Comments 72
Сжечь офис Билайна
Параноика-то я включил, а как его теперь хотя бы временно отключить обратно? Спать очень хочется =[
Зашел в статью из-за КДПВ с брелком… Надеялся, что в статье прочитаю о повсеместном внедрении таких брелков…
Статью понимаю и разделяю… но… где мой брелок????
Статью понимаю и разделяю… но… где мой брелок????
увы, я сейчас сам с брелком на руках, а везде внедряют поддержку Google Authenticator, а он на телефоне. Как раньше прям, драйвера от модема на диске, драйвера от cd-rom в интернете…
Поддерживаю. В чём новизна статьи — не вижу. «Безопасность важна» + кратко описать пару последних примеров + снова напомнить будьте параноиком = PROFIT!!! И минусовать же нельзя — это же тема безопасности, о ней никогда не бывает достаточно бла бла бла. Священная корова, в общем эта ваша тема безопасности.
А то, что пишутся совершенно однотипные статьи, одни и те же однотипные истории — это никого не волнует.
Спасибо автору за то, что убрал примеры под кат — я развернул только первый, глянул первый абзац и понял, что это читал — закрыл. Остальные даже не стал смотреть. Тема брелка не раскрыта.
А то, что пишутся совершенно однотипные статьи, одни и те же однотипные истории — это никого не волнует.
Спасибо автору за то, что убрал примеры под кат — я развернул только первый, глянул первый абзац и понял, что это читал — закрыл. Остальные даже не стал смотреть. Тема брелка не раскрыта.
последний кат вы точно не читали, но в целом он повторяет второй. Дело не в профите. У меня нет самоцели продвижения на хабре, цель лишний раз напомнить и предостеречь людей.
Я вот себя параноиком считал, однако почта яндекса и Mail.ru была без дополнительной защиты. Mail.ru и сейчас, кстати, там тупо не включилась двухфакторка :) поле ввода пароля работает если ввести неверный – ругается. И ничего не делает если ввести верный пароль, хотя я ответ сервера не смотрел, может там понятное.
Статей про то как настроить безопасность много, а действовать начинают обычно живые примеры, которые рядом или с тобой происходят. Все 3 произошли рядом со мной, на расстоянии 1 руки, это и побудило напомнить.
Некоторые мои друзья (далеко не все), прочитавшие эту статью — включили дополнительную аутентификацию, а значит цель моя достигнута.
Я вот себя параноиком считал, однако почта яндекса и Mail.ru была без дополнительной защиты. Mail.ru и сейчас, кстати, там тупо не включилась двухфакторка :) поле ввода пароля работает если ввести неверный – ругается. И ничего не делает если ввести верный пароль, хотя я ответ сервера не смотрел, может там понятное.
Статей про то как настроить безопасность много, а действовать начинают обычно живые примеры, которые рядом или с тобой происходят. Все 3 произошли рядом со мной, на расстоянии 1 руки, это и побудило напомнить.
Некоторые мои друзья (далеко не все), прочитавшие эту статью — включили дополнительную аутентификацию, а значит цель моя достигнута.
Хех вот почему я не когда не хотел к номеру привязывать а тока к google authenticator
А что мешает использовать и то и то? Да и google authenticator доступен, если не изменяет память, при привязанном телефоне, на случай если с google authenticator беда (в таком случаи приходит смс на телефон). У меня какой-то глюк уже с пол года, google authenticator не хочет нормально работать, хоть и переустанавливал пару раз, коды левые генерирует, не проходят. Теперь лишь смс работает. С чем может быть проблема не знаю.
P.S. Еще бы все сервисы подтянулись с необходимыми изменениями, а то в банках до сих пор используют «ключевое слово» для общения с сотрудниками колл-центра. И, хорошо если я ошибусь, но ни один банк пока не сделал авторизацию через телефон нормально.А нормально это как? У сити, например, авторизация через номер карты и специальный телефонный пин, которые набираются после дозвона, — это считается секурным?
И ещё как-то странно видеть призывы включить аутентификацию по телефону после первого описанного случая.
И ещё как-то странно видеть призывы включить аутентификацию по телефону после первого описанного случая.
Где такой призыв?
Вообще, двухфакторная авторизация не обязательно включает в себя телефон. Она включает два любых метода авторизации.
Ну а во вторых смысл двухфакторной авторизации в том, что даже если один из ключей будет скомпрометирован — второй не даст злоумышленнику получить доступ к системе.
