Она ж очень старая
Все равно
unn::ars X
unn::ars X
Кто захочет, сможет изменить
unn::ars X
Лично я для мамы отредактирую
Aleksander
Вот тут про это хорошо разъяснено http://www.outsidethebox.ms/18372/
В статье есть фраза : "Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы." Кто может объяснить почему? украв симку, пароль, не получишь, соотв. аккаунт не угонишь.
Aleksander
я читал про сброс акаунтов в телеграмме, если стоит пароль и его не знают, переписка не будет взломана
rus
Почему же?
он крут, но он плохой )
1. https://github.com/denandz/KeeFarce (пару версий наззад работала, сейчас не знаю)
и автор отказался её исправлять, т.к. типа по его мнению это либо не его проблема, либо сложно сделать (сложно получить физический доступ к компу)
2. 2.x на .NET весь, что многим не нравится
лучше уж: https://www.keepassx.org/
или активный форк: https://keepassxc.org/
Artur
www.roboform.com
хорош
Groosha
он крут, но он плохой )
1. https://github.com/denandz/KeeFarce (пару версий наззад работала, сейчас не знаю)
и автор отказался её исправлять, т.к. типа по его мнению это либо не его проблема, либо сложно сделать (сложно получить физический доступ к компу)
2. 2.x на .NET весь, что многим не нравится
лучше уж: https://www.keepassx.org/
или активный форк: https://keepassxc.org/
1) Keepass прошёл и проходит аудит, а всякие roboform и keepassx больше походят на форки с троянами.
В принципе, 1) уже достаточно
Groosha
Вы уж как хотите, но я, пожалуй, останусь на безопасном ПО, нежели на малвари :)
rus
1) Keepass прошёл и проходит аудит, а всякие roboform и keepassx больше походят на форки с троянами.
В принципе, 1) уже достаточно
как он может пройти аудит если NET закрытый ?
когда форки открытые
Groosha
как он может пройти аудит если NET закрытый ?
когда форки открытые
А это что тогда?
https://keepass.info/download.html
В самом низу
rus
А это что тогда?
https://keepass.info/download.html
В самом низу
так собирается в NET, т.е. среда сборки закрыта, а исходник открыт
Groosha
Ну, т.е. мы приходим к уровню "закладки на уровне компилятора"
Groosha
Збс. Всем Эльбрус, посоны :0
rus
один из доводов противников net - это то, что лицензия позволяет либо сменить её, либо поменять условия (у mono там тоже что-то не всё хорошо с этим)
Groosha
один из доводов противников net - это то, что лицензия позволяет либо сменить её, либо поменять условия (у mono там тоже что-то не всё хорошо с этим)
MS может поменять условия лицензирования, но они не имеют обратной силы
Groosha
Впрочем, это уже оффтоп :( Можно продолжить в @tgflood, если есть необходимость
rus
не.... я просто хотел предложить пачку альтернатив/форков... чтобы был выбор... миссию в принципе выполнил 😊
Анатолий
В статье есть фраза : "Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы." Кто может объяснить почему? украв симку, пароль, не получишь, соотв. аккаунт не угонишь.
Вкратце: двухшаговая аутентификация (в отличие от двухфакторной) требует некоторого количества идентификационной информации, которую человек знает. Пароль, пин-код, смска, ещё смска, пак-код - это многошаговая аутентификация, но даже не двухфакторная. Двухфакторная должна требовать информацию из минимум двух из трёх категорий: то, что человек знает, то, кем он является, и то, что у него есть.
Про факторы хорошо и доступно рассказывается здесь https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/ (правда на английском).
Aleksander
Вкратце: двухшаговая аутентификация (в отличие от двухфакторной) требует некоторого количества идентификационной информации, которую человек знает. Пароль, пин-код, смска, ещё смска, пак-код - это многошаговая аутентификация, но даже не двухфакторная. Двухфакторная должна требовать информацию из минимум двух из трёх категорий: то, что человек знает, то, кем он является, и то, что у него есть.
Про факторы хорошо и доступно рассказывается здесь https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/ (правда на английском).
смску человек не знает. , он ее получаает , с помощью симкарты. Симкартой надо владеть
Анатолий
Впрочем, многие (не только люди, но и сервисы) путают это. К сожалению, большинству уважаемых бизнесов на самом деле плевать на фактическую защищённость, они лишь преследуют цель формально поддерживать какой-то определённый уровень и публично о нём заявить
Анатолий
смску человек не знает. , он ее получаает , с помощью симкарты. Симкартой надо владеть
Не знает, но узнаёт. Вот если бы он брал коды с брелка (ваще идеально) - то это было бы something what you have
Анатолий
И вместо него "узнать" может кто угодно. Пароль можно "узнать" множеством методом, начиная от перебора и заканчивая фишингом, смску можно узнать перехватом
Aleksander
да какая разница с брелка или с телефона, брелок и телефон одинаково можно украсть
Анатолий
да какая разница с брелка или с телефона, брелок и телефон одинаково можно украсть
Для перехвата смс телефон не обязательно красть. смс это не то, что you have, это то что you know
Aleksander
я говорю не о телеграмм и не о приложении на самом телефоне, а чтото внешнее, например почта, смс подтверждение на телефон
Aleksander
Для перехвата смс телефон не обязательно красть. смс это не то, что you have, это то что you know
дырявость gsm сети за рамками данного обсуждения, считаем смс нельзя перехватить
Анатолий
я говорю не о телеграмм и не о приложении на самом телефоне, а чтото внешнее, например почта, смс подтверждение на телефон
Это всё перехватывается. Ты узнаёшь информацию из своего почтового ящика и другой может узнать информацию из твоего почтового ящика.
