Перейти к содержанию

Аверс

Рекомендуемые сообщения

Опубликовано

@Helber Не требовать для работы и не иметь доступа - это разные вещи.

 

Цитата

On your Android phone or tablet, open your device's Settings app Settings appand thenGoogle and thenGoogle Account.

Первый шаг официального мануала аутентификатора - зайти в аккаунт гугла. Это значит иметь на телефоне плей-маркет и все гугл-сервисы и иметь учетную запись. Что в свою очередь означает 2 вещи: 1)много специфической информации о владельце уже попутешествовало через интернет на серверы заботливой няньки по имени Гугл; 2)владелец телефона не единственный, кто имеет широкие права доступа ко всему содержимому на телефоне.

 

Кроме того, проблема любого продукта из Гугл-плей-маркета в возможности обновиться в любое время на версию с дополнительным функционалом, иногда без оповещений об этом. Или перестать работать при отказе от обновлений или их блокировке. А последствия того, что бывает при возникновении любой проблемы с 2FA у пользователей LiveCoin - на предыдущих страницах во всей красе.

 

Конечно, Гугл известная авторитетная корпорация и не будет заниматься мелкими кражами денег, но есть понятие "гигиены" личных данных. Сервисы Гугла на телефоне и приватность пользователя - взаимоисключающие вещи. У LiveCoin параноидальный уровень безопасности для каждого чиха, но при этом их работники понятия не имеют о том, что и почему используется у них в работе, им плевать на безопасность личных данных пользователя, они сначала вынуждают пользоваться сервисами Гугла, а потом поступают очень некрасиво при возникновении проблем. И самое главное - они не хотят ни в чем разбираться, просто эксплуатируют доставшуюся им платформу по принципу минимума телодвижений.

 

 

Опубликовано

Идея с отдельным аппаратом понятна.

 

По обновлениям есть другая опасность, что Гугл внесет изменения в сам протокол и биржи, обновив свою часть, просто перестанут принимать коды в старом формате, так или иначе вынуждая обновлять приложение. Примерно так было со скайпом после покупки его сами знаете кем, новый протокол - хочешь не хочешь обновляй клиентскую часть.

 

На сегодня, пока cам протокол OTP известен и более-менее стабилен, все биржи поддерживают сторонние реализации 2FA сами того не зная. Теоретически - так и должно быть, практически тоже проверено.

Суть в том, что биржи, если они дружественны к пользователю, прозрачны и открыты, должны завязываться на открытый стандарт - сам протокол. Если Гугл его изменит, это должны быть проблемы только Гугла, а не тех, кто использует подобный механизм. Биржа может рекомендовать популярную реализацию в виде гуглового приложения чисто для удобства тех, кто впервые сталкивается. Но только до тех пор, пока эта приблуда соответствует протоколу, а не делать стандартом некий бренд, под чьи прихоти должны подстраиваться сами спецификации.

 

Опубликовано
6 часов назад, Helber сказал:

И с другой стороны, когда мне в качестве 2FA на площадке предлагают скачивать что-то совсем незнакомое вместо хорошо известного гугла — есть сильное желание не ставить это. Так что во избежание потери клиентов бирже с опенсорсным 2FA придется поддерживать еще и традиционный. Какие площадки это делают?

Дело в том, что "поддерживать" ничего не надо, на сегодня достаточно обозначить варианты выбора и принять их как данность, на их серверах не нужно добавлять ни строчки кода. Достаточно, чтоб взяли несколько ходовых вариантов и одобрили, а не угрожали потерей денег бесследно и без разбора. При том, что на сегодняшний день биржа технически не сможет отличить, использую ли я гугловый аутентификатор, или свободный. Но при этом они ничего не знают, слышать не хотят, и наводят страх и ужас.

 

Как доверять деньги, если их безопасностью занимаются "сапожники", чей механизм защиты основывается не на знании и понимании происходящего, а на боязни что-то делать, что не входит в их старую инструкцию?

Опубликовано
1 минуту назад, Helber сказал:

Поясните вот это противоречие, пожалуйста. Выходит, на одних площадках можно тишком использовать (хоть об этом и не говорится) вместо гугла свободный аутентикатор (кстати, какой?) , а на других нет? Как это определить в конкретном случае, просто опытным путем?  

