про двофакторну автентифікацію

| щоденник, кумедне, інтернет, комп'ютери

мені завжди — ну, тобто відколи google з друзяками почав активно (щоби не сказати агресивно) впроваджувати свою двоетапну автентифікацію, — непокоїло питаннячко: а що як я загубив телефон, на який має прийти другий фактор, або ключик u2f, чи токен otp, чи що там ще… загубив, щойно втопив, розбив на друзки, або відібрала гопота в під’їзді, або я забув сплатити і мені відключили мій мобільний номер, або я забув чи не встиг відключити і виїхав на пмж до іншої країни (а там зовсім інші мобільні номери, знаєте)… ну або ще щось із нескінченного переліку життєвих неприємностей?

тепер я маю відповідь, і вона прекрасна (цитую):

«якщо тобі „поталанило“ загубити твого ключика u2f, найперше (і, насправді, єдине) що ти мусиш зробити — це видалити цей автентифікатор зі свого профілю. тобі знадобиться вхопити пристрій, котрий вже підключений до всіх твоїх профілів, і прибрати цей ключ з переліку форм автентифікації».

я регочу як дурний! я навіть не знаю, скільки людині треба рук, щоби повноцінно передати красу цієї поради відповідним фейспалмом, — думаю, навіть калі, дай їй бох здоровля, не змогла б.

тут цілих дві «родзинки»… або три:

  • щоби не втратити доступ до важливого профіля, надійно захищеного двофакторною автентифікацією, я повинен… не втратити доступ до профіля! тому…
  • …або я десь маю пристрій, котрий вже підключений до мого профіля (без необхідності використовувати додатковий фактор!) — що, по-моєму, практично обнуляє сенс тієї двофакторності (за винятком корпоративного використання, але про це далі);
  • …або ж я його не маю (або він «випадково відключився», поки я був зайнятий втопленням чи розбиванням свого телефона) — і можу попрощатися з своїм профілем та йти реєструвати новий.

што?!

google, до речі, красиво радить надрукувати собі одноразових кодів доступу до профіля! це, нмсд, не менш прекрасно, і межує десь зі звичкою тьоть в усіх бухгалтеріях світу (без жартів) занотовувати всі свої явки й паролі до записника з корпоративним логотипом і зберігати просто-таки тут, в шухлядці біля комп’ютера. а по суті є ще «надійнішим» другим пристроєм, який завжди підключений

пля! та серйозно, хлопці! я часом свій паспорт не можу знайти в хаті! — ви пропонуєте мені на рік чи два десь тут «надійно заховати» якісь роздруковані папірці, і в критичну мить повного відчаю, на морському курорті, за стопіцот тисяч кілометрів від дому враз їх витягти з кишені й все ж таки зайти на свій gmail?!

продовжую реготати!

так, мій скромний 20-символьний пароль можна, теоретично, вгадати, підібрати чи витягти з мене навіть не тортурами, а бодай погрозою тортур. але чомусь мені здається, що ймовірність втратити доступ до ключового профіля з двофакторною автентифікацією саме через якусь ідіотську проблему з другим фактором впродовж трьох років (середній термін життя телефона в середньостатистичного користувача) наближається до одиниці.

про корпоратив: все сказане вище стосується виключно особистих профілів, — бо в корпоративі є спеціально навчені люди, і ваш загублений токен otp зразу стає їхньою проблемою! якщо, звісно, це не ви системний адміністратор, — бо тоді так, ласкаво просимо до пекла, готуємо білєтікі завчасу роздруковані одноразові коди доступу, буагагага!

(входять санітари, в’яжуть і виносять пацієнта, гомеричний регіт продовжує лунати з-за куліс, падає завіса)