Особенности двухфакторной аутентификации: пароль хранится в открытом виде, а смс перехватывается таращмайором

зачем нужен центральный сервер

Без сквозного шифрования понятно зачем. Ещё и к телефонному номеру вся история привязана – это лучше чем пасспорт показать

пароль хранится в открытом виде

А можно подробнее? Поискал пароль в каталоге tdata, ничего не нашёл.

Поищи на сервере у паши

ну дурова справедливо пинают, что у него базы на девайсах не шифруются и вообще много надежд на секурити девайса. также есть до сих пор незакрытая "фича" с угоном сессии через полное копирование папки. т.е. даже если мы полагаем сервера секурными и юзаем секретные чаты, то всё равно это недостаточно секурно. также нет секурных групчатов, за это тоже нужно тележку пинать.

Ты забыл написать, что вайбер лучше.

Ёпта. Речь в посте не о том.

ну да. просто потому что это всё попытка перетащить людей обратно в аську.

Аська продана с потрохами.

Да народ иногда вообще дичь несет. Я само видело людей отказывавшихся пользовать 2FA потому что "деанон". Спрашиваю - почему? "Так это СМСка с кодом же". Им говоришь про то что доступен TOTP - они начинают кричать что не будут ставить мутный софт на телефон. Какой мутный софт, говоришь им, "ну Гугль аутентификатор вот". Ок, ставьте FreeOTP, какие проблемы? Да иди ты нахер, отвечают они.

Ну, мне попадались сервисы, где только смс. Либо приложение, но сначала нужно настроить смс или звонок, а потом только можно переключиться на приложение. Что характерно, все эти сервисы были российскими.

Да, такое Г бывает. Меня тоже всегда слегка вымораживает подобная схема работы, как они это объясняют "это чтобы когда вы забудете\потеряете код нам вам доступ восстановить".
На вопрос "а что помешает злоумышленнику перевыпустить симку (если ему реально надо) и восстановить себе мой пароль" они обычно не отвечают.
Я признаю, конечно, что риск проебать коды\пароли\токены есть, но чет попахивает.

Linda-chan, насколько я помню, претензии были по поводу использования доморощенного говна вместо проверенных реализаций.
Это требует всестороннего аудита криптосообществом, а телеграмка никому не уперлась, чтобы её ковырять.
Следовательно всё, что связано с телеграмкой автоматически маркируется "сомнительно".
Но ты не переживай, мало что проходит годный аудит целиком. Я бы сказал, что такого даже не знаю достоверно.

Я не переживаю. Это читатели пойнтожуйков начали постить свои обидки на Дурова.

Я признаю, конечно, что риск проебать коды\пароли\токены есть

У меня база Keepass скопирована в восемь мест, вот бы была возможность не оставлять телефоны/почту нигде.

они это емнип с гмыла стащили. там тоже нельзя было без телефона 2fa настроить.

в восемь мест

В какие?

Четыре компьютера, два внешних SSD, один внешний жёсткий диск.
Блин, выходит что всего в семь.

Компьютеры твои? Все сосредоточены в одном помещении? Как автоматизировано?

А РКН, центр «Э», ФСБ, ГРУ, СВР, СК, АП, генпрокуратура, росгвардия?

Два моих, рядом, но в разных комнатах. Два на работе, один стационарный, другой, ноутбук. Синхронизация через Syncthing. Ноутбук включаю время от времени, стационарные включены круглосуточно. С основного домашнего всё бекапится на второй ежедневно, хранится полтора года на RAID на жёстких дисках, копия через Syncthing на SSD. На работе тоже копия через Syncthing на SSD + бекап на HDD, но хранится уже всего две недели. Внешние HDD/SSD подключаю вручную, обычно ежедневно. И ещё один внешний SSD включаю где-то раз в месяц.
Т.е. всё хранится в двух зданиях. Повреждение копии синхронизируется по трём компьютерам, но бекапы сразу не затрёт.

Понятно.

У меня есть мысль для большей отказоустойчивости на специальную почту слать зашифрованные контейнеры. Но так получится, что контейнеры физически покинули пределы здания, так сказать.

Т.е. ты считаешь шифрование бесполезным?

Я считаю, что риски растут, но не уверена насколько =_=

Linda-chan, https://joyreactor.cc/kurs

Вкусовщина.