Увеличением количество шагов (а давайте ещё введите пин, а ещё код из смски и пароль из ящика и ещё голосовое подтверждение по телефону) - факторность не увеличивается. Увеличивается количество времени, необходимое на перехват информации и (возможно) суммарная сложность перехвата. То есть защита нарастает количественно, но не качественно
Анатолий
Брелок нужно спереть, палец нужно отрезать, сетчатку нужно приложить, применив терморектальный криптоанализ - это уже совсем другое дело :)
Aleksander
нее, погоди, вот ключ и пароль от сейфа. ты гворишь ключ можно подсмотреть
Aleksander
но это не отменяет того что это второй фактор
Анатолий
Но ты не скачаешь его сетчатку из интернета и не сопрёшь его брелок, подобрав пароль. Потому что ты будешь взламывать информацию, которую he knows, а тебе надо найти информацию, которую he has или ещё хуже - которой he is
Анатолий
но это не отменяет того что это второй фактор
Это не называется фактором. Это называется шагом
Анатолий
Почитай ссылку, там рассказывается, что именно такое факторы
Анатолий
нее, погоди, вот ключ и пароль от сейфа. ты гворишь ключ можно подсмотреть
Ключ от сейфа надо спереть, а не подсмотреть :)
Aleksander
ну там напримере сейфа, т.е. эта аналогия неверна, так?
Aleksander
Ключ от сейфа надо спереть, а не подсмотреть :)
я могу суперпупер видеокамерой запомнить рисунок и повторить
Анатолий
я могу суперпупер видеокамерой запомнить рисунок и повторить
Ты можешь и суперпупер сканером отсканировать инфу с брелка пока он едет в автобусе
Анатолий
Тогда да, это будет перехват информации, которую он имеет
Анатолий
Но всё равно это будет сложнее, чем информацию, которую он знает или может узнать
Artur
Я так понял, здесь сборище параноиков?
Aleksander
я могу купить еще один брелок и спереть инициализационный код (тот же пароль)
Aleksander
и генерировать теже самые коды
Анатолий
я могу купить еще один брелок и спереть инициализационный код (тот же пароль)
Я не отрицаю. Можно сделать вообще всё. Не существует абсолютно защищённых систем, разница только во времени и сложности взлома
Анатолий
Двухфакторка не является стопроцентной панацеей, она просто это время и эту сложность увеличивает
Aleksander
в общем я не особо вижу разницы спереть брелок или спереть телефон
Анатолий
в общем я не особо вижу разницы спереть брелок или спереть телефон
Ещё раз говорю - спереть телефон не обязательно. Спереть телефон - средство получения информации, которой человек безраздельно обладает. А смски не являются такой информацией, потому что ими обладает как минимум его оператор связи.
Анатолий
Что доказывает тот самый случай с МТС и оппозицией. Если конечно верить их завлениям. Что впрочем не отменяет необходимости допускать любые сценарии, особенно такой :)
Aleksander
Ещё раз говорю - спереть телефон не обязательно. Спереть телефон - средство получения информации, которой человек безраздельно обладает. А смски не являются такой информацией, потому что ими обладает как минимум его оператор связи.
программа генератор кода, ей обладает еще автор программы
Анатолий
насчёт паролей - enpass достаточно хорошая штука для этого?
Некромонгер во мне говорит: "попробуй 1password и выкинь всё остальное", но фьюрианец во мне говорит "они все по своему интересны, ищи в гугле сравнения, а лучше таблицы сравнений"
Анатолий
программа генератор кода, ей обладает еще автор программы
Брелок тоже может содержать бэкдоры :)
Aleksander
да, именно. Поэтому нельзя откидывать смски как второй фактор только из за дырявости жсм сети.
Artur
Как же вы здесь наспамили.
Aleksander
симкартой я владею, и ее надо укарсть, эт осделать можно другим способом , чем украсть пароль
Анатолий
https://tproger.ru/quiz/geekculture-skillotron/
Анатолий
У меня 0 из 10. Вывод? Очевидно: тест - говно 😁
Antonio
Zix
Он мне напомнил жирного пацана из старшего класса, который стрелял полтос на столовку, и вот как-то так реагировал, когда слышал, что я тупо денег не просил и не ел в столовке) Блин, напомнило, а.. Кстати, на пороге уж апрель, интересно, чем нас порадует разработчик 🤔
Akhmadbek Ergashev ☕️
Сорри за оффтоп. Кто за ПК с компасом?
Леша
Я забыл свой второй пароль, можно ли его сбросить (через техподдержку например), если почта при этом не используется на аккаунте?
Anonymous
нет. только удалять аккаунт и создавать заново
🐣
Сергей
Леша
а права создателя чата можно передавать?
Groosha
Пока нет
Анатолий
Новость а-ля "Куба и Северная Корея признали независимость Крыма"
Сергей
вин7
Нет, в смысле дело в том, что у тебя винда, так что терпи. Она же теперь даже не в приоритете у мелкомягких
Ignashkin
И перезапусти телеграм.