Двухфакторная аутентификация на форуме

[polym0rph]

2 часа назад, Balthazar сказал:

У толчка дампы неоднократно утекали и жопы не наблюдается пока что

Серьезно? Дамп его гуляет, база емейлов не проспамлена только ленивым, пароли почти все повскрывали и с кучи учеток кидло было, по нам несколько раз проходились базами логин/емейл - пароль для подбора учеток, в том числе и не безуспешно, т.к. многие юзеры везде одни и те же пароли ставят. По биржам их естественно тоже прогнали и сняли, что можно. Я уж не говорю о личной переписке, которая всплывает и может много интересного содержать, чело люди уж точно не хотели бы афишировать. Это не Жопа?

 

А теперь 2FA. Вот был бы он дополнительно там, и что изменилось бы? В моем понимании ничего.

 

[Ainz]

29 минут назад, polym0rph сказал:

А теперь 2FA. Вот был бы он дополнительно там, и что изменилось бы? В моем понимании ничего.

Если 2FA по этой RFCшке, то разумеется ничего. Если же там было бы что-то вроде U2F, то в базе были бы лишь публичные ключи, соответственно её наличие на руках никак не помогло бы залогиниться в защищенные аккаунты и писать из-под них всякую чушь.

 

29 минут назад, polym0rph сказал:

Это не Жопа? 

Это не жопа, а так, мелкие неприятности. Сопровождающие неизбежное утекание БД, с которым рано или поздно сталкивается любой ресурс, как бы компетентна ни была его администрация, и как бы круты ни были нанятые ей секьюрити-эксперты. Однажды и с этим ресурсом произойдет то же самое, таков естественный ход событий.

 

Скажу больше, в самом начале разработки программных продуктов, удовлетворяющих требованиям ФСТЭК, мы вообще часто исходили из сценария, в котором СУБД по умолчанию считалась скомпрометированной. И мы явно не одни такие были.

 

Если следовать этой доктрине, то предоставляемый RFC 6238 уровень защиты является околонулевым. Security through obscurity в чистом виде.

 

29 минут назад, polym0rph сказал:

Я уж не говорю о личной переписке

"PM privacy is not guaranteed. Please encrypt sensitive messages". Кто не послушал, тот сам себе буратино.

Изменено 4 июл 2018, 19:52 пользователем Balthazar

[polym0rph]

1 минуту назад, Balthazar сказал:

Если же там было бы что-то вроде U2F, то в базе были бы лишь публичные ключи, соответственно её наличие на руках никак не помогло бы залогиниться в защищенные аккаунты и писать из-под них всякую чушь.

В любом случае надо менять пароль. U2F да, помог бы не постить со взломанных учеток конкретно на этом форуме. Но на других площадках юзера так же бы поимели и от всех остальных описанных выше проблем также не поможет. А с учетом того, сколько людей даже 2FA ставят себе, процент поставивших U2F юзеров будет вообще статистически не значим для ресурса.

 

14 минут назад, Balthazar сказал:

Это не жопа, а так, мелкие неприятности. Сопровождающие неизбежное утекание БД, с которым рано или поздно сталкивается любой ресурс, как бы компетентна ни была его администрация, и как бы круты ни были нанятые ей секьюрити-эксперты. Однажды и с этим ресурсом произойдет то же самое, таков естественный ход событий.

Ну в моем понимании это Жопа. Но Жопа - это не конец жизни, конечно же)

 

15 минут назад, Balthazar сказал:

"PM privacy is not guaranteed. Please encrypt sensitive messages". Кто не послушал, тот сам себе буратино.

По логике да. И это абсолютное большинство.