Швейцарская компания Proton AG, развивающая сервисы Proton Mail, Proton Drive и Proton VPN, представила открытое приложение Proton Authenticator, предназначенное для аутентификации при помощи одноразовых паролей с ограниченным сроком действия, генерируемых при помощи алгоритма TOTP (Time-based One-Time Password). Proton Authenticator может применяться как более функциональная замена проприетарным аутентификаторам, таким как Google Authenticator, Microsoft Authenticator, Authy и...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63659
У меня в KepassXC есть встроенный TOTP.
KeepassXC
KeepassXC + Nextcloud тоже все галочки будут
> KeepassXC + Nextcloud тоже все галочки будутОно есть из коробки?
Ну чтобы просто скачал и работает?Или начнется "поднимите свой сервак с нехтклоудом, настройте, попьердольтесь и почитайте мануалы")?
Какие галочки? Ты о чём?
А чем KeePassXC лучше по сравнению с оригинальным KeePass?
Не знаю, я начал с KeePassXC старой работе, когда пришел на другую там был KeePass, перевел на KeePassXC. Для меня выбор как таковой не стоял, дело привычки, кроссплатформенный в отличие от оригинала. На сколько понимаю KeePassXC это best practice, его предпочитает большинство, а кто я такой чтобы спорить с большинством, но конечно можно погуглить разницу.
Тем, что он реально OpenSpource и можно посмотреть исходники.
У обоих keepass 1 и keepass 2 доступны исходники, правда на sourceforge.
Из них так же без проблем компилируется рабочая версия без особой мороки (кроме установки mono)
Оригинальный KeePass доступен только для .NET / Mono, и использует ненативные UI виджеты, когда ты запускаешь под GNU/Linux или других OS. В то время как KeePassXC использует Qt тулкит, и написан на C++.
Когда ТОТР-токены хранятся в одной базе с паролями, ТОТР перестает быть фактором двухфакторной аутентификации.
> Когда ТОТР-токены хранятся в одной базе с паролями, ТОТР перестает быть
> фактором двухфакторной аутентификации.Сообщать об этом гестаповцам из гитхаба совсем не обязательно, пусть подавятся.
Развивай мысль, как ты это себе представляешь?
Как не в одной базе хранить ТОТР3?
Нет не перестанет. При самой утечке пароля, TOTP ключ останется c вами. Злоумышленник не сможет войти не куда с одним паролем.А если утекла KeePass база, то это считай тоже самое что утек смартфон с TOTP приложением со всеми ключиками. И там же на телефоне у некоторых в заметках сами пароли) - это в миллион раз менее безопаснее, чем хранить пароли и TOTP в одной KeePass базе.
Вообще все эти GUI-шные приложения для TOTP расчитаны на менее опытных пользователей, опытные хранят TOTP только в хранилище паролей, им не удобно тыкать в экран и набирать циферки, KeePassXC сам их подставляет в нужное поле и набирает за тебя.
>И там же на телефоне у некоторых в заметках сами пароли)В переписке Вацапа хранят.
У которого видимо не так уж и плохо с конфиденциальностью, раз за него взялись:
https://www.whatsapp.com/privacy
Полуторофакторная, выходит.
Ничто не мешает создать отдельную базу с TOTP.
И слить вместе с парольной.
А если нет разницы - зачем платить больше
Креды могут с сервиса слить, а вот TOTP - нет. Всяко лучше смс на телефон.
> ТОТР перестает быть фактором двухфакторной аутентификацииНе перестаёт в зависимости от вектора атаки, который пользователь пытается предотвратить:
1. Защита от утечек/слива базы паролей ресурса - единая база пароль+TOTP спасает, не вижу ничего плохого.
2. Защита от взлома самой базы KeePassXC - тогда да, это плохо. Тут всё зависит от размера мастер-пароля и наличия keyfiles.Из любопытства: часто Вы используете раздельные базы и не храните их рядом на одном устройстве?
Чтобы совсем обезопасить разные базы (пароль базу и TOTP базу) - это должны быть два разных физических устройства.
Если оно такое опенсурсное, почему его нет в F-Driod?Не хочу подобные вещи ставить с гуглового магазина.
Может позднее появится, у них же всё с задержкой выезжает всегда
Есть Aegis.
И кроме Aegis ещё вагон и маленькая тележка: Etopa, Stratum, Yubico, FreeOTP, Mauth, mOTP.
Там уже есть FreeOTP+, зачем ещё один такой же.
ставил Aegis - полет нормальныйв F-Droid все есть
P.S. 2FA нужна хомякам у которых пароль password123
- Ни разу не видел в гугл аутентификаторе рекламу. Вердикт: картинка врет.
- Encrypted sync -- это частный случай tracking. Про это рассказать постеснялись. Вердикт: картинка вводит в заблуждение.Все встает на свои места, если будут такие строки:
- No sync or other forms of tracking: proton ❌, google ❌
- No ads: proton ✅, google ✅Единственное реальное преимущество -- опенсорсность.
> Encrypted sync -- это частный случай tracking.Это от создателей "анонимная телеметрия это слежка" и "отправка крашлога - шпионаж" ?
> Единственное реальное преимущество -- опенсорсность.
Поддержку линукса ты тоже не учитываешь?
Или на винде-макоси тебе просто "ненужна!"))?
- На линуксе уже давно есть KeePassXC и прочие решения. Там тоже по всем строкам будут галки стоять (кроме sync, но это на самом деле хорошо, а не плохо, как картинка пытается тебя уверить).- Как пользователю андроид и линукс, мне глубоко плевать, поддерживает ли софт, который я использую, другие оси. Я их в других осях использовать не собираюсь, поэтому это НЕ практическое преимущество.
> - На линуксе уже давно есть KeePassXC и прочие решения.А.. т.е должен быть один единственный безальтернативный KeePassXC, его всем хватит?
Вы там часом строем не ходите, фюрера не славите?> Там тоже по всем строкам будут галки стоять (кроме sync, но это на самом деле хорошо, а не плохо, как картинка пытается тебя уверить).
Пруфы что sync плохой, кроме утверждения "это на самом деле хорошо, а не плохо" будут?
> - Как пользователю андроид и линукс, мне глубоко плевать, поддерживает ли софт, который я использую, другие оси. Я их в других осях использовать не собираюсь, поэтому это НЕ практическое преимущество.Ну так говори за себя)
В мире есть нормальные люди и им нужны нормальные ОСи.
> должен быть один единственный безальтернативный KeePassXC, его всем хватит?Когда софт пытается проводить черный пиар существующих альтернатив (а именно это наблюдаем с его выпадами в сторону гугла на картинке), то ожидай backpressure.
> Пруфы что sync плохой
Если ты согласен с картинкой, то ты согласен с тем, что tracking плохой. Sync -- это частный случай tracking, потому что клиент начинает информировать сервер о своем использовании. Если более общий tracking -- плохой, то значит и его частный случай sync тоже плохой.
> говори за себя
За себя и говорю. Но рискну заявить, что вообще всем пользователям всех осей абсолютно параллельно, насколько кроссплатформенен их софт. Подойди к вендовому пользователю хрома и заяви: "хром поддерживается в линуксе". Он пожмет плечами и не запомнит этот факт. Если этот пользователь далее будет холиварить с пользователем файрфокса, про линукс он вообще не вспомнит: он хром не из-за "поддержки линукса" использует, и "аргумент с линуксом" он никак не упомянет.
> Sync -- это частный случай tracking, потому что клиент начинает информировать сервер о своем использовании.Твоя сова с огромным трудом натягивается на глобус. Вот-вот лопнет.
С каких пор использование сервера стало трекингом?
Преимущества sync ты игнорируешь?>> говори за себя
> За себя и говорю.Угу, заметно "Вердикт: картинка врет."
> Но рискну заявить, что вообще всем пользователям всех осей абсолютно параллельно, насколько кроссплатформенен их софт.
По моему опыту - ты ошибаешься.
Особенно если речь о бизнесе или пользователи которые работают, а не нечто пинают.Пример: около-офисное приложение, рассчитанное на про-пользователей и мелкий бизнес.
Запрос был таким "у нас часть работников на винде, дизайнеры на макоси, программеры на линуке. у них есть андроид и ios смарфоны. если вы не поддержите хотя бы все дестопные - мы у вас ничего не купим".Да, в мире есть люди, которым хватает одного смарта, но думаю большая часть из них деже не догадывается про TOTP.
