Найти тему
Alex
1 подписчик

Как вас взломают или Почему Гугл-аккаунт безопаснее Яндекса, а Яндекс, банки и прочие сервисы бездействуют.

140
3 мин

Данная статья не является рекламной, это моё личное мнение и мысли. Вы можете дополнить и написать свои. Я не эксперт. У Яндекса есть фишки круче Гугла, а у Гугла круче Яндекса. У той и другой площадки есть свои плюсы и минусы.


Эта небольшая статья будет посвящена защите ваших аккаунтов от мошенников, рекомендациями по предотвращению взлома вашего аккаунта Яндекса или Гугла, вреде и мифической безопасности двухфакторной аутентификации по коду подтверждения из смс.

Также будет поднята тема того, почему Гугл позаботился о безопасности, а крупнейшие банки и прочие онлайн-сервисы даже не шевелятся.

Знакомая ситуация?

-2

Практически все сервисы навязывают нам двухфакторную аутентификацию в качестве надёжного инструмента подтверждения личности для входа в аккаунты, перевода денег и т д...

На самом же деле, такой способ, с привязкой телефона к личному кабинету какого-либо сервиса, является серьёзной брешью в безопасности и держится только на добросовестности мобильных операторов.

Как действует мошенник. Дубликат сим-карты.

-3

Дело в том, что мобильные операторы, не только органам правопорядка позволяют перевыпустить сим-карту, сделать её дубликат можно, если вы предоставите доверенность на владельца сим-карты.
Получив номер телефона, мошенники делают поддельную доверенность на получение сим-карты. Для этого они подают заявление в филиале оператора на другом конце страны, либо обращаются в онлайн-каналы операторов через соцсети и прочее. Получив дубликат вашей симкарты, или же просто, вытащив вашу симкарту без пин-кода у потерянного/украденного вашего телефона, посторонний человек получает доступ практически ко всему.

  • Выход No1 (не очень надёжный) использовать сложный, нигде не повторяющийся пароль с отвязкой номера телефона.
  • Выход No3 Облачный пароль (немного более надёжный пример от Telegram). Без облачного пароля человек имея основной пароль и смс-пароль не сможет зайти.
  • Выход No3 (надёжный. Пример - Google) Пользоваться сервисами которые позволяют отвязать симкарту и подключить аутентификацию по TOTP.

TOTP - приложение аутентификатор, позволяющее генерировать одноразовые коды.

Скриншоты приложения Гугл-аутентификатор для мобильных устройств. Для компьютеров и ноутбуков есть расширение для браузера.
Скриншоты приложения Гугл-аутентификатор для мобильных устройств. Для компьютеров и ноутбуков есть расширение для браузера.

TOTP (Сейчас рассматриваем только пример решения от Google) - позволяет генерировать коды подтверждения исключительно на устройстве где установлен аутентификатор. Код генерируется каждые несколько секунд и сгорает после. Человек без доступа к динамическому коду который не сможет получить доступ. Мы тоже, при удалении приложения или же потере устройства (или нескольких) теряем доступ к аккаунту, но можем восстановить его через таблицу кодов, которую нас любезно просит сохранить и распечатать Гугл при настройке метода. При утере и этого листка - гугл будет просмить

Резервные коды восстановления, если у нас пропадёт доступ к приложению для аутентификации. Если потеряны и коды восстановления - здесь уже будет сложнее восстановить аккаунт.
Резервные коды восстановления, если у нас пропадёт доступ к приложению для аутентификации. Если потеряны и коды восстановления - здесь уже будет сложнее восстановить аккаунт.

Таким образом, чтобы зайти в ваш аккаунт, человек должен завладеть вашим телефоном, разблокировать его, разблокировать приложение аутентификатора (на нём тоже задаётся пин-код) и только потом зайти.Данный метод защищает на 99,9%.

Единственное, метод взлома данного способа - "атака посредника" Прослушивая трафик клиента, злоумышленник может перехватить посланный логин и одноразовый пароль (или хеш от него). Затем ему достаточно блокировать компьютер «жертвы» и отправить аутентификационные данные от собственного имени. Если он успеет это сделать за промежуток времени X, то ему удастся получить доступ. Именно поэтому X стоит делать небольшим. Но если время действия пароля сделать слишком маленьким, то в случае небольшой рассинхронизации клиент не сможет получить доступ. Стоит ли говорить что не все спецслужбы будут запариваться с этим методом...

Что предпринял Google, Telegram, попытался Яндекс, но не предприняли банки и даже Apple:

Что имеем:

  • Доступ к аккаунту Apple id - взламывается по запросу смс-кода подтверждения, отвязать симкарту нельзя (получен доступа к Icloud)
Вводим apple id, вводим номер телефона от apple id, получаем смс ко всем вашим данным на icloud
Вводим apple id, вводим номер телефона от apple id, получаем смс ко всем вашим данным на icloud

  • Яндекс - имеем приложение "Яндекс ключ" - хорошее и удобное, но - нажимаем кнопку "забыли проль" и посторонний человек может запросить смс для входа....
Восстановление доступа через запрос смс.
Восстановление доступа через запрос смс.
  • Telegram - ситуация лучше. Totp аутентификации из коробки нет, но зато есть облачный пароль, без ввода которого (если мы его конечно включили) - посторонний человек не войдёт в аккаунт.
  • Google - мы рассмотрели в этой статье что аккаунт пользователей этой площадки защищён хорошо. Без приложения(ий) или расширения TOTP, или таблицы кодов (при утере), - восстановить аккаунт будет сложно. Кто сталкивался с восстановлением - напишите. Буду благодарен.

Вывод и пожелания

Мне очень хотелось бы, как и всем Вам, чтобы пароли, которые я храню в браузере, моя почта, данные в облаке, контакты, банковские карты и прочее - были защищены. Как видим - прошло уже столько лет, а многие банки и площадки буд-то не видят проблемы...

1
Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются