? Editing: Post:21.body Save Delete Cancel
Content changed Sign & Publish new content

Детки из детской

Мы детки ZeroNet`a
(„˃‿˂„)

Follow in NewsfeedFollowing

Latest comments:

Add new post

Title

21 hours ago · 2 min read ·
3 comments
Body
Read more

Not found

[Пятница] Секретный вопрос, секретный ответ, секретный секрет

on May 17, 2019 · 4 min read

Невнимательные детки,

[ZeroBlog_129hHL4SQ5ZXdUKn7RAZTF3ppjW4jeYnJZ]_secret_question.png (966x864)

Нужно больше паролей и псевдо-паролей

Каждый из нас регистрирует море учёток, важных и мусорных. Некоторые пользуются менеджерами паролей. Но всегда есть НО, которое касается дополнительных псевдо-паролей. Они могут выражаться в виде секретных вопросов или токенов - внося полный хаос в процесс регистрации, создавая дыры в обработке этой гадости.



Начало с примером из яндекса :

Всё началось с регистрации в яндексе, потребовалась временная учётка. Регистрация, в таком +18 сервисе, уже создаёт дополнительные проблемы: нужно запускать отдельный браузер, мериться с задержками tor`а, разгадывать тонны рисунков для роботов.

Капча в яндексе состоит из кириллицы, боль с переключением раскладки - бесценна.

Философ с несколькими раскладками

Регистрируемся:

  • Логин - угу
  • Пароль - да, ctrl+v
  • Повторите пароль - ctrl+v
  • Секретный вопрос - сейчас, переключение на вкладку доп. полей в менеджере паролей, ctrl+c -> ctrl+v
  • Мобильный телефон - ну нет
  • Капча, а ещё капча, а введите пароль ещё раз, а может tor нода отключится и введёте всё заново?

После нескольких кругов ада: "Добро пожаловать !".

Не понадобилась, пришло время удаления. Как и все добропорядочные пользователи, мы удаляем ненужные профили, особенно такие:

  • Так, а как удалить, хмм...
  • Ага, профиль, низ страницы
  • Секретный вопрос, капча, удалить
  • Вы ввели неверный ответ на секретный вопрос
  • Что? ...

Мы все сталкивались с такой проблемой. Она возникает в момент десятков переключений между софтом/страницами. Отсутствие проверки корректности ввода - осложняет ситуацию. А ещё можно столкнуться с ситуацией, когда секретного вопроса вообще раньше не было и тут гадайте о дальнейших действиях.

Конкретные проблемы :

  1. Справка yandex.ru/support/passport/troubleshooting/cant-delete.html и yandex.ru/support/passport/troubleshooting/forgot-secret-response.html

    1. Если вы не привязали ни номер, ни телефон, нужно будет ответить на контрольный вопрос (для удаления аккаунта)

      Стоп, чем отличается номер от телефона в данном контексте? А если мы привяжем временный, это считается?

    2. Попробуйте вспомнить ответ, проверяя его на странице редактирования контрольного вопроса

      Попытки ограничены, вы сами в такое верите?
      А не хотят сотрудники яндекса: вспомнить имена всех пользователей, которые им написали в этом году?

    3. После нескольких неудачных попыток ввести ответ на контрольный вопрос Яндекс.Паспорт предложит вам обратиться в службу поддержки

      Которая потребует дату рождения и ФИО, которые указаны в вашем профиле (скорее всего на момент регистрации), а потом "фото лица на фоне разворота паспорта" исходя из статьи на Хабр`е. Если вы не указали эти данные или ФИО оказались фейковыми - вы в жопе.
      Предлог для отказа найдут, даже при наличии доступа к аккаунту и изменении этих данных.

  2. Фейковая безопасность

    1. Если вы не помните ответ на контрольный вопрос, но к вашему логину прикреплен номер телефона, то вы можете удалить из аккаунта почтовый ящик.

      Очередная недокументированная возможность? Отлично, отлично.. Постойте, только почтовый ящик, не всю учётку?

    2. Ответ на контрольный вопрос является ключом к восстановлению пароля и удалению аккаунта.

      Хмм, не пароль является ключом, а секретный вопрос - является. Славненько, паспорт не является подтверждением для кредита, достаточно подписи.
      Резервная почта тоже является ключом, не слишком ли много ключей?

    3. И естественно дыра в безопасности, бесконечные попытки подбора ответа на секретный вопрос

      Через страницу удаления учётки, которая требует ответ на секретный вопрос, можно подобрать этот ответ. Ограничение на количество попыток - отсутствует...


Итог :

  1. Пароль

    1. Доступ к основным функциям аккаунта
    2. Можно изменить пароль
    3. Можно добавить резервную почту
    4. Можно добавить номер телефона
    5. Нельзя изменить ответ на секретный вопрос
    6. Нельзя удалить аккаунт
  2. Секретный вопрос

    1. Доступ к всем функциям аккаунта
    2. Можно изменить пароль
    3. Можно добавить резервную почту
    4. Можно добавить номер телефона
    5. Можно изменить ответ на секретный вопрос
    6. Можно удалить аккаунт
  3. Номер телефона

    1. Доступ к основным функциям аккаунта
    2. Можно изменить пароль
    3. Можно добавить резервную почту
    4. Можно добавить номер телефона
    5. Нельзя изменить ответ на секретный вопрос
    6. Можно удалить аккаунт, если верить справке
  4. Резервная почта

    1. Доступ к основным функциям аккаунта
    2. Можно изменить пароль
    3. Можно добавить резервную почту
    4. Можно добавить номер телефона
    5. Нельзя изменить ответ на секретный вопрос
    6. Нельзя удалить аккаунт

Если проследить уровень доступа, получим: секретный вопрос -> номер телефона <-> пароль с резервной почтой. Получается очень странная градация, особенно на фоне ввода ответа на секретный вопрос. Пароль мы указываем два раза, а ответ - один.

Для доступа к данным аккаунта, достаточно получить доступ к одному из 4-х пунктов. Больше точек отказа, безопасность уменьшилась. Владельцу в таком случае, глубоко пофигу на: удаление аккаунта, наличие секретного вопроса, номер телефона. Аккаунт, при желании, можно восстановить, но потерю всех данных - уже не исправить.

Возникает вопрос, а так ли нужны эти псевдо-пароли? Они не решают основную проблему, наоборот, они упрощают получение доступа к аккаунту. Особенно при хранении всех паролей/псевдо-паролей в одном месте.



Бандиты, с пятницей !

Миллион секретных вопросов для разработчиков яндекса !

У яндекса есть рабский Bug Bounty, дерзайте 🍪 ...


Дополнительная информация из клирнета:

1. RU Очередная подлянка от Яндекс-почты https://habr.com/post/393065/

4 Comments:

user_name1 day ago
Reply
Body
kids@1PoWiD2vr5mBTAq6sGDfkDBTB6Q2UesaX4on May 25, 2019
Reply

renrits@kaffie.bit

Хмм, должна появляться кнопка: загрузить хаб или подобная.

renrits@kaffie.biton May 25, 2019
Reply

Загрузил твой хаб, все появилось. Разве он не должен добавлятся автоматически?

kids@1PoWiD2vr5mBTAq6sGDfkDBTB6Q2UesaX4on May 24, 2019
Reply

renrits@kaffie.bit

Магия ZeroNet`а, скорее всего в хабе, не загрузился полностью.

renrits@kaffie.biton May 22, 2019
Reply

"User not found or muted" У твоего профиля в ZeroMe. В чем может быть дело?

This page is a snapshot of ZeroNet. Start your own ZeroNet for complete experience. Learn More