Универсальная двухфакторная аутентификация - U2F

[benzotrav 37724]

On 05.08.2020 at 13:03, RECKRUT said:

Полностью с вами согласен. Просто лишняя морока,которая и даром не нужна. Нет смысла изобретать велосипед и усложнять себе жизнь 

Да по сути данная защита является лишь дополнительно улучшенной чем данный гугл аутентификатор, описанный вами в диалоге :) Но правда и пиратскую версию фиг найдешь ведь данный тип защиты платный в сторону пользователей, что делает его спрос в СНГ практически нулевым, пиратство все-таки о себе дает знать.

[App34 422]

О U2F впервые прочитал здесь.Но будем пользоваться первым способом.Ведь суть в том что бы было задействовано два устройства,смартфон и комп или ноут.

[scoundrel1161 5500]

On 06.08.2020 at 11:16, 1fair8 said:

Вы правы, обезопасить нужно себя всеми мерами защиты, но ещё хорошо подключить и смс подтверждение и не париться вообще, так как это просто и удобно и что главное это хорошо защищено)

Ну тут уже могут возникнуть проблемы с этим номером телефона, ведь не каждый регистрирует на свой номер)))

[Patrick2244 3278]

On 28.05.2020 at 16:29, TimopheyKa said:

Спасибо большое за данную информацию! Очень интересный топик! Честно говоря, я никогда не задумывался над тем, что существует некий аналог 2fa аутентификатора, а оказывается, вот как! Очень круто

Не знаю круто это или нет так как я и раньше никогда не использовал даже F2A защиту. Мне кажется что это не совсем удобно. Тем более если потеряешь или сломается смартфон то как я слышал возникают очень серьёзные проблемы. 

[Natalia's12 962]

впринципе оффлайн защиты такого рода как раз таки и не хватало. Однако как можно заметить не все пока готовы платить за дополнительные меры защиты 

[plyxa 41]

16 hours ago, Natalia's12 said:

впринципе оффлайн защиты такого рода как раз таки и не хватало. Однако как можно заметить не все пока готовы платить за дополнительные меры защиты 

согласен с тобой тем более такая защита подойдёт лишь для съёмных носителей поэтому придётся пожертвовать удобством как мне кажется зато защита на уровне 

[scoundrel1161 5500]

On 07.08.2020 at 16:31, Hirkillar said:

регистрируют аккаунты не на свой номер только те пользователи, которые не хотят как либо палиться, либо же будут в дальнейшем использовать данный проект для абуза, а для остальных это просто не составит какого либо труда 

Я конечно усе понимаю, и спорить с этим нет смысла, но есть же и те, кто утерял доступ к основному аккаунту, по каким либо причинам, поэтому и регаются на другие номера, я так де делал, просто не мог восстановить старый аккаунт в кошельке

[Polka1 926]

Подобную защиту еще не встречал, на вид все преимущество переде 2fa, и по цене она не такая уж и дорогая, и в перспективе будет стоит еще дешевле при массовом использовании 

[Doni2029 16919]

11 hours ago, Polka1 said:

Подобную защиту еще не встречал, на вид все преимущество переде 2fa, и по цене она не такая уж и дорогая, и в перспективе будет стоит еще дешевле при массовом использовании 

Ну не знаю на сколько она на самом деле будет эффективна и востребована. Я думаю что и прежняя защита 2FA вполне справлялась со своими задачами. Правда я ни когда не прибегал к подобным защитам так как не вижу в этом ни какой особой необходимости.

[Ostapow 63]

On 08.08.2020 at 15:42, Adrian423432 said:

А ну да кстати это намного надежнее тут уж точно не будет возможности доступа к аккаунту от злоумышленников

Честно сказать возможность есть, но только это будет происходить менее часто.🙃

[Honera 0]

Спасибо автору за статью, честно говоря не знал что есть еще и такой способ защиты как U2F, до этого частенько пользовался 2FA и думал что лучше этого уже ничего не придумать) но все же мне кажется старый способ немного более удобный...

