Új hozzászólás Aktív témák

• #31499 ledgeri nagyúr Krystal_s #31498

  Új Válasz 2022-10-26 01:26:42 #31499

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  ledgeri

  nagyúr

  válasz Krystal_s #31498 üzenetére

  Ez a téma az ami miatt a TOTP-set be kellene állítani, míg nem az teszi aki lopta az egészet.

  Kétfaktoros és kétfaktoros közt is van különbség. Az egyik lehet SMS, ami függ a FB és vele szerződött szolgáltatótól, a felhasználó és a vele szerződött szolgáltatótól, és a két szolgáltató közti tértől. Vagy lehet TOTP, ami egyszeri, biztonságos kapcsolat meglététől, utána viszont csak az időtől. Egyik ki tudja mennyi kapcsolat, másik egyszeri. Egyik mindig nyitott csatornán leshető, másik lehet full oflline. Nem mindegy melyik kódról beszélünk!
  A linkelted pont csak az SMS-esről szól, mig az aktuális a TOTP-sről is, ami nagy különbség.
  Én is egyszer egy hétig izzadtam, mert a gmailemhez nem jött meg az SMS... tudom milyen az.

  Olvasd el a szöveged és gondold el, hogy milyen lenne fordítva. Mi lenne, ha te mész el valahova, teljesen máshova, egyik napról a másikra (20 óra alatt lehet 18000Km-t repülni), és ott próbálsz meg belépni, és a rendszer nem enged mert szerinte nem te vagy, pedig juj de fontos lenne. Ezalatt meg valaki -mondjuk tudván, hogy te utazol- pont bemegy adategyeztetni a szolgáltatódhoz, épp lekenyerzvén Marikát aki átírja a számot egy új sim-re, és haverja meg az alapból is változó-IPs házad zónájában kilyukadó VPN-nel "épp a környéken van". A facebooknak ezt hogy kéne kezelni? Mi alapján valósabb az egyik mint a másik? Ja hogy vitted magaddal a TOTP-s kódodat. TE vagy te...

  A facebook jogosan vonhatja a vállát, hisz ma már minden a lopkodásokról szól, arról, hogy miért kell a jó(!) többfaktor. Ad lehetőséget, hogy megadjon a felhasználó megbízható embereket, ilyesmik. Ha az adott felhasználó ezekkel nem él, és elveszíti fiókját nem tehet kivételt, mert annak hitelességét pont úgy meg lehet játszani rendesen, mint kijátszani nem rendesen: "elég ha az arcod és a neved látszik"... persze. Ha igaz akkor egy jó plasztik kártya simán elmegy hitelesnek, ha meg látszódnak a számok is, akkor vajon hozzáfér-e a facebook ahhoz az adatbázishoz amihez pl a szolgáltatóknak feltöltős adategyeztetéskor kell, és a FB tudja-e azonosítani a felhasználót, akiről egyébként alapból csak annyit tud amit beírt, és pl sosem töltött fel képet magáról, mások meg be sem tag-elték képen?

  Aki egyszer veszít így, megtanulja. Aki utánanéz, megtanulja. A köztes meg majd beleesik valamelyikbe, vagy szerencsés, hogy nem. Minden védelmi funkció ésszerű használata nem paranoia. A facebookot nem mi, innen fogjuk megváltani, megváltoztatni. De addig meg, ha számunkra fontos adatokat generálunk benne, akkor azt védjük is ha annyira fontos!

Új hozzászólás Aktív témák