Универсальная двухфакторная аутентификация - U2F

[Arnold1338 1385]

Я думаю что такая универсальная двухфакторная аутентификация наверное Одно из самых безопасных если у вас большие суммы то она идеальна

[Rleticerona 0]

22 minutes ago, Arnold1338 said:

Я думаю что такая универсальная двухфакторная аутентификация наверное Одно из самых безопасных если у вас большие суммы то она идеальна

Я думаю, что она бессмысленна и обычной двухфакторки в данный момент достаточно, не считаете?) По факту, это переплата ни за что, то же самое, что обычная двухфакторка, просто не на вашем телефоне.

[Reoneser 35]

On 11/30/2019 at 1:49 AM, thesaintplague said:

Приветствую, форумчане! Соответствующей темы найти здесь не удалось, потому самым разумным было бы создать свою. Итак - двухфакторная аутентификация. Большинство из нас свыклись с мыслью о сверхнадежности традиционной 2FA, которая якобы не подлежит сомнению. Да, действительно, лучше с ней, чем без. Но не все настолько хорошо, как может показаться на первый взгляд. Далее я попытаюсь рассказать о разнице между традиционной 2FA и U2F, и почему стоит незамедлительно переходить ко второму варианту защиты. Конечно, если есть из-за чего переживать.

Итак, 2FA (двухфакторная аутентификация, two-factor authentication):
Способ доступа к разного рода интернет сервисам, где для входа в личный кабинет необходимо знание одноразового пароля (One Time Password), который постоянно меняется. То есть, главным атрибутом традиционной двухфакторной аутентификации являются одноразовые пароли и время их появления на сервере. На графике это выглядит примерно так:



Как видно на графике, секретный пароль в приложении (Google Authenticator, к примеру) и на сервере генерируется одновременно, где в последствии хешируется вместе со значением времени, и сопоставляется во время ввода в соответствующее окно.

Минусы:
- Симметричное шифрование OTP
- Онлайн передача OTP
- Ручной ввод OTP
- Возможные проблемы при утере устройства для генерации OTP 

U2F - (универсальная двухфакторная аутентификация, universal two-factor authentication)
Все тот же защищенный способ доступа к важным данным при использовании "чего-то еще", помимо логина и пароля, но...

Мы находимся на криптовалютном форуме, потому большинству этот способ аутентификации будет очень и очень знакомым. График:



Итак, как видно на рисунке, при подключении U2F генерируется публичный (который хранится на сервере) и приватный (хранится только у Вас) ключ. При инициализации входа в сервис, сервер U2F запрашивает сообщение, которое мы подписываем приватным ключом. Как Вы могли заметить, процесс очень схож с традиционной подписью транзакций в любом из существующих блокчейнов. 

Плюсы:
- Доступ к публичному ключу не равно доступ к данным
- Приватный пароль никогда не покидает устройство
- Отсутствие одноразовых кодов (впрочем, некоторые модели позволяют их генерировать дополнительно)
- Нет сложностей с восстановлением (при использовании Trezor или Ledger необходимо лишь провести восстановление посредством сид-фразы)
- Сложнее потерять (согласитесь, то, что лежит в сейфе потерять значительно сложнее, чем то, что Вы постоянно носите с собой)

Минусы: 
- Есть смысл использовать только при наличии физического ключа (холодного хранилища для приватного ключа)
- Узкий список поддерживаемых сервисов (Dropbox, Google Drive, Twitter, Facebook, Bitfinex, Coinbase. полный список здесь)

Как Вы уже поняли, для полноценной работы с универсальной двухфакторной аутентификацией необходимо физическое хранилище, коих на рынке даже сейчас весьма широкий ассортимент. Ценовая политика варьируется от 15 до 75$. Выпускаются с рабочим интерфейсом NFC, USB-C, USB-A и Lightning. В общем, вот некоторые из них:



Обратите внимание на уже хорошо нам знакомые Trezor и Ledger, которые помимо возможности использования U2F еще и бережно хранят нашу криптовалюту от всякого рода несанкционированного доступа. Вот что действительно "must have" для любого держателя криптовалют и приверженца максимальной безопасности. 

О подключении U2F к бирже Binance рассказываю здесь.

Благодарю за внимание 🔐.

Такой способ реально очень хорошо защищает аккаунты везде, даже в криптовалюте. Потому что сейчас узнать пароль от аккаунта очень легко, мы везде сами пишем свои пароли. За этйо защитой будущая безопасность криптовалютных активов.

