Национальный мессенджер Max (читают 10)

[Anton.K]

Вопрос стоит в том, что проще украсть - пароль или код из СМС.

Этот вопрос, хотя и представляет теоретический интерес, но в случае с ГУ смысла не имеет - здесь применяется двухфакторная авторизация, т.е. сначала пароль, а потом SMS/TOTP/MAX/биометрия (нужное подчеркнуть).

Нажмите на входе в ГУ Забыл пароль и поймёте, что скрипач пароль будет не нужен для входа.

В целом, верно, но есть нюанс - для входа всё равно нужен будет новый пароль.
Если "забыть пароль", то для восстановления пароля (фактически для его смены) достаточно SMS-кода (4 цифры, а не 6, как раньше при входе) и серии+номера паспорта.
После этого появляется напоминание, что доступ может быть ограничен на 72 часа после смены пароля.

Спойлер: Ограничение доступа на 72 часа после смены пароля

И новый пароль потом приходит в SMS - требуется явное подтверждение:

Спойлер: Подтверждение смены пароля

Проверено в веб-версии.
Примечательно, что до этого этапа ГУ не присылают на почту никаких предупреждений о попытке восстановления пароля.
Т.е. "перехват" SMS (вирус-стилер или соц.инжиниринг) и украденные номер-серия паспорта позволяют (мошенникам) сменить пароль (с последующим ограничением возможностей на 72 часа), НО войти в ГУ всё равно не получится, т.к. второй фактор (MAX/TOTP/биометрия) остаётся в силе (не проверял, но, полагаю, это так и есть)
С учётом этого запрет использования SMS (в двухфакторной авторизации), который пока активировали только для некоторых пользователей, действительно затрудняет мошенникам получение доступа к ГУ жертвы в случае "перехвата" SMS.

 

[Alex133]

А у пользователя он хранится в открытом виде.

С чего бы это? В менеджерах паролей неплохая шифрация. И надо еще добраться до файла базы паролей.
Да и лет 20 назад, когда я еще не использовал менеджеры паролей, я пароли хранил в текстовом файле, сжатом в раре с паролем. Когда паролей стало больше двух, запомнить их стало трудно, но и мысли не было хранить их открыто.

 

[Struzhkin]

С чего бы это? В менеджерах паролей неплохая шифрация. И надо еще добраться до файла базы паролей.

Очевидно же. Речь о том чтобы вытянуть пароль из самого пользователя точно также как и код смс. Методами социальной инженерии (т.е. взлома мозгов слабых на логику людей) а не какими-то там супер хакерскими приблудами.

 

[Вкладчег]

Очевидно же. Речь о том чтобы вытянуть пароль из самого пользователя точно также как и код смс. Методами социальной инженерии

На прошлой неделе как раз этим занимался - вытягивал пароль из соседки, чтобы зайти на её ГУ. Она назвала код из смс курьеру из поликлиники и страшно переживала по этому поводу. Пароль от ГУ при этом она наглухо забыла. В общем никакие приёмы ни социальной инженерии, ни инженерной социалии не помогли! Пришлось топать в МФЦ.

 

[askv]

@Вкладчег, что вам помешало запросить смену пароля на сайте ГУ?

 

[Вкладчег]

что вам помешало запросить смену пароля на сайте ГУ?

Это был не мой ГУ, а соседкин. После нескольких неудачных попыток подобрать пароль она была послана... в МФЦ. Там ей всё проверили и восстановили.
Это я к тому, что код из смс вот он, а пароль надо ещё вспомнить, особенно если заходишь в ГУ раз в году. И потом, когда курьер спрашивает код из смс, то неважно от чего он. А когда курьер спрашивает пароль, то возникает вопрос от чего именно пароль?

 

[vicreal]

Очевидно же. Речь о том чтобы вытянуть пароль из самого пользователя точно также как и код смс. Методами социальной инженерии (т.е. взлома мозгов слабых на логику людей) а не какими-то там супер хакерскими приблудами.

Фишинг и шпионское ПО тоже сюда.