Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."	+/–
Сообщение от opennews (??), 14-Фев-20, 11:43
После четырёх месяцев разработки представлен релиз OpenSSH 8.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52369
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Фев-20, 11:43	–3 +/–
"предварительно собрав openssh со встроенной поддержкой библиотеки-прослойки (--with-security-key-builtin), или выставить переменную окружения SSH_SK_PROVIDER, указав путь к внешней библиотеке libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so)." как то еще не для "домохозяек" :))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #32

2. Сообщение от edv (?), 14-Фев-20, 11:51	–2 +/–
YubiKey из opensource стал closed-source. Поделитесь, кто в курсе открытых аналогов? Кстати, как сейчас с их доставкой в РФ? Не посадють? Кто-нибудь пробовал заказывать Librem Key от Purism?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #14, #22, #26, #29

3. Сообщение от Аноним (3), 14-Фев-20, 11:56	–2 +/–
Что-то не могу подключиться теперь: на сервере ключ не принимает, а локально меня не просит его разблокировать. Что я опять сломал?
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 14-Фев-20, 11:57	–8 +/–
А почему FTP в разрезе HTTP считается устаревшим и не нужным протоколом. А тот же SSH в разрезе HTTPS и к примеру RESTful не считается устаревшим.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #33

5. Сообщение от Аноним (5), 14-Фев-20, 11:59	–4 +/–
Че-то как-то сложно и неудобно. А можно просто кож ввести из Google Authenticator?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7, #11

6. Сообщение от кэп (?), 14-Фев-20, 12:02	+/–
Можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Ольга (??), 14-Фев-20, 12:03	+/–
Можно, соответствующий libpam должен быть в репозитории. Но может быть несовместим с некоторыми клиентами, которые не ожидают иных запросов ввода, кроме логина/пароля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Ольга (??), 14-Фев-20, 12:05	+1 +/–
Не посодют. Официально их распространяет the_kernel, через softline.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от Броколь (?), 14-Фев-20, 12:08	+3 +/–
Может еще привязку к телефону сделать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

11. Сообщение от Аноним (11), 14-Фев-20, 12:09	+4 +/–
зачем использовать Google Authenticator, когда есть свободные аналоги? FreeOTP, например
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16

12. Сообщение от Аноним (13), 14-Фев-20, 12:12	–3 +/–
Если б туда уязвимостей доложили было бы норм а так то что?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

13. Сообщение от Аноним (13), 14-Фев-20, 12:15	+1 +/–
FTP - 1971 год SSH - 1995 год А теперь внимание вопрос для товарища гуманитария: "Почему FTP считается устаревшим?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #18, #31

14. Сообщение от anonymous (??), 14-Фев-20, 12:18	+2 +/–
Solo / Nitrokey
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

15. Сообщение от авторы (?), 14-Фев-20, 12:36	–2 +/–
> Если б туда уязвимостей доложили было бы норм а так то что? так мы норм, доложили - только еще не разобрались сами в этих библиотеках для библиотек чтобы вы могли пользоваться библиотекой, куда именно и сколько. Но вы не переживайте - это проверенный временем дизайн, тут точно на всех хватит и еще останется. Зато rsa - нисисисиюрна-нисисиюрна, немедля запретить! У всех же сплошь кругом суперсекретные и супернадежные сервера, за который любой васян немедленно выложит 45тыщ. В очередь выстроились вон уже, сжимая в потных лапках тяжким трудом заработанное!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (16), 14-Фев-20, 12:59	+1 +/–
andOTP и Aegis получше будут. На крайняк FreeOTP+, там хоть экспорт есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #38

17. Сообщение от Аномномномнимус (?), 14-Фев-20, 12:59	+1 +/–
Как это бекапить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #28

18. Сообщение от анон (?), 14-Фев-20, 13:03	–3 +/–
и что ты предлагаеш взамет FTP? WebDav что-ли? ЛОЛ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #27

19. Сообщение от Аноним (19), 14-Фев-20, 13:04	+1 +/–
Не понимаю, зачем нужны отдельные _sk-типы ключей на сервере? Ведь можно использовать обычные RSA или Ed25519, достаточно лишь модифицировать клиента, чтобы на нём не было реального секретного ключа (а вместо него лишь дескриптор, отпечаток или публичный ключ), и все криптографические операции с ключами унести на внешнее устройство через PKCS#11 или что-то подобное на USB-токен.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #56

20. Сообщение от нах. (?), 14-Фев-20, 13:28	–1 +/–
проблема в том, что дерьмовые поделки а-ля убикей НЕ УМЕЮТ ssh-протокол (даже в той его небольшой части, где, собственно, шифрование) поэтому просто так "унести" на них криптографию - не получится. Вот и приходится хранить ключ который не ключ, но который позволяет создать сессию, а потом уже, внутри нее - лазить к токену за собственно данными.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от нах. (?), 14-Фев-20, 13:30	–4 +/–
> Как это бекапить? специально для мальчиков-ди6илов: никак, оно специально сделано некопируемым. Если твоя голова не позволяет придумать как в этом случае должен выглядеть "бэкап" - вон из профессии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #23, #24

