Google Authenticator

[zren]

@Helber Не требовать для работы и не иметь доступа - это разные вещи.

 

Цитата

On your Android phone or tablet, open your device's Settings app Google Google Account.

Первый шаг официального мануала аутентификатора - зайти в аккаунт гугла. Это значит иметь на телефоне плей-маркет и все гугл-сервисы и иметь учетную запись. Что в свою очередь означает 2 вещи: 1)много специфической информации о владельце уже попутешествовало через интернет на серверы заботливой няньки по имени Гугл; 2)владелец телефона не единственный, кто имеет широкие права доступа ко всему содержимому на телефоне.

 

Кроме того, проблема любого продукта из Гугл-плей-маркета в возможности обновиться в любое время на версию с дополнительным функционалом, иногда без оповещений об этом. Или перестать работать при отказе от обновлений или их блокировке. А последствия того, что бывает при возникновении любой проблемы с 2FA у пользователей LiveCoin - на предыдущих страницах во всей красе.

 

Конечно, Гугл известная авторитетная корпорация и не будет заниматься мелкими кражами денег, но есть понятие "гигиены" личных данных. Сервисы Гугла на телефоне и приватность пользователя - взаимоисключающие вещи. У LiveCoin параноидальный уровень безопасности для каждого чиха, но при этом их работники понятия не имеют о том, что и почему используется у них в работе, им плевать на безопасность личных данных пользователя, они сначала вынуждают пользоваться сервисами Гугла, а потом поступают очень некрасиво при возникновении проблем. И самое главное - они не хотят ни в чем разбираться, просто эксплуатируют доставшуюся им платформу по принципу минимума телодвижений.

 

 

[zren]

Идея с отдельным аппаратом понятна.

 

По обновлениям есть другая опасность, что Гугл внесет изменения в сам протокол и биржи, обновив свою часть, просто перестанут принимать коды в старом формате, так или иначе вынуждая обновлять приложение. Примерно так было со скайпом после покупки его сами знаете кем, новый протокол - хочешь не хочешь обновляй клиентскую часть.

 

На сегодня, пока cам протокол OTP известен и более-менее стабилен, все биржи поддерживают сторонние реализации 2FA сами того не зная. Теоретически - так и должно быть, практически тоже проверено.

Суть в том, что биржи, если они дружественны к пользователю, прозрачны и открыты, должны завязываться на открытый стандарт - сам протокол. Если Гугл его изменит, это должны быть проблемы только Гугла, а не тех, кто использует подобный механизм. Биржа может рекомендовать популярную реализацию в виде гуглового приложения чисто для удобства тех, кто впервые сталкивается. Но только до тех пор, пока эта приблуда соответствует протоколу, а не делать стандартом некий бренд, под чьи прихоти должны подстраиваться сами спецификации.

 

[zren]

6 часов назад, Helber сказал:

И с другой стороны, когда мне в качестве 2FA на площадке предлагают скачивать что-то совсем незнакомое вместо хорошо известного гугла — есть сильное желание не ставить это. Так что во избежание потери клиентов бирже с опенсорсным 2FA придется поддерживать еще и традиционный. Какие площадки это делают?

Дело в том, что "поддерживать" ничего не надо, на сегодня достаточно обозначить варианты выбора и принять их как данность, на их серверах не нужно добавлять ни строчки кода. Достаточно, чтоб взяли несколько ходовых вариантов и одобрили, а не угрожали потерей денег бесследно и без разбора. При том, что на сегодняшний день биржа технически не сможет отличить, использую ли я гугловый аутентификатор, или свободный. Но при этом они ничего не знают, слышать не хотят, и наводят страх и ужас.

 

Как доверять деньги, если их безопасностью занимаются "сапожники", чей механизм защиты основывается не на знании и понимании происходящего, а на боязни что-то делать, что не входит в их старую инструкцию?

[zren]

1 минуту назад, Helber сказал:

Поясните вот это противоречие, пожалуйста. Выходит, на одних площадках можно тишком использовать (хоть об этом и не говорится) вместо гугла свободный аутентикатор (кстати, какой?) , а на других нет? Как это определить в конкретном случае, просто опытным путем?  

Никакого противоречия, везде можно использовать свободный аутентификатор вместо гуглового, но на некоторых дополнительно есть опция выбора аппаратного ключа. То есть по желанию, можно использовать аппаратный ключ, или можно программу Гугла, или можно любой другой вариант OTP, выбрав опцию, будто это Гугл. 

