Cái văn của a nó quen thế. Lúc nào a đuối a cũng thích nhét chữ vào mồm người khác thật !!!
Mồm a lúc nào cũng gắn cái chữ audit. A có hiểu ý nghĩa của nó k ?
A nên tìm hiểu về các thuật ngữ hay gắn lên miệng trước khi bình luận về 1 vấn đề gì !!!
Trong lần phản biện này của a nhắc đến 2FAS để so sánh với Authy.
Ok chúng ta phân tích theo hướng a gắn lên mồm là audit. Trước tiên chúng ta hiểu totp và hotp (các phương pháp mà 2fas đang hỗ trợ) là gì:
Tài liệu lấy luôn tại website của cty T mà a đang bảo vệ:
TOTP stands for Time-based One-Time Passwords and is a common form of two-factor authentication (2FA). Unique numeric passwords are generated with a standardized algorithm that uses the current time as an input. The time-based passwords are available offline and provide user-friendly, increased...
www.twilio.com
TOTP stands for Time-based One-Time Passwords and is a common form of two-factor authentication (2FA). Unique numeric passwords are generated with a standardized algorithm that uses the current time as an input. The time-based passwords are available offline and provide user-friendly, increased...
www.twilio.com
Trong tài liệu cho biết TOTP và HOTP đều sử dụng tài liệu chuẩn chung (ref trong trang tài liệu)
Vậy thì những gì Authy có 2FAS cũng có nếu xét về tính bảo mật và toàn vẹn dữ liệu như a nói
1-1
Tiếp theo xét về mã hóa E2E
2FAS cung cấp mã mở và sử dụng quy chuẩn AES GCM và RSA OAEP với khóa SHA-512bit theo thông tin được cung cấp
2fas.com
Và 2FAS
KHÔNG lưu trữ dữ liệu của khách hàng ở bất kì máy chủ nào do họ kiểm soát - Có mã nguồn để kiểm chứng và sử dụng nếu không tin tưởng vào ứng dụng đã được build sẵn
Authy
KHÔNG cung cấp mã nguồn và sử dụng quy chuẩn AES CBC với khóa PBKDF2 được hash 1000 lần - Salt được hash 1000 lần và Authy công bố các dữ liệu ngẫu nhiên được tạo ra theo 1 phương thức bảo mật (Không có tài liệu về phương thức bảo mật này)
Authy tuyên bố họ gửi IV và Salt lên máy chủ nhưng k gửi Encrypted / Decrypt Key
A few years ago Google Authenticator released an update for their iPhone App that wiped users 2FA tokens when installed. That prompted a lot of users to switch to Authy in order to take advantage of our backup feature. We occasionally get questions about this particular feature from both users...
authy.com
Tuy nhiên thông tin trên không thể kiểu chứng vì không có bên t3 kiểm chứng - cũng không có mã nguồn để kiểm chứng
Tới đây có lẽ a sẽ dùng cái giọng văn là không hiểu code 100% nên cũng chả biết là 2FAS có nói thật như họ bảo hay không đúng ko ?
Nếu a thật sự nghĩ vậy thì tôi cũng k có gì để bàn luận với a vì suy cho cùng giữa 1 bên mở để kiểm chứng với 1 bên đóng và không thể kiểm chứng a vẫn có lập luận là 2 cái chả khác gì nhau bởi vì đối với người không hiểu code thì cũng k có ý nghĩa.
Lựa chọn dùng hay không là do cá nhân mỗi người nên tôi thấy tôi chả có gì để a gọi tôi là "TIÊU CHUẨN KÉP" bởi gì các tiêu chuẩn a đặt ra tôi đã phản biện cho a thấy còn a vẫn cứ giọng văn áp đặt thì cũng k có ý nghĩa gì cả
Tiếp tục a nhắc đến ente - Cá nhân tôi k sài và k biết đến anh này nên quá trình search thì t có thấy
Ente successfully completes a security audit (https://ente.io/blog/cryptography-audit/) không biết phải đơn vị mà a đang nói ko. Nên tôi cứ mặc định theo cá nhân là dịch vụ này đang được nhắc tới - nếu không phải a vui lòng nhắc và cho tôi tài liệu chính xác
Như đã nói ở trên và a đã xác nhận là ente đã được công nhận là an toàn (tôi không khẳng định 100%) về thuật toán mã hóa E2E của họ. Vậy a phải bắt tôi xác nhận điều gì khi dữ liệu đã được mã hóa E2E và key hoàn toàn không nằm trên server của họ ? Nhân viên của Ente can thiệp được gì vào dữ liệu của khách hàng ?
Authy thì lời nói 1 phía k có 1 bên trung lập chứng minh | Không có 1 ai biết dữ liệu gì đã được gửi tới máy chủ của Authy ngoài họ - Ente đã được chứng minh là đã mã hóa dữ liệu ở đầu cuối
thì nói tới đây tôi có xác nhận hay không chắc có lẽ không quan trọng và cũng k có ý nghĩa gì nữa phải k nào ?
Ý của a là Authy uy tín nên các website người ta đều hỗ trợ ? Có phải ý của a khi phản biện vấn đề này là như vậy ? Điều này là đánh lận qua điểm vì:
Tùy chọn cho phép không có nghĩa là nó an toàn - Đó là sự lựa chọn.
Nói như a như Steam có 2fa riêng không được website nào hỗ trợ api thì nó có uy tín k ?
Và như tôi nói ở trên. Authy bị hack nhưng dữ liệu có bị leak hay không thì không ai chắc chắn được ngoài những người đã hack vào hệ thống của Authy.
Nhưng k phải vì thế mà cho rằng dữ liệu an toàn và
khẳng định rằng dịch vụ này bị hack nhưng k làm mất mát dữ liệu.
Về vụ 5m Gmail bị leak a có thể search và tìm hiểu kĩ xem có tổ chức nào có phát biểu ko. Ồ nhớ tìm trên các trang báo lớn lớn tí không lại bảo tẩy trắng. K thì cũng tìm hiểu về công bố của Peter Kruse. Tôi kiến thức nông cạn cũng biết tìm được chắc hơn chục trang tin viết về vụ này.
Về vụ G+ có vẻ a vẫn cứ khăng khăng cố chấp và áp suy nghĩ của mình và khẳng định đó là đúng nhỉ ? Hay đó là thứ bám víu cuối cùng của a ? Ở trên đã có người giải thích cho a về vụ việc này rồi nhưng có lẽ a vẫn cố tính không hiểu hoặc không hiểu thật sự.
À a có thể cho tôi link nguồn Google bị phạt 7.5 triệu vì bị hack ko với ?
