Pages:
Author

Topic: Двухфакторная аутентификация добавлена - page 2. (Read 353 times)

staff
Activity: 3472
Merit: 4111
Crypto Swap Exchange
ПХАХАХАХАХА. Ввели 2FA на умирающем форуме  Grin Grin Grin
Видимо, ничего бы и не было, если б ни PowerGlove, который бесплатно потратил дофига времени на разработку патча к SMF. За что ему уважение безмерное, конечно, так как уже не верилось, что тут технически когда-то ещё что-то может поменяться.



Включил себе, вроде работает.
legendary
Activity: 1974
Merit: 3049
Или это какие-то действия направленные на борьбу с кражей почты высокоранговых аккаунтов, которые забили на форум и не активны, с последующей перепродажей аккаунта?

Те, кто уже забросил форум, уже не смогут и включить 2FA. А так, существенная часть продаваемых аккаунтов на форуме это взломанные аккаунты. И с них то малварь запустят продвигать, то в подписную их сунут, так что взломы это явление системное, просто обычно ломают именно что заброшенные аккаунты. И когда потом кто-то из владельцев решит вернуться, то восстановить забаненный за кучу всего нехорошего аккаунт будет не просто сложно, а и иногда малоосмысленно, потому что за ним уже будет нехороший шлейф...
legendary
Activity: 2520
Merit: 1218
Функция безусловно конечно полезная, но я наверно что-то пропустил или обитал не в той части форума, но я не заметил большого количества взломов и краж учетных записей в последнее время (помню лишь единичные случаи когда через украденные аккаунты просили и брали в долг), чтобы появилась необходимость вводить подобные дополнительные меры безопасности. Или это какие-то действия направленные на борьбу с кражей почты высокоранговых аккаунтов, которые забили на форум и не активны, с последующей перепродажей аккаунта?
legendary
Activity: 1974
Merit: 3049
Я не совсем понял момент со взломом электронной почты: если восстановление пароля не включать в настройках аккаунта, то сбросить 2FA все-таки получится или нет?

В настройках аккаунта нет пункта о восстановлении пароля. Любой же человек может попытаться воспользоваться функцией восстановления пароля от любого аккаунта. При наличии достаточных данных пароль будет переустановлен. Соответственно, в момент переустановки пароля возникнет возможность сброса двухфакторной аутентификации.

А то как будто бы это новвоведения особой безопасности не добавит, так как электронную почту гораздо проще взломать, чем получить прямой доступ к устройству с установленным аутентификатором или тем более к физическимо устройству типа YubiKey.

Если не доверяете своей электронной почте, можно воспользоваться советом theymos'а и задать несуществующую электронную почту на несуществующем случайном поддомене форума.
sr. member
Activity: 1078
Merit: 332
Я не совсем понял...


Скоро ожидаем вой домохозяек с воплями: "На кой нам энтот чертов энторнет 2FA, нифига не понятно". И куча акков с утерянными 2FA и куча самозаблокированных аккаунтов  Grin Grin Grin



Пока этот 2FA код введешь - умную мысль потеряешь.  Ебатушки. Пока тор подключишь, пока он там инициализируется, пока телефон с 2fa приложением включишь, пока приложение с 2fa найдешь, пока приложение с 2fa запустишь, пока поймаешь момент с таймером 2fa, а потом капчу еще введешь - весь день пройдет. Ебанизм какой-то
legendary
Activity: 2338
Merit: 1775
Catalog Websites
Я не совсем понял момент со взломом электронной почты: если восстановление пароля не включать в настройках аккаунта, то сбросить 2FA все-таки получится или нет? А то как будто бы это новвоведения особой безопасности не добавит, так как электронную почту гораздо проще взломать, чем получить прямой доступ к устройству с установленным аутентификатором или тем более к физическимо устройству типа YubiKey. И кстати, нововведения на старом движке форума смотрятся несколько странно, гораздо лучше бы это все реализовать на новой версии форума, потому что там безопасность будет важнее в следствие своей недостаточной оттестируемости. Но похоже, что ожидание нового софта продлится еще несколько лет.