> С каких пор использование сервера стало трекингом?В софте такого класса сервера вообще не должно быть. Ты же понимаешь, что 2FA дискредитирует себя, когда у тебя сразу несколько девайсов синхронно становятся вторым фактором? Теперь можно стырить любой для получения фактора. Только ручной экспорт/импорт раз в N лет при покупке нового телефона. Без всякого сервера.
> Угу, заметно "Вердикт: картинка врет."
В гугл аутентификаторе нет рекламы. Это факт. Можешь качнуть и проверить. Вердикт: картинка врет. Что не ясно?
> у нас часть работников на винде, дизайнеры на макоси, программеры на линуке
Ага, и каждому надо поставить одну и ту же прогу, да? Цитируя тебя же, "должен быть один единственный безальтернативный $PROGRAM_NAME, его всем хватит? Вы там часом строем не ходите, фюрера не славите?"
А вообще, бредовость твоего примера становится очевидной, если вспомнить, что "работникам на винде" сойдет некроссплатформенный МС Офис, дизайнерам -- некроссплатформенный фотошоп (нет линукса), а программерам -- любой IDE, даже некроссплатформенный. Приведи пример софта, который был бы нужен всем трем категориям на рабочих станциях (кроме браузера).
> Приведи пример софта, который был бы нужен всем трем категориям на рабочих станциях
> (кроме браузера).Внутренний мессенджер напр.
Или система трекинга времени (если используется).
Или трекинг задач (если не браузере).
Или design delivery platform, типа Figma или Zeplin (аппы есть только для мака и винды, что логично, конечно можно в браузере запустить, но тормозит просто жесть даже на М3)Или аутентификатор как этот.
Да и вообще, это намного удобнее когда у всех сотрудников один и тот же софт, и по мейнтейну, и по оплате лицензий.
Все, что ты перечислил, обычно делается в браузере. Фигма тормозит только если в браузере нет hardware acceleration. Секреты компании тоже модно хранить в центральном месте с вебгуем, с интеграцией с CI гитлапчика. И вообще, корпоративный софт пилят на электроне, если зачем-то просят именно десктоп, а не браузер (ЧСХ потом просят веб-версию). Но когда речь заходит про нативный (и профессиональный) софт, дизайнеру плевать, что его фотошоп есть еще и на винде. Если фотошоп вдруг откажется от винды, дизайнер на такую новость никак не отреагирует и хуже он про него думать не будет.
> Все, что ты перечислил, обычно делается в браузере.Можно делать, а можно не делать.
В слаке тоже можно сидеть в браузере... но что-то как-то не сильно удобно.> Фигма тормозит только если в браузере нет hardware acceleration.
На маке в хроме он есть. А фигма все равно тормозит, в отличие от standalone приложения.
> Секреты компании тоже модно хранить в центральном месте с вебгуем,
> с интеграцией с CI гитлапчика.Модно, но не все ж такие модные))
> корпоративный софт пилят на электроне, если зачем-то просят именно десктоп
Ну это понятно, чтобы получить кроссплатформу. Но линь очень редко просять, и чаще чего для внутреннего пользования. Просто потому что ни никому не вcpaлся.
Даже у слака бета-версия для линя появилась только недавно.
> ЧСХ потом просят веб-версиюПотому что не так дорого доделать, как писать вебню с нуля.
Ещё Ente Auth неплох.
Aegis хороший аутентификатор,уже много лет пользуюсь.
Аегис только для андроида, а это на все платформы
> Поддержка импорта ключей из Aegis AuthenticatorПоказывает ошибку импорта, видимо, не умеет в кастомные ключи стима и яндекса.
Лол, аегис спокойнейше умял стим в свое время и до сих пор работает.х-ндексом не пользуюсь, но тоже полагаю дело не в нем (что, кстати, удивительно)
Пользуюсь аегисом только из-за поддержки ключей хряндекса, а для стима и всего остального есть битварден.
Хорошо, что +1 опенсорсный продукт в этой теме.
Но в целом двухфакторку тормозит тот факт, что при потере доступа к приложению-аутентификатору бывает невозможно восстановить доступ к аккаунтам, я с таким сталкивался.
