В чем преимущество сканировать кода от простого ввода?
К примеру viber / whwatsapp / upwork требуют отсканировать код для привязки телефона. Но вот Steam позволяет просто ввести код с приложения в телефоне.
В чем разница в плане безопасности?
Скан лучше? Почему и чем?
В чем разница в плане безопасности?
Скан лучше? Почему и чем?
- Вопрос задан
- 67 просмотров
Комментировать
Сложнее перехватить во время ввода.
Код от Стима появляется в мобильном приложении (которое считается доверенным) и вводится на ПК, где теоретически может быть перехвачено кейлоггером.
Вацап же, наоборот (в обратную сторону), предлагает QR код на ПК, который потом нужно считать мобильным приложением (которое тоже считается доверенным). Но сделать это чуть сложнее, т.к. трояну уже нужно скринить экран и расшифровывать QR код. Школьнику писать такой троян точно сложнее будет. Плюс к этому злоумышленник должен как-то автоматизировать ввод этого кода у себя в мобильное приложение, что также сложнее, чем на ПК отправить клавиатурный ввод в браузер или (в случае со стимом) в клиент.
В целом, оба варианта достаточно безопасны, т.к. код быстро устаревает. А в случае одновременного двойного входа, если вы сами разрабатываете подобное, можно сразу бить тревогу и рвать сессии у обоих.
P.S. При желании взломать можно абсолютно всё, вопрос лишь в цене. Так что ваша ненужность - ваша защита. Не пересылайте коды запуска ракет по вацапу, и всё будет норм.
Код от Стима появляется в мобильном приложении (которое считается доверенным) и вводится на ПК, где теоретически может быть перехвачено кейлоггером.
Вацап же, наоборот (в обратную сторону), предлагает QR код на ПК, который потом нужно считать мобильным приложением (которое тоже считается доверенным). Но сделать это чуть сложнее, т.к. трояну уже нужно скринить экран и расшифровывать QR код. Школьнику писать такой троян точно сложнее будет. Плюс к этому злоумышленник должен как-то автоматизировать ввод этого кода у себя в мобильное приложение, что также сложнее, чем на ПК отправить клавиатурный ввод в браузер или (в случае со стимом) в клиент.
В целом, оба варианта достаточно безопасны, т.к. код быстро устаревает. А в случае одновременного двойного входа, если вы сами разрабатываете подобное, можно сразу бить тревогу и рвать сессии у обоих.
P.S. При желании взломать можно абсолютно всё, вопрос лишь в цене. Так что ваша ненужность - ваша защита. Не пересылайте коды запуска ракет по вацапу, и всё будет норм.
Войдите, чтобы написать ответ
Войти через центр авторизации-
-
-
-
-
-
-
-
-
-
Сложный
Как принудительно переписать основной dns на всех vpn клиентах для доступа к Internal AWS сети?
- 1 подписчик
- 54 просмотра
- Показать ещё Загружается…
