Security questions

[leo_sosnine]

Юзабилити энд секьюрити псто.

Просто изумительно, что, похоже, использование security questions считается увеличением безопасности работы с ресурсами в интернете, требующими логина/пароля. Причём нередко от них невозможно отказаться. Но ведь это же безумие!

Эти security questions, которые причём в ряде случаев невозможно конструировать самостоятельно, легко открываются любым челом, который украл мою identity или потратил энное количество бабла и времени на узнавание таких подробностей, как девичья фамилия моей матери, город рождения, школа в которую ходил и имя первого пета! Таким образом такой чел всегда сможет нажать на "забыл пароль" и сбросить пароль и завладеть моей учёткой в худшем случае, или, преодолеть значительное количество препятствий по завладению в лучшем случае.

Притом, блин, я сам часто забываю ответы на эти идиотские вопросы на всяких говносайтах, т.е. помимо логина/пароля требуется засирать пассворд менеджер ответами на идиотские вопросы, не говоря уже о минутах мучительных размышлений в попытке выбрать очередной идиотский вопрос при регистрации на таком говносайте.

Объяснение единственное этому сумасшествию -- для среднестатистического тупого юзера это действительно повышает безопасность, т.к. он, судя по массовости явления, забывает пароли ко всем сайтам при каждой второй попытке входа на них! При этом фактическая, объективная безопасность, разумеется, понижается. И из-за этого сборища никчёмных мудаков приходится страдать мне, любимому. Как дал бы.

Хоть бы делали возможность отказаться от вопросов, пусть даже и с риском забыть пароль, который через это было бы невозможно восстановить. Я их, пилят, не забываю, ок? А что забываю, то предварительно записываю в пассворд манагер. Но и тут есть объяснение: владельцам ресурсов проще и менее затратно поддерживать только одну схему регистрации и не париться с удобством гиков, которых сиравно полтора человека.

Вот так, в итоге, из-за существования в мире определённого процента недееспособных мудаков, страдать приходится всем. Демократия.

Comments

[oho.livejournal.com]

Разве еще есть в интернете люди, которые про регистрации указываюьт реальную девичью фамилию матери и прочий данные "которые можно украсть"? В след раз вместо честного "сидорова" оставьте им "шелкопрядова-задропичевская" и никто не взломает.

[mayevski.livejournal.com]

И таких клюдей много больше, чем тех, кто пишет выдуманные данные.

[leo-sosnine.livejournal.com]

дык какая разница что писать

беспокоит сам факт того, что ВЫНУЖДАЮТ писать

приходится сидеть и выдумывать чего бы туда написать

сёдня регался на сайте, где требовалось заполнить 6 (!) секурити вопросов

[fat-yankey.livejournal.com]

Если вы не забываете пароль, но забываете ответы на security questions, то по-моему очевидное решение - не выдумывать ничего, а давать тот же самый пароль как ответ на все.

[volodymir-k.livejournal.com]

6 вопросов повышает надёжность, потому что
- вор не может украсть все 6
- если забудете 1-2, то будете помнить остальные

[winnie-the-bass.livejournal.com]

Так, наверное, надо на все 6 ответить при восстановлении.

[leo-sosnine.livejournal.com]

а это заранее предсказать невозможно

тут кто в лес, кто по дрова

[mayevski.livejournal.com]

А правильная двухфакторная идентификация с использованием телефона каждый раз невозможна из-за жадности опсосов ... Я недавно смотрел на расценки - 2-3 доллара за тысячу СМС. Для публичного сервиса цена просто фантастическая, поскольку люди логинятся много и часто.

[volodymir-k.livejournal.com]

...а за всё заплати in America...