Mozilla в этом плане в своих аккаунтах предлагает использовать ключи восстановления. Это чуть лучше, чем ничего, но тоже не идеально.
В этом плане есть, куда идти. Понятно, что пары логин/пароль в современном мире недостаточно, что необходимо использовать многофакторное/этапное. Но нужно добавлять удобства и снижать риски потери доступа. Когда ты знаешь, что ты - это ты, но доказать этого не можешь и сам теряешь доступ к своим данным.
Есть распечатка с коллекцией одноразовых паролей на такой случай.
> Но в целом двухфакторку тормозит тот факт, что при потере доступа к
> приложению-аутентификатору бывает невозможно восстановить доступ к аккаунтамХм... а это не оно - one-time use recovery codes
proton.me/support/lost-two-factor-authentication-2fa ?Насколько я вижу по заявлениям, если озаботиться, то все востанавливается.
> Хм... а это не оно - one-time use recovery codes
> proton.me/support/lost-two-factor-authentication-2fa ?О, если есть такое, то это большой плюсик.
А что, где-то иначе? Или как обычно, скопировать кусок текста и распечатать лень, и так сойдёт?
да, замечательные высококвалифицированныепрофессионалы, работающие на госуслугах (и видимо имеющие только сертификаты экзаменов с госуслуг) не смогли реализовать коды восстановления
Опенсорсных продуктоив в этой теме десятки.
В нормальных прилжениях есть способ бекапить/экспортировать ключи.
Например Aegis может экспортировать json со всеми ключами (зашифрованный паролем, конечно). Достаточно скинуть файл себе в telegram и все. Можно восстановить с любого девайса.
а если телегу угонят?
То все равно файл зашифрован паролем, очевидно.
А всего-то нужен бэкап токена (по которому генерируется TOTP; он постоянный) и часы. Какое из приложений использовать вообще без разницы.
> Но в целом двухфакторку тормозит тот факт, что при потере доступа к
> приложению-аутентификатору бывает невозможно восстановить доступ к аккаунтам,
> я с таким сталкивался.В целом ее тормозит тот факт что это бесполезное ненужное корпоративное УГ, создающее много новых проблем - без решения каких либо старых. От серьезно настроенного атакующего - этот булшит не спасет вообще совсем никак, зато мозг дополнительно делает. И это как бы проблема и есть.
>В целом ее тормозит тот факт что это бесполезное ненужное корпоративное УГ, создающее много новых проблем - без решения каких либо старых. От серьезно настроенного атакующего - этот булшит не спасет вообще совсем никак, зато мозг дополнительно делает.Если вы считаете, что старые проблемы с кражей/утечкой записей логин/пароль не решает, то почему так считаете? Если используете OTP, то утечки данных учётной записи какбэ недостаточно для компрометации учётки.
> Если вы считаете, что старые проблемы с кражей/утечкой записей логин/пароль не решает,
> то почему так считаете? Если используете OTP, то утечки данных учётной
> записи какбэ недостаточно для компрометации учётки.1) На сервере пароли не хранятся, только хэши. И если его ломанули - то и секреты OTP вероятно тоже сперли.
2) Если кто разломал меня настолько что узнал мой пароль - они могли и левый код вкомитить, и OTP секреты стырить. Ибо если кто может кейлогер втулить то и много чего еще может, очевидно.
3) Фишеры тривиально обходят все это показывая морду "как настоящая" где просят и то и другое. После чего отлично авторизуются сами с этими данными на легитимном сайте. Если вы хома, врядли вы с микроскопом открывшуюся урлу проверяли каждый раз.
А вот мозг лишней сущностью это все делает. Во имя чувства безопасности у каких-то корпоративных манагеров, типа гитхаба, где манагерки вообще не поняли как гит работает - и стали рассказывать про безопасность цепочек поставок. Итого как обычно решив (на самом деле нет) свои проблемы за чужой счет.
От фишеров спасает автоматика подстановки паролей из менеджера паролей через autotype или плагины. И тогда возникает вопрос, а почему же менеджером паролей не не опознаётся сайт.
