Какие меры защиты аккаунта применить, если недоступно прикрепить мобильный?

Question

[Urukhayy]

1) Какие меры защиты аккаунта применить, если недоступно прикрепить мобильный?

2) А если прикрепленный мобильный номер утерян?

Comments

[Максим Кузнецов]

Для чего конкретно используется мобильник?

Answer 1

[Дмитрий Энтелис]

С точки зрения разработчика сайта или с точки зрения пользователя?

1) С точки зрения пользователя: поставить длинный сложный пароль который нигде более не используется, записать его на бумажке, бумажку сжечь, пепел развеять.
С точки зрения разработчика: вариантов куча.

2) Прикрепленный номер таки всегда можно восстановить. Если номер не привязан к паспорту - ну пользователь сам идиот.

Comments

[Urukhayy]

По поводу первого пункта. Разве нет брутфорсов или прочих программ, вытягивающих пароль?

[АртемЪ]

Дмитрий Энтелис насчет бумажку сжечь и пепел развеять не согласен. Это путь к полной утрате контроля над аккаунтам. Человекам свойственна забывчивость.

Urukhayy Такие программы есть, но брутафорса не стоит сильно бояться. Его реально использовать только если украдена база хэшей, тогда действительно сиди дома и бруть пароли.
А вот если взломать сервис и утащить базу хэшей не удалость, то брутафорс бесполезен - во первых все запросы через веб достаточно медленные (секунды) поэтому тысячи паролей в секунду не удастся перебрать, во вторых все адекватные сервисы блокируют попытки подбора.

Бояться стоит троянов и клавиатурных шпионов на своем компьютере и смартфоне - тут риск действительно есть, пароль могут перехватить в момент ввода. Еще одна угроза - фишинговые сайты, где вы смело вводите пароль на странице злоумышленников, купившись на похожий внешний вид.
Неплохо действует социальная инженерия, когда вы сами сообщаете злоумышленникам пароль.
Один из самых частых способов увода - одинаковые или похожие пароли на всех ресурсах.

Кстати двухфакторная аутенификация это не обязательно телефон, есть еще и одноразовые коды, как например у гугла.
В некоторых случаях оправданно сообщение своих реальных паспортных и иных идентификационных данных - если аккаунт уведут, то вы восстановите предъявив документы.

[АртемЪ]

John Smith: Видите ли- пароли в менеджере находятся в компьютере, еще и синхронизируются через интернет. Это менее надежно чем бумажка во многих случаях.
К бумажке по сети доступа нет, и дистанционно ее никак не получить.
Только кража, или грабеж.

Answer 2

[Сергей]

генератор одноразовых кодов

Answer 3

[Николай Корабельников]

Если вы спрашиваете про защиту аутентификации, то такая задача требует комплексного подхода.
Для начала учетные данные пользователя должны правильно храниться на вашем сервере.
А пользователь должен использовать строгую аутентификацию. Вариантов много и надо выбирать то, что подходит именно вам:
- сертификаты (смарт-карты, токены)
- одноразовые пароли (аппаратные генераторы, программные генераторы, SMS/email, OATH или проприетарные, QR или цифро-буквенные)
- биометрия (например, поведение печати на клавиатуре)