Comments 17
Двух факторная аутентификация спасет от китайских хакер-ботов, которые попытаются завладеть вашим аккаунтом при сливе базы.
SS7 7 уязвимость это уже целенаправленная атака. Если вас целенаправленно пытаются взломать, то боюсь у вас очень другие проблемы о которых вам надо думать, чем о уязвимостях GSM сетей .
Но это лучше чем ничего!*)
Двух факторная аутентификация = Двух шаговая аутентификация, но
Двух шаговая аутентификация != Двух факторная аутентификация
Вот отличное обсуждение на эту тему https://security.stackexchange.com/a/41981
Что же касается безопасности, то лучше иметь 2SV(2 Step Verification) чем ничего. Это не 2FA, но как я уже и сказал раньше от китайских ботов спасает на ура.
Лучше хоть какая то защита чем полное отсутствие её.
По статистике около 2% людей постоянно используют одни и те же логины и пароли на разных сервисах
Какое-то очень оптимистичное предположение
Методы обнаружения алгоритма хеширования:
- Длина строки. — Для MD5 это 128 бит, SHA-2 это 224, 256, 384 или 512, sha-3 224, 256, 384, 512
- Схемы хеширования — их буквально 10 — 15. От MD5 до PBKDF2
- MD5 — Его все еще используют к сожалению.
- Атака по словарю и радужные таблицы + брутфорс хеш схем
- Идентификатор хеш функции храниться с самим хешом. Очень удобно если в будущем нужно перейти на новую хеш функцию.
Смешать, но не взболтать.
Я в этой области не разбираюсь, но мне кажется что в таком случае будет довольно сложно что-то сделать, даже если удастся пробрутить парочку паролей
Эта схема уязвима еще и атаке удлинением сообщения, не говоря о том что очень легко перебирается так как это MD5.
Все что вы описываете это Безопасность через неясность(Security through obscurity)
Безопасность через неясность (англ. Security through obscurity) — принцип, используемый для обеспечения безопасности в различных сферах деятельности человека. Основная идея заключается в том, чтобы скрыть внутреннее устройство системы или реализацию для обеспечения безопасности.
Это было нормальной практикой в криптографии прошлых веков, и она успешно провалилась(см Энигма, Машина Лоренца и т.д и т.п.).
Сегодня криптография строится на втором принципе Керкгоффса
При́нцип Керкго́ффса — правило разработки криптографических систем, согласно которому в засекреченном виде держится только определённый набор параметров алгоритма, называемый ключом, а сам алгоритм шифрования должен быть открытым. Другими словами, при оценке надёжности шифрования необходимо предполагать, что противник знает об используемой системе шифрования всё, кроме применяемых ключей.
Оригинальное описание
Нужно, чтобы не требовалось сохранение системы в тайне; попадание системы в руки врага не должно причинять неудобств;
Чтобы правильно хешировать пароли нужно:
- минимум 32 байт случайной соли(КСГПСЧ)
- хешировать с помощью PBKDF2(10000 раундов), bcrypt, scrypt или Argon2.
Ref:
https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
https://pages.nist.gov/800-63-3/sp800-63b.html
https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%87%D0%B5%D1%80%D0%B5%D0%B7_%D0%BD%D0%B5%D1%8F%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C
https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D1%83%D0%B4%D0%BB%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC_%D1%81%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D1%8F
https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B8%D0%BD%D1%86%D0%B8%D0%BF_%D0%9A%D0%B5%D1%80%D0%BA%D0%B3%D0%BE%D1%84%D1%84%D1%81%D0%B0
После крупнейшей кражи данных в истории на Yahoo! обрушились еще «33 несчастья»