ни в коем разе к телефону. Это скорее от безысходности, когда больше ничего нет :) нормально это как нибудь не очевидно для окружающих. Я вот думал, что удобно было бы если бы сотруднику банка показывалась часть кодового слова, а приходилось бы называть другую часть. Или показываем рандомных 3 слова, сотрудник их читает, а ты называешь цифрой верное. Ну в таком ключе. Я не специалист по безопасности и не знаю так ли эти варианты надежны, но интуиция подсказывает, что они более безопасны чем стандартный метод.
От подслушивания это все равно не спасёт.
Насколько я слышал, в некоторых банках анализируют еще и голос абонента, знание кодового слова может не помочь. иногда могут спросить не только кодовое слово, а еще что-то из доступной информации — дату рождения и т.п. защита слабая, но и она отсекает некоторый процент не подготовившихся мошенников узнавших только номер карточки и кодовое слово.
Насколько я слышал, в некоторых банках анализируют еще и голос абонента, знание кодового слова может не помочь. иногда могут спросить не только кодовое слово, а еще что-то из доступной информации — дату рождения и т.п. защита слабая, но и она отсекает некоторый процент не подготовившихся мошенников узнавших только номер карточки и кодовое слово.
согласен, сталкивался с радномными вопросами из анкеты, но все они вполне предсказуемы и однотипны. В том плане, что если мошенники пользовались этим банком какое то время они с вероятностью 99% будут знать все возможные вопросы оператора. Про голос не знал, интересно как быть с охрипшим голосом или плохой связью.
Все звонки записываются, если мошенники часто пользуются одним и тем же банком, их легко вычислить.
habrahabr.ru/company/croc/blog/184980
От себя добавлю, что если раньше мне требовалось много информации при звонке в банк называть для действий со счетом, сейчас часто спрашивают по минимуму, для аналогичных операций…
От себя добавлю, что если раньше мне требовалось много информации при звонке в банк называть для действий со счетом, сейчас часто спрашивают по минимуму, для аналогичных операций…
Видимо вас там уже знают? Меня вообще не спрашивают, а сразу обращаются по имени.
Скорей определяют по голосу, на мониторе у них высвечивается «98% совпадение» и подтягивается сразу весь необходимый профиль.
Небось, у них даже особенности телефонного тракта учитываются и они смогут определить смену телефона даже по искажению голоса.
Небось, у них даже особенности телефонного тракта учитываются и они смогут определить смену телефона даже по искажению голоса.
— Назовите, пожалуйста, кодовое слово: на «ЛЯ» начинается, на «ГУШКА» заканчивается…
— «ТРАКТОР»
— Ответ верный, ждите соединения.
Таким образом, вероятность злоумышленника узнать ключевое слово с одного раза — 1/3.
Вероятность группы злоумышленников угадать кодовое слово с трех звонков (с перерывами, в разные дни) — около единицы.
Либо надо уведомлять пользователя о том, что его кодовое слово пытались назвать — каждый раз, независимо от успешности.
Вероятность группы злоумышленников угадать кодовое слово с трех звонков (с перерывами, в разные дни) — около единицы.
Либо надо уведомлять пользователя о том, что его кодовое слово пытались назвать — каждый раз, независимо от успешности.
>В общем, мне сказали что с мак буком дело сложнее. И мне надо ехать в сервисный центр с чеком, коробкой, за деньги восстанавливать. Позвонила. За час доехала. Мне сделали за !6! минут и 3к руб.
Вот это больше всего доставило. Корпорация добра, однако.
Вот это больше всего доставило. Корпорация добра, однако.
Меня вообще крайне удивило, что имеется принципиальная возможность взломав телефон что-то сделать с ноутбуком. Я сам никакими огрызками не пользуюсь, но примерно представляю, что в случае взлома моего смартфона и получения полного к нему доступа, худшее что я потеряю это историю почты и аккаунт вконтакте. (Причем с большой вероятностью и то и другое смогу восстановить).
Вообще, есть обидная ситуация: Яндекс для включения двухфакторной аунтификации… требует привязать ящик к номеру телефона.
Так и не увидел в статье дельных советов — как защититься от перевыпуска сим-карты.
В наших реалиях множество важных сервисов используют двухфакторную аутентификацию в качестве однофакторной — привязка к номеру телефона самый яркий пример.