ну так и продавайте МФА тем юзерам, которые этого хотят настолько, чтобы полностью оплатить
если вы считаете, что опсосы зажрались -- ну войдите в их бизнес, продавайте дешевле и разоряйте :)

ещё есть приём -- отпечаток браузера + IP + секурная кука может служить как промежуточный МФА, а телефон оставить на "сладкое"

а вообще в наше время нефиг самому юзер аутентикацию делать и базу вести
прикрутите опенид-оаус и не морочьте юзерам голову

[mayevski.livejournal.com]

"если вы считаете, что опсосы зажрались -- ну войдите в их бизнес, продавайте дешевле и разоряйте :)"

Когда вьірастем до размеров приватбанка, так и сделаем (как сделал и приват).

"ещё есть приём -- отпечаток браузера + IP + секурная кука может служить как промежуточный МФА, а телефон оставить на "сладкое""

Я писал именно о телефоне. Как сделать аутентификацию по-другому - ето другой вопрос, которьім моя компания больше 10 лет занимается ;)

"прикрутите опенид-оаус и не морочьте юзерам голову"

Обьясню на пальцах. Популярньій сайт StackOverflow позволяет аутентифицироваться с помощью десятка способов аутентификации. Большое количество пользователей использует OpenID, в частности от гугля. И вот в один чудесньій майский день (кабьі не 4 мая) у гугля что-то хрустнуло. И связка SO + Google OpenID (и он же Blogspot openID) не работает. И все, кто так логинился, сидят и сосут лапу. В поддержку гугля и SO писали еще в середине мая. Сейчас середина июня почти. Воз на месте.

[volodymir-k.livejournal.com]

телефон тоже могут украсть

про гугл пишете конечно ужасы, свинство

возможно
http://stackoverflow.com/questions/23421225/migrating-google-openid-to-openid-connect-for-google-apps-domain-openids
или
http://stackoverflow.com/questions/22842475/migrating-google-openid-to-openid-connect-openid-id-does-not-match

ну так в крупных конторах и обычные рег.схемы часто ломаются (вот я, помнится в 2006-м у 600 тыщ юзеров поломал -- бизнес так захотел -- причём тысяч 20 вообще необратимо)

на СО давно писали -- Don't wait until after something goes wrong to set up an alternate OpenID in your profile.

[mayevski.livejournal.com]

Кража телефона - конкретньій сигнал заблокировать доступ к банку через интернет (если подвязка к телефону идет). Ну и пароли ставить надо.

Миграция - ето хорошо и, конечно, СО должньі бьі (я правда не знаю, есть ли у openid доступ к емейлам) как-то решать ету проблему со своей стороньі, но мой поинт бьіл в том, что прикручивание openid не панацея, все равно нужно какие-то ухищрения предпринимать дополнительньіе.

[lsergei.livejournal.com]

Когда вьірастем до размеров приватбанка, так и сделаем (как сделал и приват).

Отлично сделал, чем породил чудовищное количество схем воровства денег, которые отлично работают. Как раз приватбанк здесь плохой пример, ибо делает он все может и удобно, но сильно в ущерб безопасности.

[mayevski.livejournal.com]

Проблемьі воровства денег есть в любом банке, и чем более массовьім является банк, тем больше проблемьі. А безопасность - ето в принципе штука, противоречащая удобству. Вопрос в балансе.

Насчет схем воровства, ставших возможньіми *благодаря* двухфакторной аутентификации в привате, я не сльішал, но и не интересовался. Т.е. вопрос - ето именно двухфакторная аутентификация с телефоном сделала возможной ту или иную схему?

[(Anonymous)]

Ну мы же не обсуждаем проблему воровства вообще у камина :) Согласен с Вами, вопрос в балансе, но во всем, что касается денег не может быть компромиссов, на мой скромный взгляд.

По последней массовой уязвимости - связка карты в приватбанке и предоплаченной формы обслуживания оператора Киевстар. Мошенники подают заявку на восстановление сим-карты, восстанавливают ее (тут дырка у оператора, само собой) и имея рабочую сим-карту восстанавливают доступ к эккаунту банковской карты(или просто переводят деньги, деталей не помню). Именно по этой схеме у товарища недавно увели крупную сумму денег, сейчас бодается с банком. К сожалению, всех деталей не знаю, но видимо не все операции в приватбанке требуют двухфакторной идентификации (дыра однозначно банка).