9 минут назад, Helber сказал:

Что касается Livecoin, я не раз видал, как что-то там по мелочам допиливают. То есть это бывает довольно нередко. Почему саппорт не передает прогерам сообщения и полезные советы — другой вопрос. Но я бы не сказал, что у них нет программистов. 

Я сам писал им о мелких багах, появившихся после обновы. Что-то вскоре исправили, что-то нет.

Как давно это было?

 

[zren]

6 минут назад, Helber сказал:

Спасибо за информацию. Если надумаю попробовать свободный, на что посоветовали бы обратить внимание?

AndOTP, исходники на гитхабе, сборки есть как в гугл-маркете, так и на F-droid (открытой платформе, созданной для автоматической сборки независимо от авторов, чтобы гарантировать полное соответствие программы показанному коду). Интернет не требуется даже в правах при установке и прекрасно без него всё работает. Камера для qr-кодов(если влом вводить ключ вручную) и карта памяти для бекапа - все требования.

[21jewels]

10 часов назад, Makushima сказал:

Теперь не знаю, может запасной вариант еще по СМС добавить.

 

Это уже обсуждалось. СМС против GA уступает, все на милость провайдера, доставит или порежет СМС. Когда подключаешь GA нужно всего лишь сохранить секретный код или QR-код, как удобнее. Есть другие сервисы, которые могут его генерить ОТР. 1Password, например, или BitWarden в платной подписке за 10 USD в год. Или бесплатный Authy. Ключ от Яндекса. Как грязи, короче. С той лишь разницей, что они синхронизируются между устройствами. 

Изменено 7 авг 2019, 06:56 пользователем 21jewels
добавление новой фразы

[Helber]

8 часов назад, Alienxxx сказал:

1. На каких еще централизованных биржах, кроме Binance можно поставить  2FA по SMS ??

На Exmo вроде.

 

А я вам дам альтернативный совет. Выделите под 2FA отдельный аппарат. Лучше всего смартфон чисто домашнего хранения, дорогой и долговечный, ну и полностью оффлайновый, оно же и безопаснее. Установите приложуху, убедитесь, что работает - и сотрите из памяти все вайфаи, удалите симку, киньте в режим полета. Обновлять приложение (после чего нередко и возникают проблемы) вообще не надо. Только подводить иногда время и скринить бэкапные коды восстановления 2FA для новых бирж. 

Изменено 6 янв 2021, 09:30 пользователем Helber

[YoshCat]

1 минуту назад, Helber сказал:

А я вам дам альтернативный совет. Выделите под 2FA отдельный аппарат. Лучше всего смартфон чисто домашнего хранения, дорогой и долговечный, ну и полностью оффлайновый, оно же и безопаснее. Установите приложуху, убедитесь, что работает - и сотрите из памяти все вайфаи, удалите симку, киньте в режим полета. Обновлять приложение (после чего нередко и возникают проблемы) вообще не надо. Только подводить иногда время и скринить бэкапные коды восстановления 2FA для новых бирж. 

не поможет, есть такой, но за пару лет "холодного" использования все равно глюкнул, пришлось сносить\переустанавливать. аффтар прав - 2Фа через ГА - зло.

[Helber]

12 минут назад, YoshCat сказал:

не поможет, есть такой, но за пару лет "холодного" использования все равно глюкнул,

Да ладно уж. Как глюкнул-то?

 

13 минут назад, YoshCat сказал:

2Фа через ГА - зло.

А через смс - гиперзло

[YoshCat]

3 минуты назад, Helber сказал:

Да ладно уж. Как глюкнул-то?

начались тормоза, пропали некоторые ключевые приложения, часть перестала запускаться.

4 минуты назад, Helber сказал:

А через смс - гиперзло

каждый ССЗБ, но ИМХО, смс привязано к номеру, который восстановить можно без проблем (нужно быть идиотом, чтобы важные симки регить на бомжа) а с переустановкой 2фа уже сталкивался - нуегонафик, проще и дешевле было на одной из бирж новый акк завести.

[Helber]

5 минут назад, YoshCat сказал:

начались тормоза, пропали некоторые ключевые приложения, часть перестала запускаться.

 

Если сам телефон был холодный, и новых приложений - ноль, и ни с того ни с сего начал глючить, значит, «железо» виновато, естественный износ. И при чем тут гугл 2 FA?

 

5 минут назад, YoshCat сказал:

смс привязано к номеру, который восстановить можно без проблем

Украсть через жуликоватых операторов опсоса - тоже. Да и перехватить - давно есть технологии.