Тут можно параноика хоть включить, хоть выключить, хоть за соски к автомобильному аккумулятору подцепить — толку ноль. Сама система такая.
В наших реалиях множество важных сервисов используют двухфакторную аутентификацию в качестве однофакторной — привязка к номеру телефона самый яркий пример.
Тут можно параноика хоть включить, хоть выключить, хоть за соски к автомобильному аккумулятору подцепить — толку ноль. Сама система такая.
UFO just landed and posted this here
Я не указал почту, а сим утеряна(собственно поэтому я и обратился за заменой), куда придет код? В статье было написано как раз, что возможно и без кода. Надо просто подождать 40минут.
UFO just landed and posted this here
Мысль не в этом таки была. Здесь не техническая проблема, проблема опсоса, в том, что ему наплевать. Если в банке разгребают моментально каждый случай и отрубают руки по самую майку, то случаев когда сотрудник присвоил деньги — по пальцам пересчитать. И не надо никаких технических мер. В статье один и тот же абонент бьется головой об стену а его симку все время выдают левым кадрам, билайн просто плевать хотел на проблемы безопасности. Не поднялось никакой тревоги, случай произошел — реакции не последовало.
UFO just landed and posted this here
Сотрудник владеет всеми данными, включаю статистику(как часто используется счет, где когда и тд) что бы вывести деньги так что бы было незаметно и что бы не подумали на него. Но каждый случай разбирается досканально и при любых подозрениях можно вкиснуть очень некисло, не дай бог рецедив, тогда вплоть до уголовки с моментальным отстранением до выяснения. Там реально жестко все а технические возможности есть без этого просто никак. У меня там знакомая работает. Не так давно был случай, пришел один чел с чужим паспортом, снял деньги, то ли похож, то ли фотку вклеил, не помню подробностей. Потом приходит владелец и спрашивает где деньги? Влип сотр, на деньги, премию. что то еще. С ним руководитель отделения и его зам, те просто влипли на премию(которая у них бОльшая часть зп) и еще от руководства выхватили.
Так, к слову. Пару лет назад померла симка Пчёлайна. Пришел к ним в офисе, в руках симка. Говорю не работает, замените пожалуйста. Паспорт в руках, закрыт. Спрашивают номер, спрашивают пару последних номеров куда я звонил — выдают симку. Паспорт не смотрят. В итоге, имея доступ к личному кабинету и имея детализацию по звонкам — иди и забирай симку. Не знаю, практика у них такая или что. С женой (еще до свадьбы) помню ездили симку ее восстанавливать лет 5 назад. Только симка была на отца ее зарегистрирована. Паспорт конечно посмотрели, фамилии вроде схожи, симку дали.
Видел противоположный случай. Перерегистрация симки с оригинального владельца (умерший близкий родственник) на нового. Одинаковая фамилия, наличие работающей старой симки на руках, паспорта и копии свидетельства о смерти — недостаточно (нужен оригинал). Тоже пчелайн.
Так что раз на раз не приходится.
Так что раз на раз не приходится.
Похоже на архитектурный косяк… система открытая донельзя — делай что хочешь и от злоупотребления останавливает только люди на местах.
Ну тобишь функциональность выдачи новой карты доступна независимо от запретов и защит, а все эти запреты — всего лишь дополнительные строки в профиле абонента, может даже красные. Или большая зеленая кнопка «абонент предоставил паспорт», разблокирующая нужную функцию.
Ну тобишь функциональность выдачи новой карты доступна независимо от запретов и защит, а все эти запреты — всего лишь дополнительные строки в профиле абонента, может даже красные. Или большая зеленая кнопка «абонент предоставил паспорт», разблокирующая нужную функцию.
Более-менее адекватные банки в управляющих смс-ках проверяют айди симки. При смене айди (симки) — операции блокируются пока доступ новой симке не разрешат (по телефону/лично в офисе).
а можно, хотябы в личку, названий адекватных банков с такой проверкой? пруфы врядли где-то есть видимо?
Ваша статья далеко не первая на хабре, касающаяся проблемы увода симок — в предыдущих статьях отписывались люди, которые указывали на конкретные банки, которые блокировали операции по смс при смене симки. Так же видел комментарии от служащих банков, которые указывали на этот функционал в их банках. Вообще самый простой способ узнать — спросить у представителей конкретного банка. Если они не знают, что это такое, и не могут ни у кого узнать — значит функционал не поддерживается.
