D_K_

Почта при регистрации личного кабинета может оказаться в зоне ru и связана с личным телефоном. С почтой связан сервистег. С сервистегом связан мак и ip адрес в логах на серверах обновлений. По маку и ip можно сделать запрос к провайдеру, если почта из ЛК не помогла распознать хозяина. Думаю да, каждый пользователь может быть при необходимости однозначно идентифицирован. Этих данных достаточно.

Видимо в прошивках 5.хх, т.е чтобы отказаться от обновлений придется видимо сначала их поставить. Хотя это легко можно сделать следующим образом. Служба лицензирования каждый раз на сервер обновлений отправляет сервис-тег и текущую версию прошивки. При обновлении в статусе "важное" на сервере обновлений создать базу в которую писать сервис-тег и результат "важный апдейт сделан". Если результат "обновлено" есть, а версия прошивки снова старее чем та что ожидается - значит считать что пользователь ее вернул умышленно и не обновлять насильно повторно. Если результат "обновлено" нет - принудительно обновить. Те кто роутером пользоваться не умеют - они возвращать прошивку не станут, останутся на новой. В новых прошивках возможно и сделают это полное отключение. Но в старых вполне можно обойтись базой на сервере в которую внесется что пользователю прошивку ставили, а значит еще раз ставить не надо. Да это не устранит опасность простых паролей. Но думаю все те кто вернет нужную им версию достаточно умны чтобы понять взломали их роутер или нет и простой их пароль или нет.

Master2009 Сколько чайников настроили себе keendns ради интереса побаловаться и забросили или настроили им их друзья "смотри тут прикольно сделано можешь с работы на роутер войти. Зачем? ну не знаю, вот тебе имя если надо запомни" Естественно никто не входил никогда. Они никогда не увидят никаких уведомлений, они не читают технических ресурсов чтобы увидеть новость об этом, они не заходят на форум "моя жизнь коротка чтобы еще читать всякие форумы советы и переписки, я заплатил чтобы просто пользоваться, а не будет работать - заплачу за другое". Ошибка разработчиков лишь в том, что они не предусмотрели этот файл блеклиста паролей еще на этапе какой-нибудь прошивки 2.хх. И не сделали этот файл скачиваемым на роутер автоматически службой лицензирования. Чтобы на любой прошивке была актуальная база взломанных или не взломанных, но слишком простых, которые запрещены, паролей. Максимум бы что было "о, меня перестало пускать облако. А какой твой пароль был? admin 123. Ну меняй ясеь пень он заблокирован"

Сейчас облако не хранит и не анализирует пароли. Файл блеклиста скомпрометированных паролей хранится в роутере (начиная с прошивки 4.3). И именно роутер решает пустить или не пустить, это правильно т.к исключает взлом облака чтобы проникнуть на роутер или поменять какие-то учетные данные. Невозможно заблокировать доступ в облако не обновив прошивку. В облаке нет телефона или почты. Пользователю впринципе не нужна учетная запись, достаточно из панели роутера придумать себе имя keendns и все. Каким образом вы предлагаете кого-то оповестить на странице в облаке или еще как-то? Переделывать облако в "умное" чтобы оно само анализировало введенный пароль и решало пускать дальше на роутер или нет? А потом крики " ааа, облако взломали и оно пустило на мой роутер чужого?"

На сто человек кто осмысленно контролирует роутер приходится тыща, кто его купил по совету друга, рейтингу в интернете итп. Этот же друг его им и настроил. Естественно выключив все обновления т.к "производители их делают специально чтобы железо тормозило и покупали новое". И поставил простой пароль сказав "чтоб не забыли если вдруг придется зайти" Естественно эти пользователи никогда в него не заходят. Работает - и ладно. Что-то начинается не так - у нас роутер уже несколько лет видимо подустал не купить ли новый. Проблема в том как отделить знающих от не знающих. Тех кто умышленно что-то сделал от тех кому сделали один раз и он просто пользуется пока для него работает.

Как я вижу эту опцию. Есть суперадмин. Есть обычные админы-помощники на местах или их нет, он один. Суперадмин никогда не должен потерять доступ к роутеру залез на него хакер или помощник кривыми руками что-то нажал. Позтому суперадмин под "замок" может ставить критичные настройки. Как то доступ к сбросу роутера из веб, возможность отключения keendns, возможность загрузки на устройство прошивки или конфигурации, доступ к странице пользователей и так далее. Простой админ может создавать свои настройки, как в прочем и хакер, но он не сможет изменить ключевые, которые выведут роутер из под контроля суперадмина. Суперадмин может ежедневно заходить на роутер для инвестирования под обычным админским паролем. И только когда ему понадобится изменить что-то из заблокированного он введет в специальное поле пароль суперадмина. Да это менее безопасно чем кнопкой. Но насколько просто будет перехватить пароль, который вводится может раз в несколько месяцев, подгадать момент итп? Думаю не очень просто особенно если его не хранить в конфиге. С кнопкой будут заморачиваться какие-нибудь организации мол это безопасность. Но в организациях обычно удаленное управление. В итоге админ просто не будет блокировать никакие опции под эту кнопку (максимум что просто отключит автообновление), т.к каждая проблема, например позвонит начальник "смени ка нам пароль на wifi" это будет поездка в офис для ввода кода. Либо сообщение кода местному эникею чтобы он все понажимал за админа пока тот ленится ехать, вот и рухнула защита.

Как удаленно вводить пин код, если постоянное место нахождения сисадмина в нескольких часах езды от роутера? Какая-то опция получается для избранных, кто роутер видит ежедневно в спальне дома например или в серверной где сам и сидишь.

Гораздо удобнее это осуществляется паролем суперадмина. Пароль например можно создать только после сброса роутера. Он не хранится в конфиг файле, а хранится на разделе "u-boot config". Его нельзя увидеть или поменять зайдя под простым админом, только ресетнув роутер и создать новый если забыл. В интерфейсе при первом включении кнопка " создать пароль суперадмина" как создал - кнопка меняется на надпись " пароль создан" и все больше к его изменению или просмотру доступа нет, только вводить по памяти или ресетить роутер. И под пароль уже ставить определенные действия. А танцы с физической кнопкой где нибудь по звонку в район " привет тетя Клава это я ваш админ, видите там белую коробочку под потолком понажимайте пожалуйста сыграв на ней мурку щелчками" такое себе