Я чо-та задумался и решил провести "натурный эксперимент" над "Госуслугами" со своей собственной учетной записью. Тут нужно сразу уточнить, что у меня изначально подключен 2FA на вход в личный кабинет посредством tOTP через приложение "Яндекс.Ключ" (т.е. никаких SMS). Выяснилось интересное.
- Для того чтобы сбросить пароль, достаточно знать номер
( Read more... )
Можно ли ныне в принципе доверять что-либо яндексу, дефакто клиентелле государства?
Reply
В подобном случае доступ проще ограничить на самих госуслугах, чем бодаться с яндексом, который формально всё же частная лавочка, к тому же с зарубежными юрлицами.
А 2FA к госуслугам можно прикрутить и от Google Authenticator. Но гугелю в сложившейся ситуации у меня доверия куда меньше, чем Яндексу, потому что ему даже претензию предъявить не выйдет. У Яндекса хотя бы офис есть, куда можно ногами с паспортом прийти.
Reply
1) а за всю историю есть хоть один прецедент блокировки Google Authenticator для кого-либо?
2) насколько это сложно осуществляется технически и/или возможно ли вообще?
Reply
Тут нужно разделить вопросы на тему "Аутентификация на сервисах Яндекс / Гугол" и "просто tOTP".
То что там у них на сервисах, ЕМНИП, какой-то проприетарный протокол. А "обычный" tOTP как бе в RFC-стандартах описан (тут уже в комментах выше ссылку дали).
И аутентификатор в контексте tOTP - штука полностью оффлайновая. То есть, она не общается ни с какими серверами в принципе, и интернет ей не требуется. Поэтому несколько непонятно, как можно заблокировать именно tOTP-аутентификатор.
Но если не нравятся Яндексовский / Гугловский, то в магазинах приложений этих tOTP-софтин как грязи.
Reply
Вот и я примерно о том же. Мне кажется, что "гугл заблокирует установленный аутентификатор" это примерно то же самое что и "гугл заблокирует установленный калькулятор".
Reply
Всё так.
Reply
Leave a comment