Мой инсайдер в привате говорит, что сейчас этой дырой вовсю пользуются а прикрыть пока не могут, т.к. используется дырка в нескольких компаниях.

[lsergei.livejournal.com]

Выше мой коммент, почему-то жж меня не признал

[mayevski.livejournal.com]

Ну, начинали мьі в принципе с общего подхода, ето уже потом приват вспльіл.

И тут мьі приходим к тому, что в случае с указанной проблемой не в ДФА причина, а в дьіре у оператора. Я целиком допускаю, что таких дьір есть много, но причиньі будут не в ДФА как таковой, а на более вьісоком уровне.

В security в принципе проблемьі в основном не технического характера, а скорее организационного - где-то недоработана та или иная организационная процедура или сделано послабление для удобства. Хотя случаются и чисто технические, не без того, но их меньше.

[morbus-gallicus.livejournal.com]

Да, меня тоже бесят обязательные security questions. Можно конечно там писать всякую муть, но тогда их забываешь на следующий день. А потом, в один прекрасный день, нужно срочно произвести транзакцию/перевести деньги с чужого компьютера или общественного терминала и выясняется, что кроме пароля надо вводить ответ на security question. И если забытый пароль можно восстановить используя security question то забытый security question нельзя восстановить используя пароль...

[volodymir-k.livejournal.com]

смешно

во-первых, если спрашивают фигню, которую не хочется помнить, то и вводите фигню
случайно натайпайте по клаве, энтер, профит

во-вторых юзер рег в 2014 это отстой, дичь и глушь
я заманался в 1000-й раз вводить емейлы, изобретать пароли, юзернеймы -- а главное зачем?
если кто-то думает, что ЗОГ-КГБ по его емейлу-акку оттрекает полный профиль, то в общем поздно -- оттрекают по рекламной куке с ИП адресом
разве что друзья-жена-коллеги затруднятся?

надо прикручивать к сайту тот же ФБ-линкедин-гуглоакк по самл-опенид-оаус и пусть фейсбук парится

"легко открываются любым челом, который украл мою identity" -- на мусорных сайтах да пусть и открывает
а гуглоакк украсть много тяжелее


кстати

в норвегии госуслуги всему населению сделали на распределённом иерархическом самл сервере
9 млн населения, под 70% что ли был базар юзают
сам король хлопотал, внедрежом занимался
там несколько профилей, от банковского до анонимизированного
на спец-флешке сертификаты лежат

цивилизация!

[3seemingmonkeys.livejournal.com]

а вот фликр убрать хочет логин через фейсбук и гугл плюс. значит не все так гладко с этим?

[aurfin76.livejournal.com]

Способность запоминать пароли, самые трудные из более 10 символов с разными регистрами, цифрамии пр., эта способность тренируется как и всякая другая. Меняйте пароли раз в три месяца и запоминайте их. Со временем это станет легко.

[volodymir-k.livejournal.com]

запоминать нетрудно, трудно вспоминать

я как в отпуск сьезжу, потом час в первый день вспоминаю как там что

[leonid-smetanin.livejournal.com]

а если паролей десятка полтора? Да каждые три месяца, мнда.
Спасибо, для моей головы есть более правильное занятие, чем забивание её случайным мусором

[ruslan-lv.livejournal.com]

Надо выбирать секьюрную фразу и выбирать всегда первый вариант вопроса. Хотя это тот ещё треш.

Но вот как восстановить пароль, когда нет привязк к телефону?

[evil-gryphon.livejournal.com]

имя первого пета

... моего пса зовут x7gGms2dA4fyhgtY3a3

[1master.livejournal.com]

Радует одно: большинство сайтов при включении двухфакторного входа говорят "но если ты потеряешь девайс и потеряешь вот этот вот ключ восстановления, то вешайся сразу". Правда мало их и страшно далеки они.

[snsokolov.livejournal.com]

Бесплатная анкета для АНБ.