А если бы этого второго фактора не было, то интрудер не смог бы (попытаться) зайти в чужой акк ГУ "мимо логина/пароля", путём сброса через SMS некому и незачем звонить было бы.
То есть в данном случае второй фактор уменьшает безопасность, а не увеличивает, расширяя "площадь атаки" (т.к. "взломать человека" зачастую проще, чем взломать компьютерную систему - требуется другой навык, разнообразные цыгане и мавроди не дадут соврать).
С уважением.
p.s. Меня вообще подбешивает вот эта хрень - кто-то безальтернативно решает собрать все телефоны, чтобы потом слить за меня, нужна ли мне такая "безопасность". Лично мне вот кроме логина-пароля больше ничего не нужно... ладно, согласен на скрэтч-карту для ДБО, хорошее дело же было, зря погубили, козлы...
Ну, конкретно в этом случае двухфактор работает, так как мошенник не знает, потребуется ли код для входа, а не только для смены пароля. Знал бы - действительно не звонил бы. У большинства второй фактор не стоит для логина, только для смены пароля (и именно эта комбинация предоставляет мошенникам дыру для социальной инженерии).
Идея сбора номеров телефонов мне тоже не нравится, но для многих услуг уже нет альтернативы (ты либо вводишь номер, либо просто не получаешь услугу). Проще завести отдельную симку для общения с сервисами, но тут уже вступает в действие фактор лени.
З.Ы. На госуслугах можно сделать двухфактор не только через SMS, но и через ЭЦП либо биометрию. Идея отдавать свои биометрические данные нравится мне на порядок меньше, чем история с номером телефона.
P.P.S. Помнится, Кевин Митник отлично раскручивал народ на пароли по телефону ещё до всех этих многофакторных подтверждений. Так что отсутствие второго фактора - ни разу не панацея.
>Ну, конкретно в этом случае двухфактор работает, так как мошенник не знает, потребуется ли код для входа, а не только для смены пароля. Знал бы - действительно не звонил бы. У большинства второй фактор не стоит.Стоп-стоп
( ... )
> ГУ форсят второй фактор, причём именно его телефонную версию.И у мошенника есть основания надеяться, что его жертва, тсзть, "уже".
Вангую, у большинства пользователей ГУ телефон уже внесён, он требуется для регистрации без поездки в МФЦ. Я регался в давние времна, когда без конверта от Ростелекома это не работало.
Тут, как раз, основную опасность создаёт частичный второй фактор, если ещё и не включены уведомления о входе, легальный пользователь даже не узнает, что кто-то авторизовался за него. Основная ставка мошенников - фактор времени, ибо взлом будет замечен не сразу.
Трансграничные SMS - реальная и совсем не новая проблема. Мне когда-то от Apple они стойко не приходили в Москву, без всякого роуминга. На ГУ есть возможность получать push-уведомления через их приложение, это, по идее, должно снимать все вопросы, если бы не блокировка обращений с иностранных IP, появившаяся после прошлогодних DDоS-атак.
Это все хорошо, ты наверное думаешь, я такой умный да?
Но за 10 минут общения с тобой вполне могло быть наговорено уже, чтобы нейросеть смогла твой голос подделать и в следующий раз уже позвонить твоим голосом родственникам и денег попросить.. Это серьезная проблема в будущем.
Comments 15
Так-так... насчёт "включайте двухфакторку"...
А если бы этого второго фактора не было, то интрудер не смог бы (попытаться) зайти в чужой акк ГУ "мимо логина/пароля", путём сброса через SMS некому и незачем звонить было бы.
То есть в данном случае второй фактор уменьшает безопасность, а не увеличивает, расширяя "площадь атаки" (т.к. "взломать человека" зачастую проще, чем взломать компьютерную систему - требуется другой навык, разнообразные цыгане и мавроди не дадут соврать).
С уважением.
p.s. Меня вообще подбешивает вот эта хрень - кто-то безальтернативно решает собрать все телефоны, чтобы потом слить за меня, нужна ли мне такая "безопасность".
Лично мне вот кроме логина-пароля больше ничего не нужно... ладно, согласен на скрэтч-карту для ДБО, хорошее дело же было, зря погубили, козлы...
Reply
Ну, конкретно в этом случае двухфактор работает, так как мошенник не знает, потребуется ли код для входа, а не только для смены пароля. Знал бы - действительно не звонил бы. У большинства второй фактор не стоит для логина, только для смены пароля (и именно эта комбинация предоставляет мошенникам дыру для социальной инженерии).
Идея сбора номеров телефонов мне тоже не нравится, но для многих услуг уже нет альтернативы (ты либо вводишь номер, либо просто не получаешь услугу). Проще завести отдельную симку для общения с сервисами, но тут уже вступает в действие фактор лени.
З.Ы. На госуслугах можно сделать двухфактор не только через SMS, но и через ЭЦП либо биометрию. Идея отдавать свои биометрические данные нравится мне на порядок меньше, чем история с номером телефона.
P.P.S. Помнится, Кевин Митник отлично раскручивал народ на пароли по телефону ещё до всех этих многофакторных подтверждений. Так что отсутствие второго фактора - ни разу не панацея.
Reply
>Ну, конкретно в этом случае двухфактор работает, так как мошенник не знает, потребуется ли код для входа, а не только для смены пароля. Знал бы - действительно не звонил бы. У большинства второй фактор не стоит.Стоп-стоп ( ... )
Reply
> ГУ форсят второй фактор, причём именно его телефонную версию.И у мошенника есть основания надеяться, что его жертва, тсзть, "уже".
Вангую, у большинства пользователей ГУ телефон уже внесён, он требуется для регистрации без поездки в МФЦ. Я регался в давние времна, когда без конверта от Ростелекома это не работало.
Тут, как раз, основную опасность создаёт частичный второй фактор, если ещё и не включены уведомления о входе, легальный пользователь даже не узнает, что кто-то авторизовался за него. Основная ставка мошенников - фактор времени, ибо взлом будет замечен не сразу.
Трансграничные SMS - реальная и совсем не новая проблема. Мне когда-то от Apple они стойко не приходили в Москву, без всякого роуминга. На ГУ есть возможность получать push-уведомления через их приложение, это, по идее, должно снимать все вопросы, если бы не блокировка обращений с иностранных IP, появившаяся после прошлогодних DDоS-атак.
Reply
Это все хорошо, ты наверное думаешь, я такой умный да?
Но за 10 минут общения с тобой вполне могло быть наговорено уже, чтобы нейросеть смогла твой голос подделать и в следующий раз уже позвонить твоим голосом родственникам и денег попросить.. Это серьезная проблема в будущем.
Reply
Собирают обычно голосовые маркеры "да/нет", но у меня нет и не будет аутентикации по голосу ни в одной государственной или банковской системе.
И современные голосовые нейросетки совсем не умеют интонировать, так как не понимают семантики.
Reply
Сейчас не работает. Завтра - будет.
Reply
Leave a comment