Включаем 2FA

[Rockefeller]

а что не так с корпой? прост не щарю)

не нанонимано ведь, потому и юзал рамблер где не просило даже номер телефона

 

[Cendareto]

да давным давно они все всё фродят на оутлук не приходят мыла вообще а на гмх х#й даже регнишься через тор. на остальных мылах вечно просят номера телефонов что разумеется не алё. вот такие делишьки. про корпу лучше просто промолчу.

протон через тор спокойно регнуть можно

 

[Rockefeller]

протон через тор спокойно регнуть можно

часто бывает что просит либо другое мыло либо вообще номер телефона, проверено.

 

[Cendareto]

если просит другое мыло, то привязывай почту отсюда https://temp-mail.io/ иногда может не дать привязать, тогда просто меняешь домен почты

часто бывает что просит либо другое мыло либо вообще номер телефона, проверено.

 

[silentgeek]

всем привет. 2fa это ведь не только через почту! можно установить google authenticator или winauth. намного надежней чем почта

 

[asotryrbe]

всем привет. 2fa это ведь не только через почту! можно установить google authenticator или winauth. намного надежней чем почта

гугл херня которая может фроднуть в любой момент, да и как по мне секретной фразы вполне хватит)))

 

[Rockefeller]

гугл херня которая может фроднуть в любой момент, да и как по мне секретной фразы вполне хватит)))

Тоже считаю что вместо 2фа лучше ввести сикрет фразу, ну да мыло можно регать по разному но будет ли это вообще сикюрно... вбивать разовое если попросит мыло пратон

 

[admin]

По поводу 2fa, не нужно там мыло. Вариантов много. Я специально выложил детальную информацию - https://xss.pro/threads/32234/

 

[admin]

Ну да, или например поставьте себе гугл херню на телефон свой и запрашивайте коды у нее - пока форум по незнанке сольет почтовые ящики, тайминги и прочее, как было на експе. Пздц усложняем жизнь

Категорически не нужно ничего ставить на телефон, это не просто не секурно, это идиотизм. Вот https://xss.pro/threads/32234/
Chrome
Mozilla Firefox
Linux, тут сорцы
Windows
Сорцы в паблике, можно бегло просмотреть и убедиться, что там все относительно чисто.

 

[Kapibara]

А бывает 3FA ? просто интересно..для общего развития

 

[admin]

Как быть в случае если виртуальные машины\рабочие дедики постоянно уничтожаются, ничего не хранится, и чуть ли не каждая новая неделя начинается с настройки новой рабочей среды? Или я один такой а все остальные с основных систем сидят и им удобно иметь расширения?)

Есть одноразовые резервные коды.

Сейчас я так понимаю запретили автогарант без 2фа. Это ведь откатило на 3 шага все твои труды, админ. То что ты делал чтобы избежать кидков ты и запретил. Конечно сделку в телеге проведут, проще чем ставить себе 2фа

Да - https://xss.pro/threads/26416/post-565071
"Не виноватая я", что вокруг столько невнимательных людей. Ну пусть переезжают, кому нужно. Мы не конкурируем и не боремся за сделки, для нашего форума весь коммерс - это второстепенно. Меньше коммерса - меньше блеков =) Это ирония, если что =)

Я создаю 20 слов-секреток. При входе форум просит случайным образом дополнить несколько слов.
К примеру мои слова "Ртуть Раскаленный Множество" и форум дает мне " Мн********* р*******ый" и все! Как их фишить? И они спокойно будут со мной в памяти, а не на каких-то листочках, носителях и прочем, что играет злую роль против владельца.

Не безопасно это. Эти фразы прекрасно снимаются вместе с акком.

 

[admin]

Предлагаю, раз уж лепим глупости и тиранию - запретить сделки. Вы всегда говорили что коммерция второстепенна - давайте свернем все топики продажников, уберем гарант, закроем арбитражи - так-как пусть жалуются там, где они вели сделки, а это явно не у нас. Я хз что хуже - запрет сделок на ресурсе или же эти нововведения.

Спорить смысла нет - ресурс твой и ты командуешь, конечно же. Если бы на это можно было бы влиять, было бы общее голосование и поиск мнений, а это просто указ, отложенный на время.
В общем я так понимаю я с вами до первых прямых требований - на экспе меня забанили за отказ, тут тоже будет так-же.

По-первых, принудительный 2фа пока никто не вводит. Но поскольку людей кидают массово https://xss.pro/threads/81998/, мы близки к этому.