Кто бы сомневался, что она первая :) спасибо, посмотрю и своим задам вопрос.
Слышал про некоторые из таких банков, что блокировка не мгновенная, ID по всей видимости кэшируется (т.е. проверяется не каждый запрос), поэтому если подгадать время (был запрос от вас, через пять минут перевыпустили симку и сделали запрос с новой) — можно успеть получить SMS на новую симку до блокировки… Либо сами операторы передают с задержкой…
Могу сказать про банк Тинькова: год назад после восстановления симки в офисе оператора надо было заново привязывать через оператора банка.
Альфа-банк, пруф toster.ru/q/157245
Альфа-банк. Сам столкнулся давича.
Перевыпуск симки — это для девочек на рецепшен. Технари просто отловят смс на заданный номер (или отправят его с этого номера). Или сделают звонок с номера жертвы. Или перехватят такой звонок. А вот найти такую утечку и ее авторов будет на-амного сложнее…
Купить около метро/оформить на себя еще одну симкарту другого провайдера, вставить её в телефон за 500 руб. и на особо важных сервисах использовать этот номер для аутентификации. Уж лучше так, чем завязывать всё на одном телефоне.
И не забывать о периодической активности этого телефона чтобы номер не вернулся в свободный доступ.
И отслеживать автоназначение левых услуг, выдаивающих баланс.
И так далее, и тому подобное.
И отслеживать автоназначение левых услуг, выдаивающих баланс.
И так далее, и тому подобное.
Давно такая мысль посещает. Воткнуть её в старый телефон, подрубить к домашнему компу, ну и софтово реализовать пересылку необходимых смс, там же можно реализовать периодическую активность, чтоб не сдох номер. Сейчас правда мысль уже крутится не подрубать к компу, а на смартфоне чтоб работало, без участия компа.
В сбербанке самое дно, злобная двухфакторная аутентификация на сайте (на вход и далее на любой чих пароль на телефон приходит). Хотя https и у меня сложный цифробуквенный пароль. Зато имея телефон/симку можно легко увести деньги на чужой счет, отправив смску на номер 900. Подтвержение операции приходит опять в виде смски на тот же телфон. Пользуюсь, но опасненько. Как это исправить, я не знаю.
Вы тут пишите как легко взламывают телефоны. Тогда какой смысл привязывать почтовые ящики к телефону, если это даёт полный доступ к аккаунту?
Как и написали выше я нигде не пишу про то, что НУЖНО привязывать к телефону, двухфакторная ≠ sms, она может быть через ключ One Time Password (OTP) аппаратный или в виде приложения. Печаль в том, что по всей видимости нужно носить при этом 2 телефона. 1 обычный, а второй с ключами, чтоб если основной заблокируется/украдется – воспользоваться вторым было возможно, а вот аппаратные не понятно где использовать и как.
Вот есть у меня OTP устройство, генерирует пароли, но это банковская игрушка, остальные ее не особо то и поддерживают. Яндекс позволяет включить генератор только через свое приложение Яндекс.Ключи, если я правильно помню.
Google Authenticator к ним привязать не удалось.
Альфабанк позволяет использовать подобное приложение, но платно. Получается уже 3 разных приложения.
Причем Google Authenticator открывается без пароля, не знаю как у Альфы дела обстоят с этим.
У гугла мне политика меньше нравится чем у Яндекса, я не нашел способ дополнительной защиты (про iOS речь) приложения почты, Inbox или тот же GA. Они просто открываются и работают. Большая часть людей использует 4х значный пин-код устройства (причем далеко не все отличаются фантазией), который можно подсмотреть и получить доступ к почте и критичным данным.
Да что говорить, постоянно вижу людей в магазине, которые расплачиваясь картой совершенно открыто вводят пин-код.
Мне там выше задавали вопрос, зачем я это пишу? Еще один жизненный пример. Краем уха услышал разговор. Из сумки вытащили документы, теперь ношу с собой только копии, потому что замучалась восстанавливать. Люди шевелятся только ПОСЛЕ события.