Никакого противоречия, везде можно использовать свободный аутентификатор вместо гуглового, но на некоторых дополнительно есть опция выбора аппаратного ключа. То есть по желанию, можно использовать аппаратный ключ, или можно программу Гугла, или можно любой другой вариант OTP, выбрав опцию, будто это Гугл. 

9 минут назад, Helber сказал:

Что касается Livecoin, я не раз видал, как что-то там по мелочам допиливают. То есть это бывает довольно нередко. Почему саппорт не передает прогерам сообщения и полезные советы — другой вопрос. Но я бы не сказал, что у них нет программистов. 

Я сам писал им о мелких багах, появившихся после обновы. Что-то вскоре исправили, что-то нет.

Как давно это было?

 

Опубликовано
6 минут назад, Helber сказал:

Спасибо за информацию. Если надумаю попробовать свободный, на что посоветовали бы обратить внимание?

AndOTP, исходники на гитхабе, сборки есть как в гугл-маркете, так и на F-droid (открытой платформе, созданной для автоматической сборки независимо от авторов, чтобы гарантировать полное соответствие программы показанному коду). Интернет не требуется даже в правах при установке и прекрасно без него всё работает. Камера для qr-кодов(если влом вводить ключ вручную) и карта памяти для бекапа - все требования.

  • 2 недели спустя...
Опубликовано (изменено)
10 часов назад, Makushima сказал:

Теперь не знаю, может запасной вариант еще по СМС добавить.

 

Это уже обсуждалось. СМС против GA уступает, все на милость провайдера, доставит или порежет СМС. Когда подключаешь GA нужно всего лишь сохранить секретный код или QR-код, как удобнее. Есть другие сервисы, которые могут его генерить ОТР. 1Password, например, или BitWarden в платной подписке за 10 USD в год. Или бесплатный Authy. Ключ от Яндекса. Как грязи, короче. С той лишь разницей, что они синхронизируются между устройствами. 

Изменено пользователем 21jewels
добавление новой фразы
  • 1 год спустя...
Опубликовано (изменено)
8 часов назад, Alienxxx сказал:

1. На каких еще централизованных биржах, кроме Binance можно поставить  2FA по SMS ??

На Exmo вроде.

 

А я вам дам альтернативный совет. Выделите под 2FA отдельный аппарат. Лучше всего смартфон чисто домашнего хранения, дорогой и долговечный, ну и полностью оффлайновый, оно же и безопаснее. Установите приложуху, убедитесь, что работает - и сотрите из памяти все вайфаи, удалите симку, киньте в режим полета. Обновлять приложение (после чего нередко и возникают проблемы) вообще не надо. Только подводить иногда время и скринить бэкапные коды восстановления 2FA для новых бирж. 

Изменено пользователем Helber
Опубликовано
1 минуту назад, Helber сказал:

А я вам дам альтернативный совет. Выделите под 2FA отдельный аппарат. Лучше всего смартфон чисто домашнего хранения, дорогой и долговечный, ну и полностью оффлайновый, оно же и безопаснее. Установите приложуху, убедитесь, что работает - и сотрите из памяти все вайфаи, удалите симку, киньте в режим полета. Обновлять приложение (после чего нередко и возникают проблемы) вообще не надо. Только подводить иногда время и скринить бэкапные коды восстановления 2FA для новых бирж. 

не поможет, есть такой, но за пару лет "холодного" использования все равно глюкнул, пришлось сносить\переустанавливать. аффтар прав - 2Фа через ГА - зло.

Опубликовано
12 минут назад, YoshCat сказал:

не поможет, есть такой, но за пару лет "холодного" использования все равно глюкнул,

Да ладно уж. Как глюкнул-то?

 

13 минут назад, YoshCat сказал:

2Фа через ГА - зло.

А через смс - гиперзло

Опубликовано
3 минуты назад, Helber сказал:

Да ладно уж. Как глюкнул-то?

начались тормоза, пропали некоторые ключевые приложения, часть перестала запускаться.

