I
Корочем, все эти сказки про уязвимость телефонной 2FA - это сказки.
при доступе к ss7 перехват смс очень даже возможен
Size: a a a
2019 January 23
I
тут только вопрос цены доступа
bc
И дальше слушайте сказки от Positive Technologies
bc
нет, это не сказки конечно
bc
но от реальности - их истории очень далеки
I
NIST не просто так исключил из своих гайдов sms 2fa
I
плюс не только pt говорили и писали об этом
bc
Так NIST - это госы. Для них это логично и оправданно
I
надо тогда разделять частный случай и общую ситуацию. В частном снимать 20к используя этот метод неоправданно. А в общем использовать 2fa sms не рекомендуется
bc
Ну и опять же, они иногда "перлы" выдают. То есть SMS - это плохо, потому что SS7 и малварь на телефоне, а Гугл аутентификатор - это норм. А как же малварь на телефонах?
bc
Давайте уж по хардкору - всем токены железные, made in USA
bc
А то мало ли китайцы чего в чип засунут
bc
Я тут только сегодня Trends от Гугл почитал... поперхнулся - они задвигают про "биометрия - будущее 2FA"
bc
I
ну я сомневаюсь что не сильно сложная малварь без рута на современном андроиде сделает с Google Authenticator хоть что то
bc
ну я сомневаюсь что не сильно сложная малварь без рута на современном андроиде сделает с Google Authenticator хоть что то
Так они ж вроде не от школотронов защищаются то, а от NAtion State
bc
школотроны тоже к SS7 доступ вряд ли получат
I
а токены железные если у вас есть сильно дорогая инфа
I
Так они ж вроде не от школотронов защищаются то, а от NAtion State
тут надо разделять от кого защищатся и насколько дорогая инфа охраняется
I
и тогда уже применять необходимые меры