[мухожук]

Больно им надо. Поверь на 99,99999999999999% им вообще насрать на твой акк. Выводить него.

Пока бафать сумку не начали, защищался только простеньким паролем.

Неужели эту штуку не могут преодолеть взломщики?
Я бы понял, если код был бы генерируемым онлайн, а так...

Он и так генерируется онлайн

Лишь бы ляпнуть?

И что ты приложил скриншот? Что хочешь этим сказать? Ты в курсе, что сид генерируется "онлайн", как ты сказал, а точнее на сервере, после авторизации по логину и паролю, а конкретный код это функция от сида и текущего времени? Попробуй, получи актуальный код заново, но только режим "в самолёте" включи с самого начала.

Все работает под оффлайном.

Естественно, оно работает, пока срок действия сида не истёк, у него есть время жизни. А вот я не пользовался давно. Работает?

[AwakumRu]

Больно им надо. Поверь на 99,99999999999999% им вообще насрать на твой акк. Выводить него.

Пока бафать сумку не начали, защищался только простеньким паролем.

Неужели эту штуку не могут преодолеть взломщики?
Я бы понял, если код был бы генерируемым онлайн, а так...

Он и так генерируется онлайн

Лишь бы ляпнуть?

И что ты приложил скриншот? Что хочешь этим сказать? Ты в курсе, что сид генерируется "онлайн", как ты сказал, а точнее на сервере, после авторизации по логину и паролю, а конкретный код это функция от сида и текущего времени? Попробуй, получи актуальный код заново, но только режим "в самолёте" включи с самого начала.

Все работает под оффлайном.

Естественно, оно работает, пока срок действия сида не истёк, у него есть время жизни. А вот я не пользовался давно. Работает?

Речь именно про генерацию кода. "Удобный", быстрый способ авторизации добавили относительно недавно, но старый по-прежнему можно использовать даже если на устройстве отсутствует интернет. Собственно, брелки так и работают!

[WowIsDead64]

Естественно, оно работает, пока срок действия сида не истёк, у него есть время жизни. А вот я не пользовался давно. Работает?

Блин. Ну в головой то думаете? В физическом брелке нет никакого интернета и он как то работает уже примерно 7 лет. Магия? Просто в телефоне не такие точные часы, а уход времени даже на несколько секунд уже приведет к тому, что у вас будут проблемы с авторизацией. Потому необходимы частые синхронизации с интернетом. Современные телефоны не дают синхронизировать системные часы вручную, чтобы мы таким образом не крякали их драгоценные платные приложения. Потому аутентификатор имеет свою собственную настройку дэльты времени, которую должен переодически синхронизировать.

[darthvedar]

Я выиграл в розыгрыше в вконтакте  Такой как справа, со старкрафтом. Сколько лет уже как брелок висит, но и пользуюсь 

[мухожук]

Естественно, оно работает, пока срок действия сида не истёк, у него есть время жизни. А вот я не пользовался давно. Работает?

Блин. Ну в головой то думаете? В физическом брелке нет никакого интернета и он как то работает уже примерно 7 лет. Магия? Просто в телефоне не такие точные часы, а уход времени даже на несколько секунд уже приведет к тому, что у вас будут проблемы с авторизацией. Потому необходимы частые синхронизации с интернетом. Современные телефоны не дают синхронизировать системные часы вручную, чтобы мы таким образом не крякали их драгоценные платные приложения. Потому аутентификатор имеет свою собственную настройку дэльты времени, которую должен переодически синхронизировать.

Просто в телефоне не такие точные часы, а уход времени даже на несколько секунд уже приведет к тому, что у вас будут проблемы с авторизацией. Потому необходимы частые синхронизации с интернетом.

Seriously? А в брелок встроены швейцарские часы, и за 7 лет нет ни малейшей погрешности? Вот это поворот.

В физическом брелке нет никакого интернета и он как то работает уже примерно 7 лет. Магия?

В брелки сид прошивается единоразово и не имеет срока жизни. Магия - это твоё предположение, что время на оффлайн-брелке никогда не рассинхронизируется, а на телефоне рассинхронизируется, и поэтому, мол, нужен интернет на телефоне.

[Kalentej]

Сами же разрабы мобильных осей насильно навязывают вам сохранение всех ваших данных в различного рода облаках. Т.е. если вы пользуетесь мобильником, то ид вашего аутентификатора скорее всего уже давно лежит в облаке у разраба вашей мобильной оси.
И потому я как раз и подумал о том, как же круто иметь чисто физический аутентификатор, в связи со всеми этими недавними проблемами телеметрии и других способов шпионажа за своими пользователями. Ну пусть у них есть доступ к моему банковскому счету, так хоть аккаунт вова не смогут взломать.

Да. Гуглу или Эпплу не нужен твой счёт в банке, они спят и видят увести твой аккаунт в ВоВ)))

[Dart Raiden]

Комментаторам выше предлагаю прочитать спецификацию TOTP и перестать гадать, зависит оно от времени или нет.

Внутре у ней неонка у физического брелка именно аппаратная реализация TOTP. У мобильного приложения тоже TOTP, но параллельно с этим при попытке логина от сервера (через интернет) прилетает запрос "тут это, кто-то логинился, ты ли это?" и можно одобрить нажатием кнопки. Точно так же, как сделан сейчас вход в аккаунт Google. Какой способ использовать, выбирает пользователь.