Я из города Сочи, там есть ОПГ – цигане. Я их в лица уже знаю почти всех и вижу как их дети вырастают и приходят на помощь родителям. Они работают по одной схеме уже много лет, практически в одних и тех же местах, пытаясь скрыться более современной атрибутикой, но их всё равно видно, по взгляду, по стилю, по поведению. Пользуются глупостью и не внимательностью людей. Последнее время они на столько борзо себя вели, что приходилось людям (потенциальным жертвам) показывать, что они сами подставляются. Да и от себя отгонял их неоднократно. Но задумываться сами люди начнут, скорее всего, ПОСЛЕ потери чего то ценного. Такие «цигане» есть в любом курортном городе, местные люди обычно стараются предупредить. В барселоне мне официант как то сказал: «Не держи фотик на столе и телефон спрячь, пробегают и забирают». Это ведь просто, но не всегда очевидно. Курорт дополнительно расслабляет людей. А сколько можно потратить нервов?
Вот есть у меня OTP устройство, генерирует пароли, но это банковская игрушка, остальные ее не особо то и поддерживают. Яндекс позволяет включить генератор только через свое приложение Яндекс.Ключи, если я правильно помню.
Google Authenticator к ним привязать не удалось.
Альфабанк позволяет использовать подобное приложение, но платно. Получается уже 3 разных приложения.
Причем Google Authenticator открывается без пароля, не знаю как у Альфы дела обстоят с этим.
У гугла мне политика меньше нравится чем у Яндекса, я не нашел способ дополнительной защиты (про iOS речь) приложения почты, Inbox или тот же GA. Они просто открываются и работают. Большая часть людей использует 4х значный пин-код устройства (причем далеко не все отличаются фантазией), который можно подсмотреть и получить доступ к почте и критичным данным.
Да что говорить, постоянно вижу людей в магазине, которые расплачиваясь картой совершенно открыто вводят пин-код.
Мне там выше задавали вопрос, зачем я это пишу? Еще один жизненный пример. Краем уха услышал разговор. Из сумки вытащили документы, теперь ношу с собой только копии, потому что замучалась восстанавливать. Люди шевелятся только ПОСЛЕ события.
Я из города Сочи, там есть ОПГ – цигане. Я их в лица уже знаю почти всех и вижу как их дети вырастают и приходят на помощь родителям. Они работают по одной схеме уже много лет, практически в одних и тех же местах, пытаясь скрыться более современной атрибутикой, но их всё равно видно, по взгляду, по стилю, по поведению. Пользуются глупостью и не внимательностью людей. Последнее время они на столько борзо себя вели, что приходилось людям (потенциальным жертвам) показывать, что они сами подставляются. Да и от себя отгонял их неоднократно. Но задумываться сами люди начнут, скорее всего, ПОСЛЕ потери чего то ценного. Такие «цигане» есть в любом курортном городе, местные люди обычно стараются предупредить. В барселоне мне официант как то сказал: «Не держи фотик на столе и телефон спрячь, пробегают и забирают». Это ведь просто, но не всегда очевидно. Курорт дополнительно расслабляет людей. А сколько можно потратить нервов?
Нужно самому воспользоваться упомянутым «сервисом» Билайна, привязав все ящики к левой симке, зарегистрированной на какого-нибудь бомжа. Тогда у мошенников возникнут сложности с определением имён почтовых ящиков и аккаунтов соцсетей. Угнав симку, мошенники будут пытаться зайти на FB Ивана Ивановича Бомжикова, тогда как у него и компьютера-то нет…
Жалко, что никто так и не подумал о главном: проблема не в том, параноик вы или нет, проблема не в том, сильный у вас пароль или слабый… Проблема в том, что вы доверяете свои данные «облаку» — неизвестно кому неизвестно почему, хотя в пользовательском соглашении всегда написано, что это облако не отвечает за сохранность ваших данных.
И пока вы будете доверять интернету вообще, проблема будет. Чем больше технологий, завязанных на интернет будет внедряться, тем страшнее будут последствия в случае утечки пароля, ID или еще чего-то подобного.
Человечество построило огромную гильотину и положило голову в нее, при этом постоянно и непрерывно смазывает стопорный механизм — что в конце концов человечество ждет?! Рано или поздно механизм сработает.
Эмбрион скайнета уже шевелеится в матке глобальной сети.
И пока вы будете доверять интернету вообще, проблема будет. Чем больше технологий, завязанных на интернет будет внедряться, тем страшнее будут последствия в случае утечки пароля, ID или еще чего-то подобного.
Человечество построило огромную гильотину и положило голову в нее, при этом постоянно и непрерывно смазывает стопорный механизм — что в конце концов человечество ждет?! Рано или поздно механизм сработает.