4 минуты назад, Helber сказал:

А через смс - гиперзло

каждый ССЗБ, но ИМХО, смс привязано к номеру, который восстановить можно без проблем (нужно быть идиотом, чтобы важные симки регить на бомжа) а с переустановкой 2фа уже сталкивался - нуегонафик, проще и дешевле было на одной из бирж новый акк завести.

Опубликовано
5 минут назад, YoshCat сказал:

начались тормоза, пропали некоторые ключевые приложения, часть перестала запускаться.

 

Если сам телефон был холодный, и новых приложений - ноль, и ни с того ни с сего начал глючить, значит, «железо» виновато, естественный износ. И при чем тут гугл 2 FA?

 

5 минут назад, YoshCat сказал:

смс привязано к номеру, который восстановить можно без проблем

Украсть через жуликоватых операторов опсоса - тоже. Да и перехватить - давно есть технологии.

Опубликовано
1 минуту назад, YoshCat сказал:

а с переустановкой 2фа уже сталкивался - нуегонафик, проще и дешевле было на одной из бирж новый акк завести

Т.е. сложно ввести код с бумажки в приложение GA? Или бэкапы делать - не царское дело?

Тут уж точно -

3 минуты назад, YoshCat сказал:

каждый ССЗБ

 

Опубликовано
15 минут назад, redgy92 сказал:

Т.е. сложно ввести код с бумажки в приложение GA? Или бэкапы делать - не царское дело?

Делать выводы, не зная что и как делают другие люди,  или судить по себе - это мягко скажем, дурной тон и недалекое умственное развитие.

Опубликовано
17 минут назад, Helber сказал:
 И при чем тут гугл 2 FA?

При том, что после восстановления, вплоть до бекап фразы/кюэр кода доступа на ресурс, коды которые он стал выдавать не канали для авторизации.

Опубликовано
58 минут назад, YoshCat сказал:

При том, что после восстановления, вплоть до бекап фразы/кюэр кода доступа на ресурс, коды которые он стал выдавать не канали для авторизации.

Это потому что к интернету смартфон не был подключен. 

Опубликовано
26 минут назад, Lenchik сказал:

Это потому что к интернету смартфон не был подключен. 

да хватит уже из себя умников то строить.

восстановить аккаунты, ранее установленный контент и пр. без подключения к нету просто не возможно.

 

И заканчиваем оффтоп.

 

Опубликовано
11 минут назад, YoshCat сказал:

да хватит уже из себя умников то строить.

восстановить аккаунты, ранее установленный контент и пр. без подключения к нету просто не возможно.

У меня нашлось фото QR для одного из старых ключей. Зарядил его в пасть гуглоаутентикатору на оффлайн аппарате - он восстановил нужный «аккаунт» без проблем. Сличил 6 цифр на старом и новом аккаунте - одни и те же.

В QR зашита основа для создания конкретного «шифроключа». Чтобы преобразовать эту  основу в цепочку 6-циферных чисел, каждое из которых работает по 30 секунд, интернета и не нужно.

Так же, как для вычисления адреса из приватника, к примеру.

Опубликовано

Я специально google authenticator стирал. Снова установил. А на компьютере был открыть binance. По новой код QR отсканировал и всё заработало. 

Опубликовано
1 час назад, YoshCat сказал:

При том, что после восстановления, вплоть до бекап фразы/кюэр кода доступа на ресурс, коды которые он стал выдавать не канали для авторизации.

С временем поиграться надо было. С часовым поясом на аппарате.

Только что, Lenchik сказал:

По новой код QR отсканировал и всё заработало. 

Новый qr или изначальный??

По идее они совсем разные.

Опубликовано (изменено)
1 минуту назад, Helber сказал:

Новый qr или изначальный??

Новый. Но если бы на компьютере не был открыт binance, то я туда бы просто не смог попасть что бы отсканировать QR

Изменено пользователем Lenchik
Опубликовано (изменено)
45 минут назад, Lenchik сказал:

Новый.

Ну, для генерации ключа по новому QR и впрямь нужно увидеть биржу в онлайне, но, конечно, смартфон в онлайне быть не обязан.

Изменено пользователем Helber
Опубликовано
49 минут назад, Helber сказал:

Ну, для генерации ключа по новому QR и впрямь нужно увидеть биржу в онлайне, но, конечно, смартфон в онлайне быть не обязан.

