Универсальная двухфакторная аутентификация - U2F

[maximax 292]

Абсолютно нужная каждому вещь для увеличения безопасности хранения данных для входа в личный кабинет различных ресурсов, хотите сохранить средства лучше устанавливайте данную программу на отдельный телефон с которого не заходите в лк.

[Kayperwood11 30]

1 minute ago, VyacheslavTriachev said:

Познавательно. А то я недавно услышал о двухфакторной аутентификации. Но думаю для таких как я она не нужна. А вот уикого большие цифры обязательно необходима. 

Двухфакторная аутенфикация нужна каждому, у кого есть хоть какая-либо ценная информация. Без разницы, пароли от кошельков криптовалют это или секретные отчеты с вашей работы. 

Недавно один ютуб блогер рассказывал, что его аккаунт взломали, когда он скачал какую-то программу от потенциального рекламодателя, но из-за того что у него стояла двухфакторка, ему удалось сохранить свой канал.

[Rameshk Amir 30]

Несомненно автор статьи прав. Нельзя, чтобы 2 фактора по сути своей, сводились к одному - твоему смартфону к примеру. Да, возможно это безопасно, но и об удобстве забывать не стоит. Вообще нужно попотеть над созданием гибкой аутентификации, чтобы каждый мог настроить её под себя).

 

[CryptoPower 288]

Отличная вещь. Однако, стоит понимать, что и она не защищает вас на сто процентов, как вы бы этого хотели. Буквально недавно у одного китайского бизнесмена украли биткоина на 15 000 000 долларов и биткоин кэша на 30 000 000 долларов. Кто-то "спер" номер его сим-карты и таким образом смог взломать защиту и вывести средства....

[Kazuskaz 39]

Я даже не знал о такой штуковине. Я конечно сохраняю резервные коды аутентификации, но иногда действительно страшно что будет если телефон будет утерян. А вот такую флешечку положил в надежное место и спокойнее будет. Задумался о покупке теперь. Тем более давно хотел заказать Trezor или Ledger, но думал они только для хранения крипты.

[Shum 51]

Тоже не знал про U2F. В своё время глюканул тел и все коды с 2FA были утеряны. Что смог, восстановил. Часть аккаунтов в разных местах просто навсегда были потеряны. Урок: если стоит 2FA, обязательно делать копию ручного ввода восстановления. 

[parmanem228 23]

Наличие любой двухфакторной аутентификации усложняет злоумышленнику жизнь в десятки раз. Тут уже элементарно не забрутишь. В общем, если есть возможность подключения двухфакторной аутентификации, никогда не пренебрегайте этой возможностью.

[Dan3000 92]

Очень рад , что увидел ваши пост и узнал больше информации о 2FA . Но больше информация понравилась про U2F , я до этого поста даже не знал о ней. Возможно в будущем я попробую технологию U2F , меня пока что устраивает 2FA так как особо ценной информации не водится.

[Fastkill 187]

проще рабоать с Uf2 нежели чем с 2FA, потому что телефон с привязанной двухфакторкой можно потерять или телефон выйдет из строя. А вот имея флешку( по типу холодного кошелька), то это уже другое дело 

[Thekulumbet 29]

Друзья, я подключил этот функцию к своем инстаграм аккаунту и меня зломали. Вроде не должен такое быть. Кто в этом хорошо разбирается? пишите ответ плиз.

[vapeboy12 21]

1 hour ago, denisis1717 said:

Задумка конечно отличная, увеличивает степень безопасности, но часто начинает раздрожать когда на каждое действие приходится делать подтверждение, особенно если пользуешься несколькими ресурсами одновременно

Я считаю что это очень безопасно и удобно, и если у вас на почте или на остальных сайтах, проектах имеется ценная информация и деньги, то можно будет закрыть глаза на такую мелочь 

[CryptoPower 288]

Насколько я знаю, таки "флэшечки" давно уже присутствуют в продаже. Однако первым их минусом была достаточно высокая стоимость. По поводу надежности защиты - все гуд, конечно, но кто вас спасет от того, что устройство будет сломано или потеряно? Я переживаю именно за это в большей степени.

[Illia1986 48]

On 30.11.2019 at 00:49, thesaintplague said:

Приветствую, форумчане! Соответствующей темы найти здесь не удалось, потому самым разумным было бы создать свою. Итак - двухфакторная аутентификация. Большинство из нас свыклись с мыслью о сверхнадежности традиционной 2FA, которая якобы не подлежит сомнению. Да, действительно, лучше с ней, чем без. Но не все настолько хорошо, как может показаться на первый взгляд. Далее я попытаюсь рассказать о разнице между традиционной 2FA и U2F, и почему стоит незамедлительно переходить ко второму варианту защиты. Конечно, если есть из-за чего переживать.

Итак, 2FA (двухфакторная аутентификация, two-factor authentication):
Способ доступа к разного рода интернет сервисам, где для входа в личный кабинет необходимо знание одноразового пароля (One Time Password), который постоянно меняется. То есть, главным атрибутом традиционной двухфакторной аутентификации являются одноразовые пароли и время их появления на сервере. На графике это выглядит примерно так:



Как видно на графике, секретный пароль в приложении (Google Authenticator, к примеру) и на сервере генерируется одновременно, где в последствии хешируется вместе со значением времени, и сопоставляется во время ввода в соответствующее окно.

Минусы:
- Симметричное шифрование OTP
- Онлайн передача OTP
- Ручной ввод OTP
- Возможные проблемы при утере устройства для генерации OTP 

U2F - (универсальная двухфакторная аутентификация, universal two-factor authentication)
Все тот же защищенный способ доступа к важным данным при использовании "чего-то еще", помимо логина и пароля, но...