> От серьезно настроенного атакующего - этот булшит не спасет вообще совсем никакСерьёзно настроенный атакующий приходит в дом и ломает колени атакуемому пока тот всё сам не отдаст. Братки из девяностых не дадут соврать, если на зоне не сгнили ещё. От остального помогает, если уметь пользоваться. А если не уметь, то и одноразовой ложкой можно голову нечаянно себе отрезать. Против дурака не существует защиты.
>> От серьезно настроенного атакующего - этот булшит не спасет вообще совсем никак
> Серьёзно настроенный атакующий приходит в дом и ломает колени атакуемому пока тот
> всё сам не отдаст.Ох, то-есть на аэрофлота на самом деле - бандитский налет был, авластискрывают?! А где они столько братков то взяли?
> Ох, то-есть на аэрофлота на самом деле - бандитский налет был, авластискрывают?!Не, там был win xp и пароли, не менявшиеся по три года.
> А где они столько братков то взяли?
Тот случай когда свои оказались хуже врагов.
там у гендира плеинтекст файл с паролями на рабочем столе, о двухфакторке даже речи не было
Называется не класть все яйца в одну корзину.
Можно экспортировать зашифрованную базу и хранить ее где угодно в облаках. Нужно просто помнить 1 пароль для расшифровки
Да что не возьми, апп или смс, все завязано на тот самый "фактор" - при потере номера или доступа к приложению пароли превращаются в тыкву.
В этом плане самое надежное это биометрия, минус только в том, что отпечатки пальцев/скан лица не поменяешь.
Хз, есть ли надежные, опенсорсные сканеры, потому что сканерам в андроиде я не доверяю, эплу тоже.
Я бы сказал, двухфакторка по смс все еще наиболее приемлемый вариант. Симка это все же нечто физическое, в отличии от цифрового приложения, цифра менее надежна. И номер можно восстановить, написав оператору.
Можно вообще завести отдельный номер и симкарту вставить в дамбфон за 1к, который хранить только дома, для каких нибудь очень важных аккаутов.
А если есть статический айпи, тоже можно привязать вход только с этого айпи.
> двухфакторка по смс все еще наиболее приемлемый вариантЭто самый бесполезный вариант. Перехват смс поставлен на поток. Платишь биткоины уголовнику, на выходе получаешь стрим с смс жертвы. Хотел бы придумать систему хуже, да фантазии не хватает.
"бикойны"? "уголовнику"?!
Ржубли уасе из салона сотовой связи.
Использовать в качестве "второго фактора" - _принципиально_ не принадлежащую тебе вещь - я даже сходу подходящее определение не подберу...
айфоны получается использовать нельзя, они ж арендные
или как там по политике эпола
> айфоны получается использовать нельзя, они ж арендные
> или как там по политике эполаНу, случаев блокировки эполиди в общем-то в количестве - влекут ли они физическую блокировку устройства - понятия не имею.
Персонально меня аппаратный ключ в качестве второго фактора вполне устраивает.
Зачем этот новодел, если есть FreeOTP?
Спасибо, но нет.
https://github.com/freeotp/freeotp-android/issues/395
> При разработке в зависимости от платформы
> применяются языки Kotlin, Swift и Rust.О, ужас!
Они не просто применяются, а ядро этой штуки написано на Rust:proton-pass-common: Pure rust, contains the core code for all the functions, with tests and everything.
github.com/protonpass/proton-pass-common
А Kotlin и Swift используются для android и iOS клиентов соответственно. Как же местные кексперты такое потерпят...
ЗЫ: отлично что они для ядра такого приложения выбрали rust, а не какой-то древний дырявый йазычог.
На весь common есть только четыре использования unsafe - Send/Sync для JsAuthenticatorLogger и тоже самое для WebCurrentTimeProvider.
Не удивлюсь, если там 100 строк на расте в ядре этого "продукта". Они как бы говорят, что написать 100 строк без ошибок на плюсах, всего лишь применив базовые практики безопасного программирования, для них непосильно.
> Не удивлюсь, если там 100 строк на расте в ядре этого "продукта".Прости анонимный кексперт, но ты опять жиденько с подливой
-------------------------------------------------------------------------------
Language files blank comment code
Rust 152 2176 496 14727
-------------------------------------------------------------------------------> Они как бы говорят, что написать 100 строк без ошибок на плюсах,
Зачем? Это монструозный язык из прошлого столетия, который к тому же еще и дыряв.
