Один из самых интересных подкастов, которые я слушал за последнее время. Включил его на фон изначально, но теперь как разработчику очень захотелось переслушать его более вдумчиво. Огромный респект гостю и ведущим за интересный вечер)
25:52 Bratan-based authentication есть, например, в WeChat при авторизации на новом устройстве в отсутствии старого (например, потеряли телефон). Тогда помимо того, что нужно указать код из смс, для авторизации нужно, чтобы тебе отправили определенный код как минимум 2 контакта, с кем ты недавно общался.
Один из немногих выпусков, где при прослушивании, даже не видя лица, я ржал с шуток. Потом просмотрел пару моментов и еще раз посмеялся с того, с какими усилиями сдерживались ведущие
потрясающий выпуск! спасибо вам большое!!! касательно темы пропуска пушей, когда не успел прочесть пуш или пропустил - с android 11+ есть notification history. про apple дополните, кто знает
Жду продолжение. Тема безопасности очень обширная. Можно добавить более расширено поговорить о конкретных реализаций. Плюсы, минусы и область применения.
На счет сброса паролей - если пароль злоумышленник подбирается перебором , то обновляя пароль быстрее чем этот перебор завершится , ты фактически сводишь к нулю шанс взломать тебя таким способом. Далее , даже если пароль украли . бывает нужно еще время что бы им воспользоваться , не всегда сразу злоумышленник понимает что пароль подошел (например троян скидывает отчеты раз в неделю) , не всегда злоумышленник сразу пытается сменить его на свой , допустим уходит на это несколько дней - неделя , и опа , ты даже не зная что тебя уже взломали просто его меняешь и снова у злоумышленника облом. В общем . чем чаще меняешь , тем меньше шансов попасть.
Как-то мало раскрыта тема того, что если ты поехал в отпуск и, например, твой номер ограбили, пока ты спал (было такое) или вот СБ всё отобрала, то ты вообще остался без техники и всего своего цифрового багажа. Весь выпуск ждал, что к этому вернутся.
1:24:06 А yubikey со встроенным в него сканером отпечатка пальца ? Чтобы зашить в него ключ отпечатка, сканировать его перед изготовлением. Тогда утеря yubikey не проблема.
Здравствуйте! Благодарим за выбор Kaspi.kz! Действительно, Kaspi.kz надежно защищает данные клиентов. В мобильном приложении целый ряд этапов безопасности: от прохождения фотоверификации до подтверждения заявки SMS-кодом. (Ваш #KaspiГид Карина)
GSM провайдеры активно с этим борются, т.к. фактически увеличиваются затраты по содержанию сети. В условиях пользования услугами связи как правило есть какая-то общая оговорка о нецелевом использовании и операторы просто отключают номера таких сервисов.
Не знаю насчет паролей чегото мало рассказали.. У меня пароли лежат в password manager типо keypass с локальным файликом на компе, генерим ключ с длиной 20символов (30 если сильно параноим), и забываем его навсегда, доступ к паролям через ubikey подобное устройство. Прикручиваем плагин в браузер и все. Везде разные пароли. При утере юбикея ничего не теряешь (просто держи дубликат где нить). Хотя например тот же oauth, totp, webauth тоже вполне вариант которыми я пользуюсь.
Меня бесит, что нет приложений на ПК для пуш уведомлений. я владею своим ноутбуком/ПК, я хочу получать код на это устройство, но ни гугл ни майкрософт не додумаются сделать для него приложение, вот где безобразие творится. Телефон у меня могут просто из рук украсть, с ноутбуком это гораздо тяжелее, ну и дополнительно, есть сервисы, в которые я захожу только с ноутбука, при этом телефон я могу дома забыть, почему я должен страдать!? В общем по возможности всегда использую только пароли, лишь потому что я не хочу использовать приложения аутенфикации на телефоне
Для пк можно установить NoxPlayer (эмулятор андройда), иногда быстрее чем тянутся до телефона. И в качестве бэкапа (на случай потери телефона) советую иметь копию важных приложений).
Кажется, твоя задача решается кодами из auth-приложений. Для них есть приложения на комп. И можно просто в качестве второго фактора подключить приложение
@@axtrace Ну в идеале, чтобы не только коды, но и пуши тоже работали, у нас есть аутенфикация, требующая ввести код на телефоне, и я без понятия как это перенести на комп. На компе если что Linux.
@@AlexAlex-jk2tn Ну тогда проще будет KDE Connect или подобное чтобы быстро зайти на телефон с ПК. Я лично юзаю Parsec app, это супер быстро как с ПК на телефон так и в обратную сторону.
Почему юбикей спасает от социальной инженерии? Если нет Кевин устроится ко мне на работу, закоркшится со мной и в один момент скажет, что надо одобрить платёжку. Пальчиком к юбикей прикоснусь, ведь мы в хороших отношениях с Кевином
Один из самых интересных подкастов, которые я слушал за последнее время.
Включил его на фон изначально, но теперь как разработчику очень захотелось переслушать его более вдумчиво.
Огромный респект гостю и ведущим за интересный вечер)
Один из лучших подкастов про технологии идентификации, аутентификации и авторизации🫶
Классная тема, отличный гость, было очень кайфово послушать. Спасибо
25:52 Bratan-based authentication есть, например, в WeChat при авторизации на новом устройстве в отсутствии старого (например, потеряли телефон).
Тогда помимо того, что нужно указать код из смс, для авторизации нужно, чтобы тебе отправили определенный код как минимум 2 контакта, с кем ты недавно общался.
