Pull to refresh
0
0
Send message
Радует, что Яндекс начал движение в сторону более удобной двухфакторной аутентификации, хотя и более чем на год позже, чем мы.
Еще больше радует, что Яндекс осмелился изобрести свое решение, а не стал делать «как у всех».

Однако не вижу, как это решение защищает от фишинга?
1. Атакующий завлекает жертву на фишинговый сайт, который выглядит точно так же как сайт яндекса
2. Жертва думает, что это сайт яндекса, и для входа с помощью приложения кликает на значок QR кода на фишинговом сайте
3. Атакующий (точнее его робот) кликает на такой же значок на реальном сайте яндекса
4. Яндекс показывает QR код атакующему и начинает ждать
5. Атакующий транслирует QR код жертве на фишинговом сайте.
6. Жертва сканирует QR код своим телефоном.
7. Телефон жертвы посылает данные на сервер яндекса, и яндекс открывает аутентифицированную сессию… атакующему.

Information

Rating
Does not participate
Registered
Activity