[опрос] Откуда взялось требование о двухфакторной авторизации и кто желает ею пользоваться

[zonr]

Кошмар, еле прорвалась на форум... С учётом того, что аккаунт был зарегистрирован на имейл, к которому сейчас нет доступа (и это, кстати, было выгодно, потому что нельзя было получить доступ к акку через угон имейла), пришлось вначале изменить имейл, подтвердить акк с него и только после этого включить "двухфакторную аутентификацию". Ну это же ужас..

Это теперь при каждом входе придётся получать код подтверждения? По определённым причинам не хочу оставлять залогиненным аккаунт на Нулледе и сохранять пароль в каком-либо виде на компьютере тоже, я при каждом входе ввожу его вручную. Теперь придётся ещё и каждый раз через имейл авторизовываться... Мда...

Вообще идеально было бы включать возможность дополнительной защиты по умолчанию, но при этом иметь возможность её отключить.

P.S. C теми, у кого угоняли аккаунт, не пытались выяснить, как это произошло? Если воруют куки или перехватывают пароли, то какая разница - сделать это только с паролем форума или же с паролем форума и паролем имейла? А если учесть, что часть людей в принципе пользуется одинаковым паролем для всего, то увеличение безопасности сомнительно...

Резервные коды... Разве их сохранение не снижает ту самую безопасность? Или кто-то будет переписывать их в бумажный блокнотик? Сохранят в каком-то незапароленном текстовом файле с названием "Коды от Нуллед". А те, кто делает иначе, и без дополнительной защиты вряд ли столкнётся с угоном пароля - в большинстве случаев ведь угоняют не благодаря великой технической продвинутости угонщика, а благодаря халатности пользователя...

В общем, это нововведение скорее создаст сложности пользователям, чем ограничит возможности взломщиков...

 

[Sorcus]

Мое мнение: убрать авторизацию по почте
Сделать основной авторизацию по приложению или sms, но установить автономную валидацию раз в неделю и сократить количество ошибок при вводе пароля при авторизации до 2х раз.

Совсем крыша поехала Бить надо ссаными тряпками за принудительную двухфакторку через телефон. Фу таким быть!

Кошмар, еле прорвалась на форум... С учётом того, что аккаунт был зарегистрирован на имейл, к которому сейчас нет доступа (и это, кстати, было выгодно, потому что нельзя было получить доступ к акку через угон имейла), пришлось вначале изменить имейл, подтвердить акк с него и только после этого включить "двухфакторную аутентификацию". Ну это же ужас..

Аналогично, но смена мыла (благодаря Гризоньке), получение кода и запоминание на 30 дней не такой уж геморой.
Хотя принудительная верификация на каждый чих попахиваем бредом. Код надо запрашивать при смене ip, юзер агента и т.д. А если эти данные не меняются - какой смысл постоянно запрашивать?
Взбесило принуждение к двухфакторке. Но учитывая тот факт, что можно авторизоваться с получением кода на email - то все не так уж и плохо для меня. Если бы требовало телефон - на одного юзера было бы 100% меньше...

 

[zonr]

Код надо запрашивать при смене ip

Как быть с динамическим?
P.S. На ночь компьютер выключаю, то есть IP в любом случае будет меняться минимум раз в день. Это что касается домашнего компа. А с учётом того, что иногда заходишь с планшета в кафешках, даже при помощи указания диапазона IP-адресов такую задачу не решить без кода, если он будет. ))

 

[Doctor_zlo]

Как быть с динамическим?

Никак у меня динамический никаких проблем не испытываю. Вот сейчас специально 2 раза ip поменял и никаких проблем, авторизация не слетела.

. C теми, у кого угоняли аккаунт, не пытались выяснить, как это произошло? Если воруют куки или перехватывают пароли, то какая разница - сделать это только с паролем форума или же с паролем форума и паролем имейла? А если учесть, что часть людей в принципе пользуется одинаковым паролем для всего, то увеличение безопасности сомнительно....