Например, я просто выдрал secret из приложения и загнал его в FreeOTP, потому что FreeOTP генерирует мне коды для всех онлайн-сервисов, поддерживающих TOTP, а держать для каждого конкретного сервиса его конкретное приложение нахрен не упёрлось. Именно для этого и нужна стандартизация, чтобы каждый сервис не изобретал свой велосипед.

Сбрутить TOTP.... удачи. Secret там длинный, а количество попыток, если сервис вменяемый и заблокирует вход на N минут после M неудачных попыток, у вас ограничено. Придумаете способ быстро и без проблем сбрутить - мировая слава на конференциях по безопасности вам обеспечена.

[sacar]

У вас что, нет телефонов?

есть) но он чисто чтоб звонить по работе... там даже камеры нет, тупо девайс на 2 симки

[Dart Raiden]

Я напомню, что даже, если у вас кнопочный телефон, то там есть J2ME (Java Mobile, олдфаги помнят). И вы можете использовать сторонние приложения, которые прекрасно сгенерируют вам код. Если же у вас Android, iOS, Windows Phone, Symbian, BlackBerry OS, Maemo, Meego, Sailfish или ещё что-то "продвинутое", то там точно есть TOTP-приложуха.

Если же у человека совсем нет никакого мобильного телефона, то это исключительный случай, давайте посочувствуем ему и пожелаем часик в радость.

[Cregan]

Комментаторам выше предлагаю прочитать спецификацию TOTP и перестать гадать, зависит оно от времени или нет.

Внутре у ней неонка у физического брелка именно аппаратная реализация TOTP. У мобильного приложения тоже TOTP, но параллельно с этим при попытке логина от сервера (через интернет) прилетает запрос "тут это, кто-то логинился, ты ли это?" и можно одобрить нажатием кнопки. Точно так же, как сделан сейчас вход в аккаунт Google. Какой способ использовать, выбирает пользователь.

Например, я просто выдрал secret из приложения и загнал его в FreeOTP, потому что FreeOTP генерирует мне коды для всех онлайн-сервисов, поддерживающих TOTP, а держать для каждого конкретного сервиса его конкретное приложение нахрен не упёрлось. Именно для этого и нужна стандартизация, чтобы каждый сервис не изобретал свой велосипед.

Сбрутить TOTP.... удачи. Secret там длинный, а количество попыток, если сервис вменяемый и заблокирует вход на N минут после M неудачных попыток, у вас ограничено. Придумаете способ быстро и без проблем сбрутить - мировая слава на конференциях по безопасности вам обеспечена.

Сорри, бат мэй ай хэв дэт ин рашн лэнгвидж? Видимо придется гуглить, ибо твоя ссылка бессмыслена и бесполезна.

[Dart Raiden]

Комментаторам выше предлагаю прочитать спецификацию TOTP и перестать гадать, зависит оно от времени или нет.

Внутре у ней неонка у физического брелка именно аппаратная реализация TOTP. У мобильного приложения тоже TOTP, но параллельно с этим при попытке логина от сервера (через интернет) прилетает запрос "тут это, кто-то логинился, ты ли это?" и можно одобрить нажатием кнопки. Точно так же, как сделан сейчас вход в аккаунт Google. Какой способ использовать, выбирает пользователь.

Например, я просто выдрал secret из приложения и загнал его в FreeOTP, потому что FreeOTP генерирует мне коды для всех онлайн-сервисов, поддерживающих TOTP, а держать для каждого конкретного сервиса его конкретное приложение нахрен не упёрлось. Именно для этого и нужна стандартизация, чтобы каждый сервис не изобретал свой велосипед.

Сбрутить TOTP.... удачи. Secret там длинный, а количество попыток, если сервис вменяемый и заблокирует вход на N минут после M неудачных попыток, у вас ограничено. Придумаете способ быстро и без проблем сбрутить - мировая слава на конференциях по безопасности вам обеспечена.

Сорри, бат мэй ай хэв дэт ин рашн лэнгвидж? Видимо придется гуглить, ибо твоя ссылка бессмыслена и бесполезна.

Я дал ссылку на первоисточник, где подробно описан стандарт и механизм работы. Ты можешь гуглить более простые и русскоязычные пересказы, но за их точность я уже не ручаюсь, а RFC это как раз та спецификация, которой все реализации обязаны соответствовать. Можно почитать Википедию, там,вроде без ошибок. Там же есть формула, по которой вычисляется то самое число, из неё вполне очевидно, что на клиенте и сервере время не должно сильно расходиться, иначе сервер сгенерирует одно число, а клиент другое, числа не совпадут, сервер не впустит.

[Eartl]

Сорри, бат мэй ай хэв дэт ин рашн лэнгвидж? Видимо придется гуглить, ибо информацию по твоей ссылке мне не осилить.

Я поправил, не благодари.

[GrizzlyR]

Мля, да уберите вы эту картинку под спойлер!

У меня еще лежит брелок. Такой же, как 1ый на скрине. Увы, уже вышел из строя. Но он мне долго прослужил. С начала каты если не путаю.

[kašpiriš]

У вас что, нет телефонов?

[Фурилон]

С момента появления мечтал приобрести этот брелок.  Но не доставлялись в Россию. И до сих пор мечтал, что когда-нибудь получу. И вот, облом.