Email or username:

Password:

Forgot your password?
Ваня's posts Post Back to profile
Top-level
Мя :sparkles_lesbian:

@bano я щас почитала статью, где они описывают мотивацию сделать кастом
господи, что за пиздец то

"Согласно калькулятору, 6 цифр TOTP можно сбрутфорсить за 3 дня!!"
Они там совсем угашенные были в 2015, что у них можно было просто так 3 дня непрерывно неудачно логиниться в аккаунт?

"Мы хотели сделать удобно, а не для гиков"
Открыть приложение, ввести 6 цифр с нампада. Только гики так будут делать, конечно.

Короче очередная абсолютли проприетари хуетень

5 Sep 2022 at 0:10 | Wall-to-wall | Open on mastodon.ml
11 comments
Ваня

@mo ну так прикол в том, что приложение именно для логина получилось более менее удобное. Оно сделано реально не для гиков, как например мой менеджер паролей.

Только они его представляют как 2FA, хотя обходным путём в виде восстановления получается 1FA. Потому что даже при восстановлении обычного пароля они требуют вроде секретную фразу ещё одну или что-то типа такого. Короче жопа

5 Sep 2022 at 0:19 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano алсо, из статьи не совсем понятно, она у них вообще двухфакторная, или приложение заменяет собой пароль, за исключением случаев когда стриггерило эвристики :blobcatthinkingglare:

5 Sep 2022 at 0:32 | Open on mastodon.ml
Ваня

@mo да, двухфакторная. Факторы же считаются по количеству источников авторизационных условий. Так пароль и смс с телефона это пруф знания секрета и пруф владения. При этом 2 пароля не являются двухфакторной штукой потому что секрет в результате знать надо один.

Я.ключ использует пруф владения устройством и пруф знания секрета, то есть пина. То что они создают в результате 1 сообщение на сервер факторы не уменьшает.

А вот спрашивать номер телефона и потом на него присылать смс это просто долгая проверка одного фактора: владения устройством.

Поэтому да...

@mo да, двухфакторная. Факторы же считаются по количеству источников авторизационных условий. Так пароль и смс с телефона это пруф знания секрета и пруф владения. При этом 2 пароля не являются двухфакторной штукой потому что секрет в результате знать надо один.

Я.ключ использует пруф владения устройством и пруф знания секрета, то есть пина. То что они создают в результате 1 сообщение на сервер факторы не уменьшает.

5 Sep 2022 at 22:23 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano а обычный пароль заданный при создании аккаунта куда девается?

5 Sep 2022 at 22:27 | Open on mastodon.ml
Ваня

@mo удаляется. Его больше не спрашивают нигде и никогда. Ключ полностью заменяет пароль.

5 Sep 2022 at 22:29 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano то есть, если я возьму нормальный TOTP, положу его в нормальный FreeOTP+, и потом на FreeOTP+ поставлю пароль/биометрию то у меня будет три фактора? :ageblobcat:

5 Sep 2022 at 22:32 | Open on mastodon.ml
Ваня

@mo не знаю что такое FreeOTP, но биометрия на телефоне все же очень сомнительно является именно отдельным фактором.

5 Sep 2022 at 22:41 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano ну не, биометрия тоже фактор ей обладания. Хуевый, не спорю, но фактор

5 Sep 2022 at 22:47 | Open on mastodon.ml
Мя :sparkles_lesbian:

@bano а FreeOTP это приложение, которое хранит в себе ключи TOTP/HOTP и генерирует одноразовые пароли, свободный аналог Google Authenticator

5 Sep 2022 at 22:48 | Open on mastodon.ml
Ваня replied to Мя

@mo тогда, если мы считаем биометрию отдельным, то все равно 2. Потому что TOTP является частью проверки фактора владения.

5 Sep 2022 at 22:50 | Open on mastodon.ml
Мя :sparkles_lesbian: replied to Ваня

@bano но есть же ещё обычный пароль (только TOTP я не видела чтобы использовался)

6 Sep 2022 at 0:10 | Open on mastodon.ml
Go Up