Во-вторых, хоть убей, я не понимаю, в чем проблема сгенерить 10 одноразовых кодов, выбрать любую безопасную почту (dnmx, sector.city, onionmail) и забыть. Входить по кодам, и то, если меняется сессия. Если нет, 2фа не запрашиваются 30 дней. Ни ставить ничего не нужно, ни на почту заходить.

 

[Brejnev]

По-первых, принудительный 2фа пока никто не вводит. Но поскольку людей кидают массово https://xss.pro/threads/81998/, мы близки к этому.

А как же вот это?

https://xss.pro/threads/32234/post-562914

 

[admin]

Грядет переворот в этой игре. Диктаторы ставят неприятные требования

Я вас не понимаю =)

Сейчас вы закрыли автогарант, будет большая волна скама в телеграм, это послужит хорошим поводом ужесточать требования к переходу на новый режим.

Честно, я вот иногда думаю, что есть люди, которые просто мечтают, чтобы их кинули. Иногда читаешь блеки и просто не понимаешь, как такое возможно. Как можно перевести деньги вперед человеку с регистрацией вчера, как можно покупаться на "привадные" форумы и т.д.

У меня такого нет и никогда не было например, почты я одноразовые использую, сессии меняются всегда, браузер не хранит ничего и обнуляется по закрытию, а я могу раз 10 в день зайти на форум и потратить все коды за день) А еще я постоянно меняю рабочие среды и не ношу с собой пачку секреток или тому подобного... Или расширения. Или учетки, кроме теперь уже одной, которая этого форума.

Суть понял. Но все равно не понимаю, в чем такая сложность заходить вместе с форумом на тот же почтовик dnmx через тор. Разве это сложнее, чем хранить где-то еще и контрольную фразу. По опыту - люди ее будут забывать, это нужно записывать и хранить вместе с паролем. Будут потом терять и восстанавливать. + нюанс - все эти фразы, хеши и т.д., они прекрасно снимаются и фишингом, и малварей. Человек может зайти с дедика, где-то что-то склеенное запустить, потом зайти на форум, эта фраза уходит вместе с акком. Чтобы было безопасно - это должна быть сид (которую 90% будут забывать и терять), при чем, генеренная форумом, а не пользователем. И она должна периодически меняться. Или очень длинное слово, а спрашивать у юзера буквы.
Но, в целом, суть я понял. Я подумаю, что можно сделать, как побезопаснее организовать 2фа.

 

[locative]

Не проще ввести секретные вопросы\ответы как у соседей?
Большинство людей не будет себе ставить 2FA даж епод угрозой бана аккаунта, на экспе было голосование по этому поводу, я думаю все видели его результаты.
В то же время введение принудительного 2FA проблему в корне всё равно не решит.

 

[admin]

Не проще ввести секретные вопросы\ответы как у соседей?

Писал выше. Такие варианты только наполовину безопасны. Это статика, статические данные. Поэтому прекрасно уводятся вместе с акком.

 

[Uroborus]

cookies

 

[silentgeek]

народ, 2fa это нормальная вещь. да, не обязательно ставить на телефон гугл аузентикатор, есть ведь и для винду алтернативы. Например winath.exe, я им пользуюсь. Поставьте на какую нибудь машину, полюбому у всех есть одна стабильная машина, вот туда и ставьте. Если нечаянно ее удалишь, то есть резервные коды, воспльзовался одним и опять восстановил winath.exe. Может я чего-то не понимаю, но в 2fa нет ничего страшного!

 

[MOKING]

народ, 2fa это нормальная вещь. да, не обязательно ставить на телефон гугл аузентикатор, есть ведь и для винду алтернативы. Например winath.exe, я им пользуюсь. Поставьте на какую нибудь машину, полюбому у всех есть одна стабильная машина, вот туда и ставьте. Если нечаянно ее удалишь, то есть резервные коды, воспльзовался одним и опять восстановил winath.exe. Может я чего-то не понимаю, но в 2fa нет ничего страшного!

Правдивая информация, палец вверх
Ставьте как ставите обычный софт н а ПК, тестируйте, всё просто: https://winauth.github.io/winauth/download.html

 

[locative]

Писал выше. Такие варианты только наполовину безопасны. Это статика, статические данные. Поэтому прекрасно уводятся вместе с акком.

Но ведь плагины 2FA с браузера тоже уводятся при желании и хорошем стиллере)