[adddin555 12920]

On 19.06.2021 at 01:02, macartem said:

Зато вы меньше подвергаетесь хакерской атаке , потому что двухфакторную аутентификацию очень сложно взломать. Я думаю лучше ввести несколько раз те шесть цифр и не бояться о своей безопасности 

да вы правы я раньше тоже не хотел включать двухфакторку но потом все же передумал как говориться лучше перебдеть чем недобдеть.а что касается U2F я пока что в ней не нуждаюсь поскольку не располагаю большими суммами  да и 2FA ни чем не хуже U2F.

[Moonbill156 103]

Даже вполне финансовые учреждения должны использовать эти механизмы безопасности; в других случаях будет достаточно старомодного центра сертификации в Интернете. 

[Льюис 25]

Прикольная шутка, я про такое еще не слышал вообще, хоть конечно мне удобнее все-таки по страничке с 2фа но попробую изучить, вдруг мне даже понравится это больше

[macartem 9027]

18 hours ago, adddin555 said:

да вы правы я раньше тоже не хотел включать двухфакторку но потом все же передумал как говориться лучше перебдеть чем недобдеть.а что касается U2F я пока что в ней не нуждаюсь поскольку не располагаю большими суммами  да и 2FA ни чем не хуже U2F.

Вот именно, пусть будет двухфакторка, она никому не мешает и тратится времени на пару секунд больше на вход с ней чем без неё, но зато мошенникам и хакерам намного усложняет весь процесс получения доступа к вашему кошельку 

[Nikita01uz 5660]

On 11.06.2021 at 18:03, dayfonder said:

Лучше побеситься пару минут перед заходом на нужный вам сайт, чем потом будете беситься из-за того какой вы дурак и не поставили настолько простую, но эффективную защиту. 

Иногда приходится жертвовать комфортом, для того чтобы была хорошая защита. 

Это я конечно понимаю, ну я бывает когда часто вхожу выхожу с аккаунта, то отключаю временно защиту и включаю вечером ее, а так уже нарвался на то что аккаунт уме взламывали и все выводили.

[Sha09952ba60an 378]

Конечно, вам нужна такая аутентификация, которая обязательно защитит вашу личную учетную запись от любого повреждения или взлома. С другой стороны, вы сейчас работаете на криптовалютной платформе и ей уже угрожает кража, поэтому очень необходимо следить за такой защита

[Xannaninocea 0]

On 7/5/2021 at 2:03 AM, ellius0202 said:

Я думаю, что эта двухфакторка реально может иметь в себе какой-то потенциал, осталось только додуматься им и до того, чтобы ее можно стало применять и к онлайн кошелькам

Да никакого потенциала у этого нет, потому как самая обычная двухфакторка так же хорошо справляется со своими задачами, как и эта. Платить за такую вещь дополнительные деньги бессмысленно, как по мне.

[Alexei Maxim 8]

Хорошая задумка, она намного увеличит безопасность, следовательно преступность уменьшится. По скорее бы ввели данный метод безопасности.

[Sulampa 0]

когда дело доходит до защиты крипто-кошелька от хакеров, нет лучшего метода, чем использование метода аутентификации 2FA. При использовании аутентификации 2FA вам предоставляются закрытые ключи, которые вы должны хранить в безопасности, если в будущем не сможете получить доступ к кошельку.

[Rleticerona 0]

1 hour ago, Aleksei Leonid said:

Полезная вещь. Для собственной безопасности ее должен использовать каждый. На данный момент я еще не начал использовать u2f, однако я думаю, что исправлю это в скором времени, так как мне важна безопасность.

Не думаю, что это вообще имеет смысл, если честно. Двухфакторка легко справляется с теми же вещами, которые вам предлагает u2f. Вряд ли есть большие риски того, что кто-то обойдет привычную двухфакторку, если вы рядовой пользователь.

[Kukola 1792]

On 06.07.2021 at 18:52, Pattrrse said:

Это действительно сильная и отличительная идея, которая отлично помогает защитить учетную запись, поэтому я серьезно подумаю о ее использовании, потому что она в значительной степени обезопасит мою учетную запись. 

такие вещи по факту разностно работают и могут принести плюсы вам если вы головаой работать будете и понимать что как устроено и построено.лишь в таких ситуациях могут быть профиты для вас

[ForReal 2410]

On 12.07.2021 at 20:47, genuaborisik said:

Не знал о существовании универсальной двухфакторки и надеюсь в будущем ее можно будет использовать на большем количестве сайтов и бирж. Да и выглядит она проще.