Эмбрион скайнета уже шевелеится в матке глобальной сети.
Вот еще одна история от меня самого, благополучно угнали машину на следующую ночь после окончания КАСКО, следов разбитых стекол нет, как будто открыли с ключа. Далее, через 3 дня, звонок на мой номер телефона с предложением выкупить. Узнали где живу, номер телефона, время окончания страховки. Со страховыми компаниями тоже не все так гладко.
Недавно то ли в ЖЖ, то ли где-то еще читал аналогичную историю про Билайн. В системе стояла отметка — не менять симку по доверенностям, менять в строго определенном офисе при предъявлении определенного списка документов.
И что вы думаете? Билайн менял симки где угодно, не руководствуясь пометками в системе. Тот самый человеческий фактор, когда рядовому сотруднику плевать на них, т.к. он не несет за нарушение никакой ответственности.
После той истории оператор тоже выдал некую сумму в виде компенсации.
И что вы думаете? Билайн менял симки где угодно, не руководствуясь пометками в системе. Тот самый человеческий фактор, когда рядовому сотруднику плевать на них, т.к. он не несет за нарушение никакой ответственности.
После той истории оператор тоже выдал некую сумму в виде компенсации.
а какой оператор гарантированно не выдает симки по доверенностям?
Злоумышленники уже научились уводить и двух-факторную аутентификацию через фишинг: London Calling: Two-Factor Authentication Phishing From Iran. На сколько я знаю, от такого защищают только U2F ключи.
Человеческий фактор и невнимательность, судя по скринам.
Если не паниковать во время получения подобных сообщений, можно реагировать адекватно, обращая внимание на детали: доменные имена, SSL ключи (их наличие и путь до сертификационных центров), номера телефонов и email адреса.
Иначе говоря этот взлом мало чем отличается от sms типа: «Ваш сын попал в полицию, нужно 100500 рублей перевести на телефон такой-то», это сработает на людях либо не имеющих ценных данных, либо потерявших страх.
Страх будет приобретен обратно, как я и писал выше, только ПОСЛЕ потери. И внимание вернется и параноик включится.
Часто взлом и расчитан на простака.
Linux-ботнет — открытый ssh для root и слабый пароль. Сломанный WiFi — слабенький ключик. Сайт на Wordpress стандартный адрес админки и перебор логина admin (хотя по вторичным факторам найти действующих пользователей может быть проще). Это всё нацеленно на массовость. Понятно, если возьмутся целенаправленно мало кто выстоит, но на массовости можно проскочить незамеченным. Пока ты незаметный :)
Внутренний контроллируемый параноик это ведь хорошо, научиться с ним жить можно, зато он лишний раз маякнет если чего его смущает. Проще называть это интуицией, тогда не так болезненно звучит.
Я не параноик. Я человек с развитой интуицией.
Если не паниковать во время получения подобных сообщений, можно реагировать адекватно, обращая внимание на детали: доменные имена, SSL ключи (их наличие и путь до сертификационных центров), номера телефонов и email адреса.
Иначе говоря этот взлом мало чем отличается от sms типа: «Ваш сын попал в полицию, нужно 100500 рублей перевести на телефон такой-то», это сработает на людях либо не имеющих ценных данных, либо потерявших страх.
Страх будет приобретен обратно, как я и писал выше, только ПОСЛЕ потери. И внимание вернется и параноик включится.
Часто взлом и расчитан на простака.
Linux-ботнет — открытый ssh для root и слабый пароль. Сломанный WiFi — слабенький ключик. Сайт на Wordpress стандартный адрес админки и перебор логина admin (хотя по вторичным факторам найти действующих пользователей может быть проще). Это всё нацеленно на массовость. Понятно, если возьмутся целенаправленно мало кто выстоит, но на массовости можно проскочить незамеченным. Пока ты незаметный :)
Внутренний контроллируемый параноик это ведь хорошо, научиться с ним жить можно, зато он лишний раз маякнет если чего его смущает. Проще называть это интуицией, тогда не так болезненно звучит.
Я не параноик. Я человек с развитой интуицией.
А где на сегодняшний день U2F работает кроме сервисов гугла?
На GitHub'e: GitHub supports Universal 2nd Factor authentication.