Один из немногих выпусков, где при прослушивании, даже не видя лица, я ржал с шуток. Потом просмотрел пару моментов и еще раз посмеялся с того, с какими усилиями сдерживались ведущие
потрясающий выпуск! спасибо вам большое!!!
касательно темы пропуска пушей, когда не успел прочесть пуш или пропустил - с android 11+ есть notification history. про apple дополните, кто знает
Жду продолжение. Тема безопасности очень обширная. Можно добавить более расширено поговорить о конкретных реализаций. Плюсы, минусы и область применения.
По поводу ory kratos, то её можно в self hosted, и выглядит вроде круто, есть ещё authelia, authentik.
Почему код на почту - это такой же фактор как и сис? Владение чем я подтверждаю?
На счет сброса паролей - если пароль злоумышленник подбирается перебором , то обновляя пароль быстрее чем этот перебор завершится , ты фактически сводишь к нулю шанс взломать тебя таким способом. Далее , даже если пароль украли . бывает нужно еще время что бы им воспользоваться , не всегда сразу злоумышленник понимает что пароль подошел (например троян скидывает отчеты раз в неделю) , не всегда злоумышленник сразу пытается сменить его на свой , допустим уходит на это несколько дней - неделя , и опа , ты даже не зная что тебя уже взломали просто его меняешь и снова у злоумышленника облом. В общем . чем чаще меняешь , тем меньше шансов попасть.
отличный выпуск, спасибо!
Как-то мало раскрыта тема того, что если ты поехал в отпуск и, например, твой номер ограбили, пока ты спал (было такое) или вот СБ всё отобрала, то ты вообще остался без техники и всего своего цифрового багажа. Весь выпуск ждал, что к этому вернутся.
1:24:06 А yubikey со встроенным в него сканером отпечатка пальца ? Чтобы зашить в него ключ отпечатка, сканировать его перед изготовлением. Тогда утеря yubikey не проблема.
Авторизация от Автора есть идет 😉
От authority же
Интересно, что мешает боту записать движение мыши пользователя и воспроизводить её с некоторыми случайностями
Сложность реализации и знание того, что трекается мышь?
А вот если человек впервые регистрируется как тогда JWT токен получить или как то по-другому делать, если вопрос тупой то простите я не бэкендер)
У нас в Kaspi банке webauthn уже более 5 лет как есть, после регистрации можешь входить и делать транзакции по отпечатку, faceid, пин коду или смс
Здравствуйте!
Благодарим за выбор Kaspi.kz!
Действительно, Kaspi.kz надежно защищает данные клиентов.
В мобильном приложении целый ряд этапов безопасности: от прохождения фотоверификации до подтверждения заявки SMS-кодом. (Ваш #KaspiГид Карина)
Более дешевая (как я думаю) альтернатива SMS есть: введите последние цифры номера, с которого сейчас поступит звонок
GSM провайдеры активно с этим борются, т.к. фактически увеличиваются затраты по содержанию сети. В условиях пользования услугами связи как правило есть какая-то общая оговорка о нецелевом использовании и операторы просто отключают номера таких сервисов.
Сложные щи - это хорошо
Не знаю насчет паролей чегото мало рассказали..
У меня пароли лежат в password manager типо keypass с локальным файликом на компе, генерим ключ с длиной 20символов (30 если сильно параноим), и забываем его навсегда, доступ к паролям через ubikey подобное устройство. Прикручиваем плагин в браузер и все. Везде разные пароли. При утере юбикея ничего не теряешь (просто держи дубликат где нить).
Хотя например тот же oauth, totp, webauth тоже вполне вариант которыми я пользуюсь.
Чисто про пароли и их безопасное хранение мы отдельный выпуск в будущем планируем.
1:14:20 Госуслуги сейчас тоже довольно активно свою централизованную аутентификацию продвигают.
Меня бесит, что нет приложений на ПК для пуш уведомлений. я владею своим ноутбуком/ПК, я хочу получать код на это устройство, но ни гугл ни майкрософт не додумаются сделать для него приложение, вот где безобразие творится. Телефон у меня могут просто из рук украсть, с ноутбуком это гораздо тяжелее, ну и дополнительно, есть сервисы, в которые я захожу только с ноутбука, при этом телефон я могу дома забыть, почему я должен страдать!? В общем по возможности всегда использую только пароли, лишь потому что я не хочу использовать приложения аутенфикации на телефоне
Есть, pushbullet
Для пк можно установить NoxPlayer (эмулятор андройда), иногда быстрее чем тянутся до телефона. И в качестве бэкапа (на случай потери телефона) советую иметь копию важных приложений).
Кажется, твоя задача решается кодами из auth-приложений. Для них есть приложения на комп. И можно просто в качестве второго фактора подключить приложение
@@axtrace Ну в идеале, чтобы не только коды, но и пуши тоже работали, у нас есть аутенфикация, требующая ввести код на телефоне, и я без понятия как это перенести на комп. На компе если что Linux.
@@AlexAlex-jk2tn Ну тогда проще будет KDE Connect или подобное чтобы быстро зайти на телефон с ПК. Я лично юзаю Parsec app, это супер быстро как с ПК на телефон так и в обратную сторону.
Так в Авито, потому что люди берут новые телефонные номера, чисто для продажи или покупки чего либо. А основной номер остаётся.
Образец днк самое простое, что можно украсть, кроме конечно великага и магучага , за которым чемодан для этого носят.
У меня до сих пор такое поведение у Skype
Все у нас через опу
Почему юбикей спасает от социальной инженерии? Если нет Кевин устроится ко мне на работу, закоркшится со мной и в один момент скажет, что надо одобрить платёжку. Пальчиком к юбикей прикоснусь, ведь мы в хороших отношениях с Кевином
+