[redgy92]

1 минуту назад, YoshCat сказал:

а с переустановкой 2фа уже сталкивался - нуегонафик, проще и дешевле было на одной из бирж новый акк завести

Т.е. сложно ввести код с бумажки в приложение GA? Или бэкапы делать - не царское дело?

Тут уж точно -

3 минуты назад, YoshCat сказал:

каждый ССЗБ

 

[YoshCat]

15 минут назад, redgy92 сказал:

Т.е. сложно ввести код с бумажки в приложение GA? Или бэкапы делать - не царское дело?

Делать выводы, не зная что и как делают другие люди,  или судить по себе - это мягко скажем, дурной тон и недалекое умственное развитие.

[YoshCat]

17 минут назад, Helber сказал:

 И при чем тут гугл 2 FA?

При том, что после восстановления, вплоть до бекап фразы/кюэр кода доступа на ресурс, коды которые он стал выдавать не канали для авторизации.

[Lenchik]

58 минут назад, YoshCat сказал:

При том, что после восстановления, вплоть до бекап фразы/кюэр кода доступа на ресурс, коды которые он стал выдавать не канали для авторизации.

Это потому что к интернету смартфон не был подключен. 

[YoshCat]

26 минут назад, Lenchik сказал:

Это потому что к интернету смартфон не был подключен. 

да хватит уже из себя умников то строить.

восстановить аккаунты, ранее установленный контент и пр. без подключения к нету просто не возможно.

 

И заканчиваем оффтоп.

 

[Helber]

11 минут назад, YoshCat сказал:

да хватит уже из себя умников то строить.

восстановить аккаунты, ранее установленный контент и пр. без подключения к нету просто не возможно.

У меня нашлось фото QR для одного из старых ключей. Зарядил его в пасть гуглоаутентикатору на оффлайн аппарате - он восстановил нужный «аккаунт» без проблем. Сличил 6 цифр на старом и новом аккаунте - одни и те же.

В QR зашита основа для создания конкретного «шифроключа». Чтобы преобразовать эту  основу в цепочку 6-циферных чисел, каждое из которых работает по 30 секунд, интернета и не нужно.

Так же, как для вычисления адреса из приватника, к примеру.

[Lenchik]

Я специально google authenticator стирал. Снова установил. А на компьютере был открыть binance. По новой код QR отсканировал и всё заработало. 

[Helber]

1 час назад, YoshCat сказал:

При том, что после восстановления, вплоть до бекап фразы/кюэр кода доступа на ресурс, коды которые он стал выдавать не канали для авторизации.

С временем поиграться надо было. С часовым поясом на аппарате.

Только что, Lenchik сказал:

По новой код QR отсканировал и всё заработало. 

Новый qr или изначальный??

По идее они совсем разные.

[Lenchik]

1 минуту назад, Helber сказал:

Новый qr или изначальный??

Новый. Но если бы на компьютере не был открыт binance, то я туда бы просто не смог попасть что бы отсканировать QR

Изменено 6 янв 2021, 12:13 пользователем Lenchik

[Helber]

45 минут назад, Lenchik сказал:

Новый.

Ну, для генерации ключа по новому QR и впрямь нужно увидеть биржу в онлайне, но, конечно, смартфон в онлайне быть не обязан.

Изменено 6 янв 2021, 12:57 пользователем Helber

[Lenchik]

49 минут назад, Helber сказал:

Ну, для генерации ключа по новому QR и впрямь нужно увидеть биржу в онлайне, но, конечно, смартфон в онлайне быть не обязан.

Замкнутый круг. А если бы я выключил компьютер, то не смог бы попасть на биржу что бы увидеть QR код. (Он у меня в цифровом варианте записан).

 

Скорей всего проблемы у людей что время не засинхронизировано, или зачинхронизировано не по правильному часовому поясу. 

[Helber]

5 минут назад, Lenchik сказал:

Замкнутый круг. А если бы я выключил компьютер, то не смог бы попасть на биржу что бы увидеть QR код. (Он у меня в цифровом варианте записан).

Если у вас записан старый qr код, вообще непонятно, зачем вам лезть на биржу и получать новый? Вы же можете восстановиться по старому, забэкапленному когда-то.

[Lenchik]

@Helber Случайно стёр этот аутентификатор. Удалял ненужные приложения на телефоне и его случайно пальцем зацепил. 

В крайнем случае можно через поддержку вопрос разрулить. Если конечно идентификация личности была пройдена. 

[DevCat]

а что товарищи скажут про YubiKey 5 NFC? может был у кого опыт использавания?