[LevelUP 16350]

On 07.08.2020 at 21:23, Natalia's12 said:

впринципе оффлайн защиты такого рода как раз таки и не хватало. Однако как можно заметить не все пока готовы платить за дополнительные меры защиты 

Ну если цена адекватная то многие готовы. Просто в наших магазинах я так понимаю не купить? Надо с сайта производителя, ну с этим могут быть дополнительные сложности так как еще придется заплатить и за доставку.

 

Но сама идея отличная и я уверен за ней будущее, при использовании этой защиты риски взлома минимальные, разве что злоумышленник имеет физический доступ к компьютеру Но в таком случаи тут уже ни какая защита может не помочь и проблему нужно решать на совершенно другом уровне)

[Jacqueri 0]

On 19.08.2020 at 14:57, Polka1 said:

Подобную защиту еще не встречал, на вид все преимущество переде 2fa, и по цене она не такая уж и дорогая, и в перспективе будет стоит еще дешевле при массовом использовании 

Думаю, что двухфакторки было вполне достаточно в плане защиты, поэтому не думаю, что u2f очень быстро станет массово-используемой 

[Francuzp 0]

Всё таки плюс 2FA систем в том, что они хранятся на телефоне и не надо никаких дополнительных штуковин в физических вещей, всё таки это лишние запары, а так достал телефон и вбил нужный код

[11dyavol46 65]

On 19.08.2020 at 10:57, Polka1 said:

Подобную защиту еще не встречал, на вид все преимущество переде 2fa, и по цене она не такая уж и дорогая, и в перспективе будет стоит еще дешевле при массовом использовании 

Надо что какие нибудь сильные ресурсы взяли ее на вооружение. Только тогда войдет в обиход, а пока что сложно сказать.

[artfreecoin 139]

По какому принципу работает эта защита,проверка?

Это типа привязка к почте? Чесно говоря первый раз слышу,знаю только про проверку 2fa если не тяжело напишите или ответьте подробнее по данной теме,спасибо!

[scoundrel1161 5500]

5 minutes ago, artfreecoin said:

По какому принципу работает эта защита,проверка?

Это типа привязка к почте? Чесно говоря первый раз слышу,знаю только про проверку 2fa если не тяжело напишите или ответьте подробнее по данной теме,спасибо!

Специально для таких как вы автор более подробно расписал все своем посте. Пожалуйста, прочитайте стартовый топик, Чтобы не засорять страницы этой темы. По факту эта авторизация аналогична двухфакторной авторизации обычной, но более усложнённая

[Kasalama 1]

Я вот раньше вообще не пользовался аунтификаторами, пока мой вк не взломали и я не потерял кучу инфы. Так что вещь хорошая !

[papandos 18]

 Я думаю такой брелочек скоро будет почти у каждого гражданина. Отличная защита от кибер мошенников в век криптовалюты!

[Addictednikking 36]

Аутентификация то реально уникальная так как она уже собрала сотни миллионов пользователей. Своей простотой и сер полезностью в частности сохранения контроля любого интернет магазина или то же биржи на которой у тебя есть сумма твоих сбережений. Универсальность состоит в том что любой пользователь освоит и сможет пользоваться. А также люди начнут пользоваться QR-Code который очень полезен в нынешнее время.

[oleh17 64]

С тех пор, как я узнал о 2FA, я начал использовать эту технологию постоянно. На данный момент 2FA позволяет обезопасить свои данные и средства на кошельках или биржах. Сколько было примеров взлома аккаунтов без использования подобной защиты. А ведь установка 2FA не занимает много времени, но позволяет защитить аккаунты от взлома и сохранить средства. Поэтому данное решение актуально сейчас как никогда.

[Игорь_CXEMA 22]

Не пользуюсб Ю2Ф так как не вижу в этом смысла в моем случае так как у меня не миллионные активы чтобы делать максимальную защиту, 2ФА вполне хватает да и на всех биржа 2ФА используют нареканий нет, но чисто ради эксперемента можно было попробывать Ю2Ф на картинках интересно смотриться

[Hateros 12]

On 19.08.2020 at 22:37, Doni2029 said:

Ну не знаю на сколько она на самом деле будет эффективна и востребована. Я думаю что и прежняя защита 2FA вполне справлялась со своими задачами. Правда я ни когда не прибегал к подобным защитам так как не вижу в этом ни какой особой необходимости.