Замкнутый круг. А если бы я выключил компьютер, то не смог бы попасть на биржу что бы увидеть QR код. (Он у меня в цифровом варианте записан).

 

Скорей всего проблемы у людей что время не засинхронизировано, или зачинхронизировано не по правильному часовому поясу. 

Опубликовано
5 минут назад, Lenchik сказал:

Замкнутый круг. А если бы я выключил компьютер, то не смог бы попасть на биржу что бы увидеть QR код. (Он у меня в цифровом варианте записан).

Если у вас записан старый qr код, вообще непонятно, зачем вам лезть на биржу и получать новый? Вы же можете восстановиться по старому, забэкапленному когда-то.

Опубликовано

@Helber Случайно стёр этот аутентификатор. Удалял ненужные приложения на телефоне и его случайно пальцем зацепил. 

В крайнем случае можно через поддержку вопрос разрулить. Если конечно идентификация личности была пройдена. 

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Похожие топики

    • Мошенники разместили рекламу фишинговых криптоприложений на первых местах выдачи Google

      Специалисты по безопасности компании Scam Sniffer сообщили о рекламе поддельных приложений децентрализованной платформы Aave. Эта реклама появилась в верхней части результатов выдачи поисковика Google. Новая фишинговая кампания нацелена на пользователей криптовалют, в первую очередь — на заинтересованных в использовании децентрализованной платформы Aave. Переходя по мошеннической ссылке, пользователи попадают на вредоносные веб-сайты, внешний вид которых напоминает настоящую страницу Aave.

      в Новости криптовалют

    • Количество поисковых запросов «биткоин» в Google обновило максимум

      Число поисковых запросов «биткоин» в Google достигло за март отметки 34 пункта, что является максимальным показателем с начала года. Относительно февраля метрика выросла на 26%, обратили внимание аналитики издания The Block. Аналогичная тенденция наблюдается с поисковым запросом «эфир» — показатель увеличился с 16 до 19 пунктов. Рост числа поисковых запросов свидетельствует о возрождении интереса к криптовалютам и индустрии со стороны розничных инвесторов и трейдеров, полагают эксперты The

      в Новости криптовалют

    • Google ужесточит правила рекламы криптосервисов в Европе

      Компания Google с 23 апреля ужесточит требования к размещению рекламы криптовалютных сервисов в Европе ради соблюдения Закона о регулировании криптовалют ЕС (MiCA) и регламента Crypto Asset Service Provider (CASP). Криптовалютные биржи, кошельки и сервисы, рекламирующие свои продукты и услуги в Европе, должны иметь лицензию европейского регулятора и быть сертифицированы компанией Google. Новая политика для рекламодателей будет применяться к большинству европейских стран, включая Австрию, Бе

      в Новости криптовалют

    • Новости от BitmenPro. Binance интегрировала Apple Pay и Google Pay для покупки криптовалюты

      Криптовалютная биржа Binance сообщила о  партнерстве  с платежной системой Worldpay,чтобы дать пользователям возможность использовать Apple Pay и Google Pay для покупки криптовалют в приложении Binance либо на сайте.(теперь купить криптовалюту не сложнее чем кофе) По словам Томаса Грегори, вице-президента Binance по фиатным операциям, «Эта интеграция делает процесс обмена фиатных денег на криптовалюту на Binance еще более удобным и быстрым, которого пользователи ожидают от своих повседневны

      в Новости криптовалют

    • Google ограничил доступ к 17 криптобиржам в Южной Корее

      По запросу подразделения финансовой разведки Южной Кореи (FIU) американская компания Google ввела ограничения на доступ к 17 криптобиржам, не зарегистрированным в стране. В список заблокированных бирж вошли KuCoin, MEXC, Phemex, XT, Biture, CoinW, CoinEX, ZoomEX, Poloniex, BTCC, DigiFinex, Pionex, Blofin, Apex Pro, CoinCatch, WEEX и BitMart. Пользователи на территории Республики Корея больше не могут обновлять установленные приложения и устанавливать новые, заявили в FIU.   Запрет ос

      в Новости криптовалют

×
×
  • Создать...