Мы находимся на криптовалютном форуме, потому большинству этот способ аутентификации будет очень и очень знакомым. График:



Итак, как видно на рисунке, при подключении U2F генерируется публичный (который хранится на сервере) и приватный (хранится только у Вас) ключ. При инициализации входа в сервис, сервер U2F запрашивает сообщение, которое мы подписываем приватным ключом. Как Вы могли заметить, процесс очень схож с традиционной подписью транзакций в любом из существующих блокчейнов. 

Плюсы:
- Доступ к публичному ключу не равно доступ к данным
- Приватный пароль никогда не покидает устройство
- Отсутствие одноразовых кодов (впрочем, некоторые модели позволяют их генерировать дополнительно)
- Нет сложностей с восстановлением (при использовании Trezor или Ledger необходимо лишь провести восстановление посредством сид-фразы)
- Сложнее потерять (согласитесь, то, что лежит в сейфе потерять значительно сложнее, чем то, что Вы постоянно носите с собой)

Минусы: 
- Есть смысл использовать только при наличии физического ключа (холодного хранилища для приватного ключа)
- Узкий список поддерживаемых сервисов (Dropbox, Google Drive, Twitter, Facebook, Bitfinex, Coinbase. полный список здесь)

Как Вы уже поняли, для полноценной работы с универсальной двухфакторной аутентификацией необходимо физическое хранилище, коих на рынке даже сейчас весьма широкий ассортимент. Ценовая политика варьируется от 15 до 75$. Выпускаются с рабочим интерфейсом NFC, USB-C, USB-A и Lightning. В общем, вот некоторые из них:



Обратите внимание на уже хорошо нам знакомые Trezor и Ledger, которые помимо возможности использования U2F еще и бережно хранят нашу криптовалюту от всякого рода несанкционированного доступа. Вот что действительно "must have" для любого держателя криптовалют и приверженца максимальной безопасности. 

О подключении U2F к бирже Binance рассказываю здесь.

Благодарю за внимание 🔐.

Автору респект, действительно познавательная информация, уже больше года пользуюсь леджером и даже и не знал что там U2F используется, реально надёжная вещь.

[krinarek 13]

Вот такое должно было бы уже давно появиться, но это везде нет смысла использовать, я думаю. Выборочно надо пользовать её.

[Hawk 1267]

4 hours ago, Djidjo said:

А такой вопрос , кто-то в СНГ пользуется подобными универсальным двухфакторными аунтефикаторами ? Ибо я никогда не встречал и не слышал до этой статьи , да не не ви

Я думаю конечно же есть энтузиасты которые используют этот метод защиты, хотя лично меня вполне устраивает старый способ, бывают трудности конечно, и каждый может с ними столкнуться, к примеру потеря гаджета и тд, но как правила почти все ресурсы помогают восстановить доступ.

[Hateros 12]

21 hours ago, Pepelyaev2962 said:

Не уверен что какая-то монета будет стоить дороже нашего биткоина, потому что столь великий успех не каждому суждено получить, но как заверяют создатели будущей монеты под названием eth2 что их монета будет дороже биткоина, не понятно правда за счёт чего она будет дороже но я думаю рано или она выйдет и мы увидим что произойдёт. 

При чем тут стоимость какой-то монеты биткоина? Тут говорится о одной из лучших на данный момент ОБЩЕДОСТУПНОЙ защите

[piwowar 8]

Штука конечно интересная, но вот что то я её в продаже нигде не встречал, да и вообще про неё не слышал.  распространения она широкого ещё не получила, да и получит ли, тоже под вопросом. 2FA ка кто привычней, да и проверено временем, но как в качестве дополнительной защиты попробовать можно бы было.

[kowbee 78]

Большое спасибо автору за статью, впервые за все время моей практики слышу о таком продукте. Лично бы я этим пользовался только в необходимых ситуациях, на самых важных для меня интернет ресурсах. 

 

 

[jagost55 764]

Вот такая вот аунтефикация как раз нам и нужна, а то сейчас очень легко взломать даже обычную 2FA аунтефикацию от гугла или другую. Хаккеры научились обходить даже такие способы защиты. Криптовалютные кошельки и биржевые аккаунты уже давно пора вывести на новый уровень защиты.

[DopplerEffect 135]

Действительно полезный девайс, спасибо тебе за то что открыл новый взгляд на безопасность криптовалюты, я лично сам не догадывался о существовании подобного устройства, надеюсь куплю его в будущем, будет классным дополнением 

[Doodlez63 90]

Обычно я ставлю его на приложения связанные с деньгами , считаю очень хорошая защита , и на самом деле нужная. Мир мошенников не дремлет. Только вот когда с планшета заходишь , а телефон допустим в машине лежит , это ох как напрягает...

[qust 26]

Очень полезная штука, да и двухфакторная защита тоже очень хороша, но очень сильно бесит каждый раз при входе вводить этот код.

[Gimalaiw 1135]

Защищать свои криптоактивы нужно очень безопасно, но мне нет пока надобности приобретать U2F, хоть это  надежная защита, просто не заработал миллионов, пользуюсь по старинке 2Fa через приложение на андроид Googl Athentificator и все меня устраивает 6 значный код обновляется каждые 60 секунд,потом его вводишь на сайт и входишь. 

[Foben 106]

Классное устройство, но что делать если я зацеплю его на телефон, как брелок, а потом потеряю его или у меня его украдут, получается, что не очень то и безопасно.

[deeper_ghost 70]

Самая универсальная и надёжная аутентификация это холодный физический кошелёк. Пока вы его не подключите крипта никуда деться не может. Вот и вся аутентификация. Если же нет у вас такого то пользуйтесь Гугл или смс аутентификацией.