Ещё года 3-4 назад, я бережно делал бэки (и не по одной штуке) на всё что можно и пользовался простым телефоном. И почти не замечал никаких неудобств. Сменив телефон на смартфон и ощутив всю прелесть «вливания» в него различной информации (некоторые пароли, которые не успел ещё запомнить; номера карт знакомых, которым иногда необходимо перевести деньги; наброски мелодий или слов к песням; списки дел; фоты, которые всегда синхронятся методом «потом»; и самое главное — привязка множества сервисов к номеру телефона) я почти забыл свою бэк-привычку. И с кайфом от удобства использования, повился страх (наверное это подходящее слово) — ведь пробожив телефон, ты теряешь сразу столько накопленной для себя инфы, плюс сливаешь инфу по знакомым (аля переписки, фоты итд) и плюс открываешь гору возможностей для того, чтобы обобрать себя до нитки. Вспоминается история Кирка Хэмметта. Человек столько трудов потерял вместе с телефоном.
Как итог несколько правил:
1. Делать регулярно бэки.
2. Поставить пароль на тел. (Даже если его хакнут — то это отнимет какое-то время, за которое можно успеть заанлочить тел)
3. Ознакомится и «опрактиковться» с этим.
4. Не тратить время на заявления в полицию — сколько знаю случаев, заниматься им не будут. Биллинг дорогостоящая операция — никто не будет делать запрос для вашего телефона. Нормальные сотрудники сразу скажут, что это практисечки бесперспективно, а ненормальные — заведут дело, не будут им заниматься, но зато будут несколько раз в течении полу года дергать «типа» на доследствие. А по факту просто поддерживать дело в «рабочем» состоянии, для видимости того, что им всё-таки занимаются.
Как итог несколько правил:
1. Делать регулярно бэки.
2. Поставить пароль на тел. (Даже если его хакнут — то это отнимет какое-то время, за которое можно успеть заанлочить тел)
3. Ознакомится и «опрактиковться» с этим.
4. Не тратить время на заявления в полицию — сколько знаю случаев, заниматься им не будут. Биллинг дорогостоящая операция — никто не будет делать запрос для вашего телефона. Нормальные сотрудники сразу скажут, что это практисечки бесперспективно, а ненормальные — заведут дело, не будут им заниматься, но зато будут несколько раз в течении полу года дергать «типа» на доследствие. А по факту просто поддерживать дело в «рабочем» состоянии, для видимости того, что им всё-таки занимаются.
Лок на маке лежит в биосе. По этому сливаем прошивку из флешки, редактируем область найденную по сигнатуре и заливаем обратно.
Самолично так отвязал порядка пяти маков от блокировки.
Что удивило, после разлочки девайс можно с лёгкостью привязать к другому аккаунту не отвязывая от исходного. С первоначального аккаунта девайс пропадает. Идентификация маков в облаке проходит по какому-то идентификатору ( возможно маку сетевой, или uuid какой), думал, что при первом выходе в инет девайс опять заблочится и придётся перешивать ещё и идентификатор. Но оказалось ему на предыдущие локи фиолетово, при условии, что изначальнальная операционка снесена и переустановлена. Если биос разлочить и грузануть старую операционку, она помнит про лок и опять лочит биос.
По этому вынимаем диск или флеш из мака, снимаем лок, сливаем на другом устройстве данные с диска/флеша, потом затираем всё на нём. Дальше всё грузим с установочной флешки, восстанавливаем раздел восстановления и саму операционку.
Как делают в офф сервисе — не знаю.
Самолично так отвязал порядка пяти маков от блокировки.
Что удивило, после разлочки девайс можно с лёгкостью привязать к другому аккаунту не отвязывая от исходного. С первоначального аккаунта девайс пропадает. Идентификация маков в облаке проходит по какому-то идентификатору ( возможно маку сетевой, или uuid какой), думал, что при первом выходе в инет девайс опять заблочится и придётся перешивать ещё и идентификатор. Но оказалось ему на предыдущие локи фиолетово, при условии, что изначальнальная операционка снесена и переустановлена. Если биос разлочить и грузануть старую операционку, она помнит про лок и опять лочит биос.
По этому вынимаем диск или флеш из мака, снимаем лок, сливаем на другом устройстве данные с диска/флеша, потом затираем всё на нём. Дальше всё грузим с установочной флешки, восстанавливаем раздел восстановления и саму операционку.
Как делают в офф сервисе — не знаю.
Sign up to leave a comment.
Удачи в цифровую эпоху! Или включите параноика и проверьте защиту своих данных