Ну не сказать, что она проще, наоборот как то позамороченнее, но оно и понятно, тут большая надежность, поэтому надо бы и подзаморочиться со входом немного 

[dkombatov 7858]

On 7/12/2021 at 8:37 PM, Adrianoo said:

Действительно добавляет надежности, всегда стараюсь подключить, если доступна. Никогда еще не было проблем или взломов с ней.

Лично я считаю что это уже лишнее, не может быть полной защиты никогда и нигде, а вместо этого можно использовать обычную двухфакторную аутентификацию и всё 

[baeva 4910]

On 12.07.2021 at 20:37, Adrianoo said:

Действительно добавляет надежности, всегда стараюсь подключить, если доступна. Никогда еще не было проблем или взломов с ней.

Да у вас может И не быть никаких проблем, даже не имея обычной двухфакторной авторизации, дело совсем не в этом, а в первую очередь в сервисе, и в безопасности самого этого сервиса

[Keisharlto 0]

4 hours ago, Сергей Захарова said:

Спасибо автору за тему и подробное описания новой защиты U2F  согласен способ хороший для защиты входа на сайт биржу но его нужно использовать тогда когда есть за что переживать.

Я думаю, что обычной двухфакторки для этих целей вполне себе хватает, не считаете? Я не думаю, что имеет смысл доплачивать за u2f, когда двухфакторка прекрасно справляется.

[ProFiDZ 2697]

On 16.05.2021 at 00:13, Toris said:

Ну а если биржа не имеет системы верификации, то считай пропали ваши деньги. Лучше заранее узнавать у каждого из ресурсов политику возобновления 2fa, чтобы быть готовым морально в случае чего.

Так и есть утеря 2фа это жесткий удар по всему балансу и безвозвратной потери если биржа не восстановает двузфактлрку верифицированных пользователей. Но если сохранить свои ключи от 2фа в первый раз при установке - риски можно минимизировать

[baeva 4910]

On 20.07.2021 at 18:05, FernandoExcalibur13 said:

Ну если человек совсем глупенький и пренебрегает своей же безопасностью то его взломают проще простого, даже если сервис надежный.

Как? ну типо если человек глупый, то что он такого сделает, что бы его взломали? поставит пароль плохой? не поставит 2фа? ну в таком случае да, а если у него все сделано по инструкции то сомневаюсь 

[KostenkoKoste 310]

On 20.08.2020 at 02:37, Doni2029 said:

Ну не знаю на сколько она на самом деле будет эффективна и востребована. Я думаю что и прежняя защита 2FA вполне справлялась со своими задачами. Правда я ни когда не прибегал к подобным защитам так как не вижу в этом ни какой особой необходимости.

Вообще 2FA, как по мне, в настоящее время нужна каждому, у кого есть финансы на биржах/еще каких-либо сервисах, конечно, у нее есть свои минусы, и не каждая защита идеальна, но она прекрасно подходит под современные реалии наши.

[Rleticerona 0]

On 7/20/2021 at 6:05 PM, Flexix said:

А что будет если ее потерять? Лучше просто использовать различные способы защиты на самом кошельке, а также на бирже. Я бы такую штуку использовать не стала.

То же самое, что может быть и при потере телефона с привязанной двухфакторкой, по факту. Я не вижу никакого смысла от u2f потому как двухфакторка совершенно спокойно справляется с теми же самыми целями)

[Karinoch4kaS1 15]

Здесь как свои плюсы, так и свои минусы. И как по мне минусов больше чем плюсов. Мне по душе простой 2FA

[Rleticerona 0]

1 hour ago, dimafadeev50 said:

А мне кажется, что такая защита только затормозит работу большинства сайтов, да и тем более двухфакторная как по мне на данный момент куда удобнее выглядит. 

Так это же та же самая двухфакторка, только немножко в другой виде, каким образом это может затормозить работу каких-либо сайтов?) Работу сайтов это явно никак не замедлит, но вот с тем фактом, что переходить на нее с обычной двухфакторки не обязательно - я совершенно согласен. Обычная 2fa со всем чем нужно справляется, как по мне)

[Rleticerona 0]

1 hour ago, Vadyanos said:

Несомненно, подход к безопасности своих аккаунтов важен. Ведь какой смысл что то творить если ты не будешь уверен в том что у тебя всё под контролем. Разумеется отдаю предпочтение U2F.⠀

Не знаю, кому нужно доплачивать за u2f какие-то деньги, когда самая обычная двухфакторка прекрасно справляется с этими же целями.