[Важно] Как защитить свой аккаунт от взлома

Спасибо админам за заботу и полезные ссылки!

 

Ага. Давайте еще и в Гугл свой пароль перешлём в целях повышения безопасности.

 

По поводу безопасности: при вводе неправильного пароля, система предупреждает о том, что связка логин/пароль неверная. А при верном написании пароля, запрашивает пин-код.
Т.е. злоумышленник все равно будет использовать брутфорс, а потом ему просто нужно будет подобрать 4х-значный пароль.
Решение: показывать что данные введены неверно только после ввода пин-кода. Это значительно усложнит задачу злоумышленнику по поиску верной связки логин/пароль/пин-код.

P.S. Багрепорт: пинкод не запрашивается, если разлогиниться и залогиниться снова.
Как повторить:
1. Ввожу верный пароль, ввожу верный пин - залогиниваюсь, ставлю "Ок" на узнавание устройства на 30 дней. Разлогиниваюсь.
2. Ввожу неверный логин/пароль, возвращаюсь назад на страницу входа и ввожу верный логин/пароль.

Ожидание: система должна запросить пин-код.
Реальность: пин-код не запрашивает.

Почему это плохо: я, например, отошел от компьютера. Подходит человек и через менеджер паролей с сохраненным паролем заходит на сайт. Всё, злоумышленник зашел.

Моя логика такая: если ты вышел из аккаунта, настройка "сохранить привязку к устройству на 30 дней" должна сброситься. И обязательно запрашивать пин-код при попытке залогиниться снова после разлогина. Так же, как в банковских приложениях: если вышел из аккаунта с устройства, в следующий раз вводи пин-код.


P.S. Если пин-код нужно вводить лишь раз в 30 дней, вероятно его регулярно будут забывать/терять.

 

Каждый день захожу на Складчик, пароль не запрашивается. Я его уже не помню, как восстановить?

 

Зайдите с другого браузера или в режиме инкогнито, выберите опцию "Забыли пароль?", проверьте емейл, перейдите по ссылке, введите новый.

 

И получит бан после 3 неудачных попыток. Зачем усложнять жизнь пользователям?

Зайдите с другого даже браузера, не то, что компьютера, и очень даже запросит. Злоумышленники ведь со своего железа заходят, а не с вашего, чтобы еще и браузер угадать.

То есть, вы оставляете компьютер в общественном месте без присмотра, даже не ставя на него пароль после выхода?

Так вообще её не отмечайте, раз у вас так плохо с безопасностью и доступом третьих лиц к вашему железу.

Уже сейчас начали. Но для этого есть резервные коды, которые (внезапно!) можно и нужно сохранить после подтверждения 2ф. И да, у кого с памятью не очень, можно поставить по приложению, и вообще никакие коды запоминать не надо. Ну разве что - куда резервные сохранили.

 

Допустим, у злоумышленника есть 3 попытки. Допустим, он может подобрать какой-нибудь очень простой пароль за 90 подборов с 30 разных ip. Т.к. ему выдается информация верный/неверный пароль еще до момента ввода пин-кода. Т.е. небольшую базу простых паролей теоретически злоумышленник собрать может, хотя и заход по пин-коду его затормозит.

А вот если информацию о верном/неверном логине_пароле выдавать только после ввода пин-кода (если пин-код верный)? Тогда злоумышленник даже если у пользователя пароль 123 или 11111 стоит, злоумышленник не сможет узнать об этом.
Что скажете, есть смысл информацию такую выдавать после ввода пин-кода, а не до?

 

Режим инкогнито - это в настройках ... ?
Показывать онлайн-статус
Это позволит другим людям видеть, когда Вы онлайн.
Или не то? Никак не могу решить вопрос со сменой пароля.

 

Он уже на третьей попытке получил бан, какие 90 подборов? IP может меняться хоть после каждой попытки. Блокировка идет для юзера.
Можете на своём аккаунте проверить, если на 100% уверены, что у кого-то есть даже 10 попыток на неправильный ввод при смене ip.

 

ru - россия, cn - китай
А вдруг человек из китая будет юзать операвпн и у него она не заведётся? Лучше заменить на малопопулярную страну вроде cc (Кокосовые острова) или ck (Острова кука) или fm (Федеративыные штаты микронезии) ну или на пустую строку []

 

Инструкция направлена на тех, у кого проблемы с заходом на сайт через оперу. У "человека из Китая" вряд ли будут проблемы с открытием Складчика тк он заблокирован не в Китае. Поэтому лучше всё-таки воздержаться от гипотетических ситуаций

 

Добрый вечер! Подскажите, а где лучше хранить пароли от сайтов, коим пользуюсь? (ну кроме блокнота бумажного)
У меня на телефоне 2 симки, соответственно 2 номера и я с одного номера к себе на другой переотправляю обычным смс сообщением их, понимаю, что небезопасно это, но все в одном месте и всегда под рукой.

 

Мир не вертится вокруг одного только складчика, а в китае много чего заблокировано.

 

Охотно в это верю. Но данная тема не предназначена для обсуждения всего, что происходит в мире, а исключительно для обсуждения проблем Складчика (причём вполне определенных проблем)

 

Менеджеры паролей:

 

Огромное спасибо, все получилось!

 

То есть забанят того, чей аккаунт пытаются взломать?