Писать на нем безопасно не только крайне сложно, долго и дорого, но еще и все эти "базовые практики безопасного программирования" только иллюзия что там нет дыреней.
А в каком файле, собственно, код, ты нашёл? Это всегда проблема с растом, привет мир размазан по 1000 файлов и единственные 100 строк кода где-то спрятаны.
> А в каком файле, собственно, код, ты нашёл? Это всегда проблема с
> растом, привет мир размазан по 1000 файлов и единственные 100 строк
> кода где-то спрятаны.Чувак, ты реально тyпoй?
Там черным по белому насписано - 14727 строк расто-кода без пусты и комментариев.
Зайди на их гитхаб и посмотри сам.
Так я и вроде спросил, где код, а не что там на заборе написано. Но я понимаю, что твой уровень -- это читать надписи на заборе.
> Так я и вроде спросил, где код,Ты не можешь открыть ссылку из новости?
github.com/protonpass/proton-pass-common> Но я понимаю, что твой уровень -- это читать надписи на заборе.
Ты умудрился не осилить ссылку в тексте, но возбухаешь?
У меня впечатление что я общаюсь с умственно отсталым.
Если это так, извини, если чем обидел.
Ну, ты же нашёл, и сейчас всё покажешь. Или нет? Чтд.
> Ну, ты же нашёл, и сейчас всё покажешь. Или нет? Чтд.Что тебе показатьть?
Ты не в состянии заглянуть в репу и сделать cloc?ps такое неприятное ощущение, как-будто пинаешь щеночка с синдромом дауна((
Ну так ты только балаболить горазд, а аргументировать тебе нечем. А больным ты себя ощущаешь не спроста, очевидно. Прислушивайся к себе почаще.
В очередной раз поражаюсь уровню экспертизы местных посетителей, которые вот тут https://github.com/protonpass/proton-pass-common/tree/main/p... не могут найти код.С другой стороны, понятно когда они пишут, что синтаксис сложный и вообще не поняли как писать на этом языке. Наверное буквы М и Ж в общественных местах вам доставляют неимоверную боль из-за когнитивной нагрузки в процессе выбора.
Ты хотел сказать "это всегда проблема с плюсовым кодом", в котором реализация может быть размазана между cpp и h файлами, потому что инлайн, шаблоны и т.д.В расте проще: код всегда в RS файлах. И не надо его искать в txt, toml и прочих.
Так вопрос был о "бизнес-логике", технический бойлерплейт это не код. Почему-то показать то, что можно посчитать кодом, всегда проблема. В плюсах, куда не ткнись, будет код.
1. Не было никакого вопроса про "бизнес-логику", не виляй.
2. В плюсах можно было бы обойтись без заголовочных файлов, которые ни разу не код, но тяжёлое наследие сишки даёт о себе знать.
Это совершенно очевидно подразумевается, бойлерплейт найти не проблема. А что до заголовочных файлов, ты предлагаешь шаблоны пихать в код? Нет, спасибо. И сишка тут ни при чём.
> Не удивлюсь, если там 100 строк на растеДа, код на расте компактнее плюсового и сильно меньше сишного, поэтому там не большое количества для полной реализации.
> всего лишь применив базовые практики безопасного программирования
Никакие практики не позволяют писать на с/с++ без ошибок памяти, доказано проектами любого уровня.
В каком месте это замена Microsoft Authenticator с их кастомным закрытым https://en.wikipedia.org/wiki/PhoneFactor?
> В каком месте это замена Microsoft AuthenticatorДа, согласен. Microsoft сейчас топит за аутентификацию без паролей, где ключ - это само устройство (типа, технически неизвлекаемый ключ на нем). Его, в отличие от всего остального, практически нереально скопировать или подделать. Кто-нибудь видел в продаже базу утекших девайсов, пачками по миллиону штук?
TOTP, о котором тут речь, это костыль к изначально ущербному способу аутентификации с паролями. Неважно, сколько там галочек нарисовать.
хороший, годный, майкрораб
то есть мелкософт подталкивает злоумышленниклов к краже людей, насилию и пыткам (завладеть устройством, получить доступ к учетке чтобы начать атаку унутре) вместо безболезненных фишингов и пр. Так и запишем.
