, а к путанице и совершенно нулевой безопасности. Вполне возможно, что мы согласимся с нулевой безопасностью во имя удобства, но тогда кому нужны телодвижения с СМС и тупейшей, непрошеной, красивой только на презентации, геозащитой «Ёпта, ты сейчас в Польше, значит это не ты». Вы же все обещаете знать о том, что я собрался в Польшу еще до того, как я купил билет!