2FA, как по мне, в настоящее время нужна каждому, у кого есть финансы на биржах/еще каких-либо сервисах, конечно, у нее есть свои минусы, и не каждая защита идеальна, но она прекрасно подходит под современные реалии.

[investorsha2020 38]

On 30.11.2019 at 00:49, thesaintplague said:

Приветствую, форумчане! Соответствующей темы найти здесь не удалось, потому самым разумным было бы создать свою. Итак - двухфакторная аутентификация. Большинство из нас свыклись с мыслью о сверхнадежности традиционной 2FA, которая якобы не подлежит сомнению. Да, действительно, лучше с ней, чем без. Но не все настолько хорошо, как может показаться на первый взгляд. Далее я попытаюсь рассказать о разнице между традиционной 2FA и U2F, и почему стоит незамедлительно переходить ко второму варианту защиты. Конечно, если есть из-за чего переживать.

Итак, 2FA (двухфакторная аутентификация, two-factor authentication):
Способ доступа к разного рода интернет сервисам, где для входа в личный кабинет необходимо знание одноразового пароля (One Time Password), который постоянно меняется. То есть, главным атрибутом традиционной двухфакторной аутентификации являются одноразовые пароли и время их появления на сервере. На графике это выглядит примерно так:



Как видно на графике, секретный пароль в приложении (Google Authenticator, к примеру) и на сервере генерируется одновременно, где в последствии хешируется вместе со значением времени, и сопоставляется во время ввода в соответствующее окно.

Минусы:
- Симметричное шифрование OTP
- Онлайн передача OTP
- Ручной ввод OTP
- Возможные проблемы при утере устройства для генерации OTP 

U2F - (универсальная двухфакторная аутентификация, universal two-factor authentication)
Все тот же защищенный способ доступа к важным данным при использовании "чего-то еще", помимо логина и пароля, но...

Мы находимся на криптовалютном форуме, потому большинству этот способ аутентификации будет очень и очень знакомым. График:



Итак, как видно на рисунке, при подключении U2F генерируется публичный (который хранится на сервере) и приватный (хранится только у Вас) ключ. При инициализации входа в сервис, сервер U2F запрашивает сообщение, которое мы подписываем приватным ключом. Как Вы могли заметить, процесс очень схож с традиционной подписью транзакций в любом из существующих блокчейнов. 

Плюсы:
- Доступ к публичному ключу не равно доступ к данным
- Приватный пароль никогда не покидает устройство
- Отсутствие одноразовых кодов (впрочем, некоторые модели позволяют их генерировать дополнительно)
- Нет сложностей с восстановлением (при использовании Trezor или Ledger необходимо лишь провести восстановление посредством сид-фразы)
- Сложнее потерять (согласитесь, то, что лежит в сейфе потерять значительно сложнее, чем то, что Вы постоянно носите с собой)

Минусы: 
- Есть смысл использовать только при наличии физического ключа (холодного хранилища для приватного ключа)
- Узкий список поддерживаемых сервисов (Dropbox, Google Drive, Twitter, Facebook, Bitfinex, Coinbase. полный список здесь)

Как Вы уже поняли, для полноценной работы с универсальной двухфакторной аутентификацией необходимо физическое хранилище, коих на рынке даже сейчас весьма широкий ассортимент. Ценовая политика варьируется от 15 до 75$. Выпускаются с рабочим интерфейсом NFC, USB-C, USB-A и Lightning. В общем, вот некоторые из них:



Обратите внимание на уже хорошо нам знакомые Trezor и Ledger, которые помимо возможности использования U2F еще и бережно хранят нашу криптовалюту от всякого рода несанкционированного доступа. Вот что действительно "must have" для любого держателя криптовалют и приверженца максимальной безопасности. 

О подключении U2F к бирже Binance рассказываю здесь.

Благодарю за внимание 🔐.

Благодарю за информацию. Об этом еще не слышала. Пока пользуюсь 2FA, удобно. Возможно, когда начну ворочить миллионами, то и U2F пригодится 🙂

[Sarvarbek 31]

Спасибо за информацию об U2F. Но звучит весьма надеждно. Сейчас важно хранить данные в недоступных для хакеров местах потому что информация сейчас очень ценна. Попробую теперь в U2F)