У меня есть сомнение, что 2FA добавит форуму безопасности в таком случае. Вообще наблюдал как вводили систему 2FA на форуме YoBit (там у пользователей были большие проблемы, сразу после введения этой системы, далеко не всё работало как надо).
Поэтому, на мой взгляд, нужно подождать, пока это нововведение будет оттестировано и и появится опыт его применения на практике. Всё-таки вопрос твоего захода в аккаунт форума это очень важный вопрос. И если там технически всё это реализовано с ошибками, то потерять аккаунт очень легко. Я считаю, что при использовании всяких технологических фишек лучше быть консерватором и и стараться пользоваться тем, что себя уже хорошо показало и зарекомендовало. Так что посмотрим, как будет функционировать новая система захода на форум.
sr. member
Activity: 1078
Merit: 332
ПХАХАХАХАХА. Ввели 2FA на умирающем форуме  Grin Grin Grin

Спохватились  Grin Grin Grin

Раньше люди просили. На пике развития форума. Термос всем хер показывал. А тогда знатные акки угонялись. А теперь какой смысл в 2FA? Аудитория полупустая. Для кого цирк?

Пошел нахуй Термос.
hero member
Activity: 714
Merit: 1298
Нужная функция, но лично я   обожду с её использованием пока не проявятся все баги, чтобы не получилось так, что после её активации будет невозможно зайти на форум.

Из того что я понял. В случае запроса восстановления доступа к аккаунту с использованием электронной почты (типа забыл пароль) 2FA будет отключён и на почту прийдёт временный пароль  (а может быть линк или что-то подобное), позволяющий зайти на форум и поменять свои настройки безопасности.

 
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
Я не совсем понял момент со взломом электронной почты: если восстановление пароля не включать в настройках аккаунта, то сбросить 2FA все-таки получится или нет? А то как будто бы это новвоведения особой безопасности не добавит, так как электронную почту гораздо проще взломать, чем получить прямой доступ к устройству с установленным аутентификатором или тем более к физическимо устройству типа YubiKey. И кстати, нововведения на старом движке форума смотрятся несколько странно, гораздо лучше бы это все реализовать на новой версии форума, потому что там безопасность будет важнее в следствие своей недостаточной оттестируемости. Но похоже, что ожидание нового софта продлится еще несколько лет.

legendary
Activity: 1974
Merit: 3049
theymos объявил о вводе системы двухфакторной аутентификации (2FA) на форуме. Теперь в настройках профиля можно поставить галочку в пункте «Enable two-factor authentication?» и включить 2FA.

Где искать: PROFILE → Account Related Settings → Two-factor authentication status

Перевод:
Благодаря PowerGlove, который выполнил 90% работы над этим, наконец была добавлена часто запрашиваемая функция двухфакторной аутентификации (2FA). Вы можете включить её в настройках своего профиля и затем вам нужно будет указывать код при входе на форум. Если у вас не включён 2FA, поле OTP при входе необходимо оставлять пустым.

Если вы воспользуетесь функцией восстановления забытого пароля, при этом будет доступна возможность удалить 2FA. Таким образом, 2FA не даёт никакой защиты в случае взлома электронной почты. Убедитесь, что ваш адрес электронной почты в безопасности. Если вы не хотите указывать адрес электронной почты, используйте что-то вроде [email protected]; не используйте случайный бессмысленный адрес электронной почты типа [email protected], потому что кто-то может создать этот домен/адрес электронной почты.

Дайте мне знать, если обнаружите какие-либо ошибки.

Оригинал:
Thanks to PowerGlove, who did 90% of the work on this, the much-requested 2-factor authentication feature has finally been added. You can enable it in your Account Settings, and then you have to give the code when logging in. If you don't have 2FA enabled, you have to leave the OTP field blank when logging in.

If you use the forgotten-password function, then there's an option to remove the 2FA. So 2FA does not provide any protection in case of a compromised email. Make sure that your email address is secure. If you don't want to set an email address, use something like [email protected]; don't use a random nonsense email like [email protected], since somebody might create that domain/email.

Let me know if there are any bugs.
Pages:
Jump to: