Email or username:

Password:

Forgot your password?
Ваня's posts Post Back to profile
Top-level
Мя :sparkles_lesbian:

@bano а там разве не стандартный TOTP..? :blobfoxgooglyholdingitsheadinitshands:

4 Sep 2022 at 23:43 | Wall-to-wall | Open on mastodon.ml
13 comments
Ваня

@mo авторизация с я.ключем это TOTP с солью в виде пинкода. Гугловский аутентификатор является просто TOTP.

Но вопрос не в работе ключа, а в том, что при восстановлении его нужно только подтвердить наличие у тебя в руках телефона с нужным номером. Не нужно ставить никаких фраз или устанавливать специальных вопросов. Просто вводишь номер, вводишь смс код с него и всё, тебя просят поставить новый пароль на весь аккаунт. Таким образом вся двухфакторная безопасность я.ключа (знание пинкода + владение устройством) сводится к 1 фактору: владению номером телефона.

@mo авторизация с я.ключем это TOTP с солью в виде пинкода. Гугловский аутентификатор является просто TOTP.

Но вопрос не в работе ключа, а в том, что при восстановлении его нужно только подтвердить наличие у тебя в руках телефона с нужным номером. Не нужно ставить никаких фраз или устанавливать специальных вопросов. Просто вводишь номер, вводишь смс код с него и всё, тебя просят поставить новый пароль на весь аккаунт. Таким образом вся двухфакторная безопасность я.ключа (знание пинкода + владение...

4 Sep 2022 at 23:47 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano я щас почитала статью, где они описывают мотивацию сделать кастом
господи, что за пиздец то

"Согласно калькулятору, 6 цифр TOTP можно сбрутфорсить за 3 дня!!"
Они там совсем угашенные были в 2015, что у них можно было просто так 3 дня непрерывно неудачно логиниться в аккаунт?

"Мы хотели сделать удобно, а не для гиков"
Открыть приложение, ввести 6 цифр с нампада. Только гики так будут делать, конечно.

Короче очередная абсолютли проприетари хуетень

@bano я щас почитала статью, где они описывают мотивацию сделать кастом
господи, что за пиздец то

"Согласно калькулятору, 6 цифр TOTP можно сбрутфорсить за 3 дня!!"
Они там совсем угашенные были в 2015, что у них можно было просто так 3 дня непрерывно неудачно логиниться в аккаунт?

"Мы хотели сделать удобно, а не для гиков"
Открыть приложение, ввести 6 цифр с нампада. Только гики так будут делать, конечно.

5 Sep 2022 at 0:10 | Open on mastodon.ml
Ваня

@mo ну так прикол в том, что приложение именно для логина получилось более менее удобное. Оно сделано реально не для гиков, как например мой менеджер паролей.

Только они его представляют как 2FA, хотя обходным путём в виде восстановления получается 1FA. Потому что даже при восстановлении обычного пароля они требуют вроде секретную фразу ещё одну или что-то типа такого. Короче жопа

5 Sep 2022 at 0:19 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano алсо, из статьи не совсем понятно, она у них вообще двухфакторная, или приложение заменяет собой пароль, за исключением случаев когда стриггерило эвристики :blobcatthinkingglare:

5 Sep 2022 at 0:32 | Open on mastodon.ml
Ваня

@mo да, двухфакторная. Факторы же считаются по количеству источников авторизационных условий. Так пароль и смс с телефона это пруф знания секрета и пруф владения. При этом 2 пароля не являются двухфакторной штукой потому что секрет в результате знать надо один.

Я.ключ использует пруф владения устройством и пруф знания секрета, то есть пина. То что они создают в результате 1 сообщение на сервер факторы не уменьшает.

А вот спрашивать номер телефона и потом на него присылать смс это просто долгая проверка одного фактора: владения устройством.

Поэтому да...

@mo да, двухфакторная. Факторы же считаются по количеству источников авторизационных условий. Так пароль и смс с телефона это пруф знания секрета и пруф владения. При этом 2 пароля не являются двухфакторной штукой потому что секрет в результате знать надо один.

Я.ключ использует пруф владения устройством и пруф знания секрета, то есть пина. То что они создают в результате 1 сообщение на сервер факторы не уменьшает.

5 Sep 2022 at 22:23 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano а обычный пароль заданный при создании аккаунта куда девается?

5 Sep 2022 at 22:27 | Open on mastodon.ml
Ваня

@mo удаляется. Его больше не спрашивают нигде и никогда. Ключ полностью заменяет пароль.

5 Sep 2022 at 22:29 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano то есть, если я возьму нормальный TOTP, положу его в нормальный FreeOTP+, и потом на FreeOTP+ поставлю пароль/биометрию то у меня будет три фактора? :ageblobcat:

5 Sep 2022 at 22:32 | Open on mastodon.ml
Ваня

@mo не знаю что такое FreeOTP, но биометрия на телефоне все же очень сомнительно является именно отдельным фактором.

5 Sep 2022 at 22:41 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano ну не, биометрия тоже фактор ей обладания. Хуевый, не спорю, но фактор

5 Sep 2022 at 22:47 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano а FreeOTP это приложение, которое хранит в себе ключи TOTP/HOTP и генерирует одноразовые пароли, свободный аналог Google Authenticator

5 Sep 2022 at 22:48 | Open on mastodon.ml
Ваня replied to Мя

@mo тогда, если мы считаем биометрию отдельным, то все равно 2. Потому что TOTP является частью проверки фактора владения.

5 Sep 2022 at 22:50 | Open on mastodon.ml
Мя :sparkles_lesbian: replied to Ваня

@bano но есть же ещё обычный пароль (только TOTP я не видела чтобы использовался)

6 Sep 2022 at 0:10 | Open on mastodon.ml
Go Up