Мне вчера один друг подарил https://trezor.io/
Для всех важных сервисов я юзаю google authenticator на айфоне. Небольшое сравнение.
Удобство.
trezor работает только через usb кабель, а значит только компы и есть поддержка ведра если у тебя имеется переходник.
У тебя iphone, blackberry или windows phone? Соси хуй.
Простейший кейс - обмен битков на наличку через localbitcoins. Я неоднократно это делал, встречаешь чувака, он показывает наличку, открываешь браузер на телефоне, делаешь перевод, копируешь otp, вставляешь и идешь тратить бабки. В случае с trezor нужен ноут, этот донг и кабель. Кабель Карл, мне только не хватало с собой еще и кабель носить, единственные провода, которые у меня есть - это зарядки. Хотя бы bluetooth встроили что ли. А если например забыл устройство дома, то все сервисы для тебя недоступны, в то время как телефон всегда под рукой и его использовать для авторизации наиболее логично.
Безопасность.
Конечно когда ты пользуешься otp, тебе приходится доверять провайдеру, теоретически сервера гугла, где хранятся ключи могут быть взломаны или что чуть более вероятно правительство получит к ним доступ. В этом плане, конечно донгл безопасен, т.к. вся инфа хранится только на нем и негде больше, при условии, что там нет закладок в железе и софте. С другой стороны я думаю гугловые сервера для авторизации должны быть наиболее защищенными от атак хакеров и такие сверхбогатые корпорации могут себе позволить не выполнять требования государств или по-крайней мере, если на них надавят очень сильно, сообщить этом общественности.
Первое из-за чего у меня бомбануло когда я только начал настраивать донгл - это жидкое говно в голове у разрабов. К устройству прилагается 2 бумажки, куда нужно записать seed и спрятать. Кроме того как на самой бумажке, так и на сайте специально несколько раз выделено - никогда не делайте цифровую копию seed, а храните его только на бумажке. Я не знаю в каком маня-мирке живут разработчики, но БЛЯДЬ.... шифрованное даже на 12-значный пароль сообщение в каком-нибудь публичном твиттере в триллионы раз безопаснее, чем ебанная бумажка и в десятки раз меньше вероятность проебать. Наверное это рассчитано на тех, кто компьютер-то с трудом включает и сохранит seed на стене в вк, но они же позиционируют устройство как безопасный bitcoin-кошелек, если уж ты начал серьезно работать с битками, то наверное осилишь какую-нибудь простенькую программку шифрования.
Единственное что мне понравилось - это то, что пин-код невозможно перехватить иначе как подглядеть раскладку на устройстве и порядок нажатия на экран. Возможно устройство запоминает доверенные браузеры, в которых уже использовал, так как ни разу не спросило у меня пин после его установки, все что нужно было для авторизации на каком-нибудь сервисе подключить устройство и нажать кнопочку. Ну хуй знает насколько это безопасно, что если я залогинился в интернет-кафе с keylogger, а потом у меня спиздили устройство, значит ли это что я все проебал? В случае с google authenticator им придется спиздить телефон и узнать либо пин, либо добыть отпечаток пальца.
Если я потерял устройство или его украли.
В случае с trezor мне нужно:
- купить новое устройство
- восстановить ключ при помощи seed
- зайти на все сервисы, в которых я юзал tfa и удалить там устройство, так как ключ скомпроментирован
- очистить устройство и сгенерировать новый ключ
- снова пройтись по всем сервисам и прицепить новый ключ
В случае с google authenticator на iphone:
- удаленно очистить старый айфон
- купить новый
- восстановить бэкап
Тут конечно есть момент - реально ли бэкап шифруется на мой пароль и у самого apple нет возможности его расшифровать. Но ранее apple не была зашкварена в подобных вещах, они как настоящие капиталисты заботятся о своем имидже среди клиентов и вряд ли станут рисковать своими миллиардами ради возможности спиздить какую-то инфу.
Итог: лютая хуита для старперов, которые не умеют в компы и которым нужно физическое воплощение цифровой информации, чтобы поверить что это реально существует.
Удобство использования: 1/5
Безопасность: если все делать очень грамотно, то 5/5. Если же следовать инструкцию разрабов, то безопасность уровня пароль от рута под клавиатурой, то есть 1/5
Если кто-то юзает подобную шнягу, объясните НАХУЯ?