Я бы похвалил их, но последнее время Proton заставляет привязывать телефонный номер к аккаунту и вся безопасность коту под хвост. Если злоумышленник получает доступ к вашей симке (физический не нужен, если полно других способов перехватить СМС или клонировать/подделать сим карту), он уводит ваш Proton аккаунт, таже если у вас TOTP был привязан.Или банально вы не оплатили несколько месяцев свой счет, он заблокируется и ОПСОС перепродаст номер другому клиенту. У меня так пропал доступ к Телеграм аккаунту, всего лишь несколько месяцев не оплатил отрицательный баланс на Мегафоне. Я вообще не знал что он отрицательный, тариф был без абонентки, а ОПОС начинает просто так списивать (воровать) деньги с баланса, если ей не пользоваться.
> Я бы похвалил их, но последнее время Proton заставляет привязывать телефонный номерХм, и давно?
Регистрировал у них аккаунты в феврале-марте, ничего не обязательного не было.
Да, можно привязать телефон, но как опцию.
>Регистрировал у них аккаунты в феврале-марте, ничего не обязательного не было.В мае тоже номер не требовался.
>>Регистрировал у них аккаунты в феврале-марте, ничего не обязательного не было.
> В мае тоже номер не требовался.Понятно.
Тогда печалька.
Интересно, чего они так. Вроде это была одна из продающих фич.
Опять вранье
Не заставляет Proton ничего привязывать
Ну зачем ты постоянно врешь?
Это же проверяемо
> Опять вранье
> Не заставляет Proton ничего привязывать
> Ну зачем ты постоянно врешь?
> Это же проверяемону так проверь, кто тебе мешает
Если зарегаться еще сможешь, то email подтверждения с разных веб сайтов ты просто не откроешь (это письма со ссылками чтобы подтвердить, что email твой), там будет написано, что вы номер не добавили, поэтому мы вам не покажем письмо. Оправдывают они эту супер-пупер бреднями про безопасность.
Есть шанс, что они не запросят телефон, зависит он твоего цифрового отпечатка, чтобы тригернуть их глупую систему безопасности, можешь зайти в свой Протон аккаунт через какой-нибудь VPN и далее без ввода номера телефона ты больше не сможешь полноценно использовать этот акк, не важно под VPN ты будешь или нет.
Проверил
Ты врешь
Ничего не просит, письма принимает и дает открыть
Зачем постоянно врать про разные публичные сервисы непонятно, но на российских форумах вранье постоянно
Я не вру а транслирую свой опыт. Твой может отличаться и я об этом написал, читай внимательнее.
Можешь проверить ещё через Tor, вдруг "повезет".
+1
В июне регистрировался, ничего не просило привязать после регистрации
очередное УГ которое приведет к куче бессмысленной возни по внедрению, а когда внедрят в секунду станет "спасибо не надо" из-за сливов, бэкдоров, некошерного ЯП
кароче чую маркетинговый вброс ненужной технологии
> маркетинговый вброс ненужной технологииТакой ненужной, что аж RFC есть. Разберись в матчасти сперва, чуйка.
> Такой ненужной, что аж RFC естьЭто RFC такой же нужный, как RFC про доставку IP-пакетов почтовыми голубями.
> Функции импорта и экспорта
> экспортаА другой безопасности у меня для вас нет.
https://safety.google/intl/ru_ru/authentication/
В Proton Pass эта функция тоже есть. Зачем отдельное приложение?
Синхронизация работает в РФ? Не заблокированы серверы?Хочу отметить Stratum (ранее Authentificator pro). Open source, поддерживает нестандартные протоколы OTP - Yandex, Steam
ENTE AUTH, Уже давно работает и всё отлично. А протон даже их дизайн подрезал.
вообще, для минималистичного totp есть вот такая утилитка (не требует никаких внешних зависимостей): https://git.sr.ht/~mango/totp
Распространение только через Google Play и Apple Store. Нет .apk и .dmg. Можно закапывать пока не сделают удобный способ скачать без необходимости создавать учетки в магазинах.
Кто мешает скачать в F-Droid? Если еще не добавили - напиши им.
Использую oathtool вместо сабжа. Но я на телефоне использовал бы этот сабж, вместо каких-то Google Authenticator, Яндекс Ключ