Возможно, в США кстати тоже без документов симки покупают

(Reply to this) (Parent) (Thread)

вообще‐то там дело не в этом: по регламенту для перевода как раз нужно подтверждение личности у оператора. но всем похуй, в техподдержке сидят набраные по объявлениям ебанаты, которые иногда даже сами «секретный вопрос» подсказывают. а оператор, понятно, никакой ответственности за свои проёбы не несёт, поэтому ему совершенно похуй, и он всегда будет набирать самых дешёвых дебилов.

(Reply to this) (Parent) (Thread)

> которые иногда даже сами «секретный вопрос» подсказывают.

mne parolj podskazyvali menty kotoryje oxranjli zdanije :) (kogda na menja signalizacija srabotala)

(Reply to this) (Parent)

вообще, сейчас среди Больших Сайтов потихоньку начинается движуха по отказу от «двухфактороной авторизации». вместо этого они пилят свои секретные гаджеты с ключами (гугель, например).

(Reply to this) (Parent) (Thread)

это не "секретные гаджеты", а просто мобильный апп как правило, который общается по тому же HTTPS только с сервером Большого Сайта и в который вшит индивидуальный ключ (в зависимости от назначения и самого Большого Сайта, он либо прибивается к Записи Пользователя Большого Сайта, либо идёт отдельно, и может использоваться вообще в любом сервере который совместимый протокол отдаёт, как у гугля). так-то TOTP старая штука, и "секретные гаджеты" все работают по ней, а отдельными девайсами TOTP-аутентификаторы делают часто (особенно банки) потому что TOTP схема не устойчива к клиентской малвари (шелл может утащить ключи). усб гаджет типо сложнее сломать чем телефон поэтому считается что лучше хранить секреты на нём. хотя есть куча TOTP клиентов под телефон под разные сервера (гугл аутентификатор один из них), и есть даже открытые сервера которые поддерживают схему так люди гугл аутентификатором (или совместимыми usb девайсами) в интранет логинятся часто у частников.

(Reply to this) (Parent) (Thread)

s/HTTPS/SSL конечно же, TOTP без участия HTTP работает вообще (хотя HTTP может использоваться как транспорт ...

(Reply to this) (Parent)

тем не менее, хайп по поводу «двухфакторной авторизации» потихоньку стихает. уже хорошо.

а так‐то понятно, что пока есть концепция «доверия третьей стороне», то любое решение будет несекурным.

(Reply to this) (Parent)

хотя на деле всё проще: поскольку ты не контролируешь свой мобильный номер, и не владеешь ним (ним владеет оператор), то никакой безопасности его использование не обеспечивает. что верить кошельку на уеб‐сайте, что уеб‐бирже, что оператору — совершенно одинаково небезопасно. именно поэтому двухфакторная авторизация — snake oil.

(Reply to this) (Parent) (Thread)

ну так можно сказать что и интернет не контролируешь ... вот у американцев сейчас контроль над интернетом забирают (Net Neutrality Dispute), с рфками всё понятно остались мы одни хохлы островом свободы в интернете (на самом деле нет)
грустно.

(Reply to this) (Parent) (Thread)

конечно, не контролируешь. именно поэтому надо делать децентрализованые mesh-сети, потому что интернеты в современном виде остаются очень неприятной точкой отказа.

(Reply to this) (Parent)

http://ithipster.com/blog/unorthodox/34.html

(Reply to this) (Parent) (Thread)

здесь рассказывают про схему с OTP (обычные одноразовые пароли, которые передаются по незащищённому каналу), с ней-то всё понятно: твиттеры/пейсбуки рфских всяких активистов фсб-бляди так и ломали (помню на этом ресурсе даже была такая фсб-блядь "хэлл": типо "ломал" кого-то методом милицейской выемки тазиков у провайдеров, забавно вышло: "хакер" у котрого ни одной "жертвы" за пределами РФ)
TOTP же более секурно потому что пароль не передаётся ни по какому каналу связи вообще, но есть проблемы с необходимостью обеспечения сохранности ключей на девайсе.

(Reply to this) (Parent)