Угнали мыло=угнали аккаунт это однозначно и не обсуждается.
Двухфакторная авторизация защищает от другого.
Например мне нужен конкретный акк -
Берется Никнейм пользователя, прогоняется по базам вида Ник-пароль. Если на этом этапе нашелся пароль, то акк угнан.
Либо если стоит простой пароль то брутится, уже на самом форуме учитывая что вплоть до предпоследней версии на Xenforo не стояло защиты от брута, то конечный успех зависел от времени.
В случае двухфакторной авторизации, злоумышленнику помимо брута пароля придется получать еще доступ к мылу, на многих современных почтовиках брутить практически нереально.
Единственно я еще бы убрал подсказку с E-mail см. картинку

чтобы не подсказывать злоумышленнику какой e-mail надо угонять или вставил звездочки вместо некоторых букв типа -
На e-mail : G****ne@nulled.cc отправлен пароль

 

[zonr]

Вот сейчас специально 2 раза ip поменял и никаких проблем, авторизация не слетела.

Так у меня авторизация "слетает", потому что у меня намеренно снята галка "Запомнить" во время авторизации. Я каждый раз авторизуюсь с вводом пароля вручную. И не спрашивай, зачем мне это нужно. ))
А по поводу IP - это было предложение Соркуса, а не уже реализованный функционал. Так что естественно у тебя не слетело.

Единственно я еще бы убрал подсказку с E-mail см. картинку

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[Doctor_zlo]

Так у меня авторизация "слетает", потому что у меня намеренно снята галка "Запомнить" во время авторизации. Я каждый раз авторизуюсь с вводом пароля вручную. И не спрашивай, зачем мне это нужно. ))
.

Попробуйте не ставить галку на "Запомнить" но ставить галку на 30 дней.
Когда ставишь галку на 30 дней это означает что двухфакторная авторизация будет отключна для именно этого устройства на 30 дней, при этом вы можете логиниться и разлогиниваться, то есть нажали выход, на следующий день зашли/залогинились и двухфакторную авторизацию уже не спросит.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[zonr]

Попробуйте не ставить галку на "Запомнить" но ставить галку на 30 дней.
Когда ставишь галку на 30 дней это означает что двухфакторная авторизация будет отключна для именно этого устройства на 30 дней, при этом вы можете логиниться и разлогиниваться, то есть нажали выход, на следующий день зашли/залогинились и двухфакторную авторизацию уже не спросит.

А где находится эта галка? Прошлась по настройкам - не нашла... Или это какое-то нововведение во время авторизации? Отключение двухфакторной аутентификации для этого устройства вполне устраивает. ))

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[_sergey_]

А где находится эта галка? Прошлась по настройкам - не нашла... Или это какое-то нововведение во время авторизации? Отключение двухфакторной аутентификации для этого устройства вполне устраивает. ))

Она после выхода с форума появится, когда снова зайти решите и уйдёт код на мыло, под полем для ввода кода будет стоять отключить на 30 дней. Вроде так.

 

[Doctor_zlo]

....

1) Авторизуемся в ситуации для zonr когда не надо чтобы форум запоминал авторизацию, но надо чтобы запомнил двойную аутетификацию -

Тем же кому надо чтобы запомнило и авторизацию и аутентификацию ставим галочки Запомнить

2) Когда Вы ввели пару логин-пароль, у вас потребует код из e-mail, там же будет стоять галочка - добавить устройство к доверенным на 30 дней


Все после этого момента можете в течении 30 дней логиниться и разлогиниться, двойную авторизацию спрашивать не будет, устройство в доверенных.
Если по каким то причинам надо убрать устройство из доверенных то наводим мышь на свой ник в выпадающем меню жмем - Двухфакторная аутентификация -


В открывшемся окне убираем устройство из доверенных.
И теперь при следующей авторизации, потребует двухфакторную аутентификацию

Скриншоты кликабельны

 

[Twix007]

А если доступа к почте нету????