Госуслуги начали выборочно давать доступ к сайту исключительно по максу. Пока не поздно, имеет смысл настроить вход по TOTP.

@lautre ТОТР?

@th3rdsergeevich @lautre
Time-based One-Time Password.
Собственно в любой непонятной ситуации лучше использовать его вместо SMS или тем более малвари.

@th3rdsergeevich двухфакторная аутентификация

@th3rdsergeevich @lautre aka "Google Authenticator" aka "Authy" aka генератор паролей aka IETF RFC 6238

@skobkin

@dside @th3rdsergeevich @lautre
Aka Aegis если нужно свободно и с шифрованными бекапами не в облако.

@skobkin Aegis'ом его сервисы не называют, насколько я наблюдал, а я сейчас именно об этой стороне проблемы. На первых порах его называли прям конкретными приложениями, потому что кроме них ничего толком не было. Я даже застал период, когда Authy пыталась это вендорлокнуть, используя такой же алгоритм, но усечение до 7 цифр, к чему некоторые генераторы оказывались не готовы

А сейчас да, тонны их. И Aegis хорош, плюсую.

@th3rdsergeevich @lautre

@dside @th3rdsergeevich @lautre

Aegis'ом его сервисы не называют, насколько я наблюдал

Да, тут ты прав. Сервисы его обычно называют Google / Microsoft Authenticator.

Я же писал о том что как раз "называемые" аутентификаторы лучше не юзать если хочется нормального хранения и бекапа секретов.

@skobkin @dside @th3rdsergeevich @lautre

Да, тут ты прав. Сервисы его обычно называют Google / Microsoft Authenticator.

Некоторые могут и другие приложения предлагать.

Но просто держу в курсе, что KeePassXC, KeePassDX и многие другие поддерживающие kdbx программы тоже поддерживают TOTP в своих базах данных паролей. А на ПК для TOTP без базы паролей есть ещё “Аутентификатор“ от GNOME и не только.

@zvezdochetia @skobkin @dside @th3rdsergeevich ничего лучше vaultwarden мне кажется не придумали.

@zvezdochetia @lautre @dside @th3rdsergeevich

держу в курсе, что KeePassXC, KeePassDX и многие другие поддерживающие kdbx программы тоже поддерживают TOTP

Ну, технически как бы да, но с другой стороны это уже не совсем второй фактор если секрет лежит вместе с паролем.

Да, это всё ещё безопаснее, чем просто пароль при ряде векторов, но...

@skobkin @lautre @dside @th3rdsergeevich

Да, но файлы kdbx по крайней мере зашифрованы, в то время как ряд приложений для второго фактора (возможно, даже Aegis, но не могу быть уверенным) сохраняет бекапы нешифрованными.

То есть, при восстановлении из бекапа достаточно иметь лишь файл. И ещё Аутентификатор ГНОМа вроде как открывается сразу с генерациями, без просьбы ввести пароль. Хотя, возможно, его база со вторыми факторами зашифрована, я не знаю.

Да, разумеется, это перестаёт быть прямо вторым фактором.

Но если, допустим, я — такой глупец, что мне сейчас удобство важнее прироста безопасности, хранить пароль и секрет в зашифрованной базе — это лучше, чем хранить пароль в браузере, или 2FA по SMS. Как мне кажется.

Ну а ещё на данный момент я уверен в надёжности пароля от паролей. И уверен в том, что взлом моего телефона/компьютера маловероятен. Поэтому лично для меня на данный момент удобнее делать так, как я делаю.

И да, самые большие риски я вижу у людей, которые хранят пароли в не зашифрованном виде, используют один пароль на множестве сервисов и уязвимы к фишингу.

Забавный факт — судя по всему, один придуманный мною где-то в 10 лет пароль, довольно короткий (8 < password < 15 символов), всё ещё ни разу не взломан и его никто, вероятно, не использовал из тех людей, чьи пароли were pwned. Хотя мне он сейчас кажется довольно тупым и простейшим для взлома.

@zvezdochetia @lautre @dside @th3rdsergeevich

Нормальные приложения сохраняют секреты от своей шифрованной базы в защищённых хранилищах Android, которые обычно hardware-backed.

возможно, даже Aegis, но не могу быть уверенным

Aegis МОЖЕТ (вроде) забекапиться в открытую если тебе сильно нужно. Это как бы FOSS, который честен с тобой и если попросишь - даст выстрелить себе в ногу.

Но вообще там поддержка AES-256 и, если мне не изменяет память, интеграция с OpenKeychain как и в почившем andOTP.

Поэтому лично для меня на данный момент удобнее делать так, как я делаю

Я просто к тому, что, возможно, не стоит это всем рекомендовать. Или если говоришь об этом - делать дисклеймер, что это менее безопасно.

И да, самые большие риски я вижу у людей, которые хранят пароли в не зашифрованном виде, используют один пароль на множестве сервисов и уязвимы к фишингу

Это мы тут даже не обсуждаем.

@skobkin > в почившем andOTP

Эээ, а что с ним? Я им пользуюсь до сих пор :(

@zvezdochetia @lautre @dside @th3rdsergeevich

@Revertron @zvezdochetia @lautre @dside @th3rdsergeevich
Ну типа... релиз 4 года назад, на Github он archived by owner.

Но Aegis его практически безболезненно заменил - даже по-моему впитав бекап, т.к. у них по-моему общая кодовая база.

Разве что к andOTP наборы иконок сервисов шли в комплекте, а к Aegis надо пакет скачивать (но зато их несколько и они более свежие).

@skobkin @zvezdochetia @lautre @dside @th3rdsergeevich то есть, можно продолжать использовать.