22. Сообщение от coaxmetal (?), 14-Фев-20, 13:38	+1 +/–
Юзаю Nitrokey Pro, всё прекрасно работает из коробки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

23. Сообщение от Аномномномнимус (?), 14-Фев-20, 13:40	+1 +/–
А потом выясняется что не ко всему софту можно привязать несколько разных аппаратных ключей. Да и бекапы как бы возможны, при большом желании. https://support.yubico.com/support/solutions/articles/150000...- ~~Ты уже уволился из профессии~~ Тебе уже мамка запретила админить локалхост?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #43

24. Сообщение от Аноним (24), 14-Фев-20, 13:52	+/–
Ты в курсе его профессии?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Crazy Alex (ok), 14-Фев-20, 14:04	+5 +/–
Где ssh и где домохозяйки? И вообще, дальнейшее - к дистрибутивам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

26. Сообщение от Crazy Alex (ok), 14-Фев-20, 14:05	+/–
Trezor. Он вообще биткоин-кошелёк, но и fido-токеном тоже быть умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

27. Сообщение от Crazy Alex (ok), 14-Фев-20, 14:06	+12 +/–
sftp?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от Crazy Alex (ok), 14-Фев-20, 14:11	+/–
Зависит от ключа. Если с "секьюрным элементом" - никак, и оно будет с закрытым кодом, так что верьте разработчикам на слово. Если что-то открытое - то бэкап или есть, или не особо сложно допилить. У трезора всё генерируется из одного базового ключа, который можно забэкапить при инициалищации железки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #44

29. Сообщение от fi (ok), 14-Фев-20, 14:22	–4 +/–
> Кстати, как сейчас с их доставкой в РФ? Не посадють? последние веяние - лотерея: могут случайно выбрать, тогда посадка. и еще, теперь слово crypt вне закона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

30. Сообщение от Обдолбим (?), 14-Фев-20, 14:28	+2 +/–
Вы, батенька, мечта любого маркетолога-спамера
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

31. Сообщение от Ю.Т. (?), 14-Фев-20, 14:32	+4 +/–
Архитектура фон Неймана - 1948 год.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #48

32. Сообщение от Аноним (32), 14-Фев-20, 14:45	+1 +/–
И часто домохозяйки ssh пользуются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #110

33. Сообщение от Аноним (32), 14-Фев-20, 14:48	+1 +/–
> А почему FTP в разрезе HTTP считается устаревшим и не нужным протоколом. В любом разрезе, протокол, использующий два соединения, при наличии альтернатив, использующих одно — будет устаревшим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #42

34. Сообщение от Аноним (34), 14-Фев-20, 15:26	–1 +/–
Так не совсем понял libopenssh2-dev или как его устанавливать?
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Michael Shigorin (ok), 14-Фев-20, 16:45	+/–
> ecdsa-sha2-nistp256/384/521 Гм, а "521" по ссылке точно не очепятка (дважды)?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #79

36. Сообщение от Аноним (36), 14-Фев-20, 16:54	–2 +/–
> Ключевым улучшением в выпуске OpenSSH 8.2 стала возможность использования двухфакторной аутентификации при помощи устройств Зачем нужно делать поддержку в коде если всё это работало и раньше, через pam?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #46

37. Сообщение от Аноним (37), 14-Фев-20, 17:14	+1 +/–
https://web.archive.org/web/20190128070703/https://bugzilla....
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

38. Сообщение от Аноним (38), 14-Фев-20, 17:40	+/–
>там хоть экспорт есть. Однажды нужно было экспорт из FreeOTP сделать, только через adb backup вышло вручную вытащить базу. Так что да, нормальный экспорт это плюс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #62

39. Сообщение от Аноним (39), 14-Фев-20, 18:50	+1 +/–
OpenSSH, внезапно, работает не только на системах с PAM.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40, #45

40. Сообщение от пох. (?), 14-Фев-20, 19:04	–1 +/–
проверяли, точно-точно работает? А то как бы не оказалось - "работал". Еще лет десять назад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #67

42. Сообщение от пох. (?), 14-Фев-20, 19:10	–4 +/–
любой протокол, использующий порт, отличный от 443 - будет тоже устаревшим, по той же самой причине. Макака настраивала файрвол, написанный таким же низшим приматом. Ну ничего, ничего, скоро-скоро прекрасный http3 во все дыры, написанный каким-то осьминогом - и руки из жопы, и голова в жопе, и сама эта жопа - с ушами. Вот тут-то мы над владельцами г-нофайрволов и похохочем. Если успеем, конечно, пока самих не завалят дешевым и эффективым ddos.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

43. Сообщение от пох. (?), 14-Фев-20, 19:20	–2 +/–
> А потом выясняется что не ко всему софту можно привязать несколько разных > аппаратных ключей. 1. не используй такой софт - он г-но 2. если используешь такой софт - не используй с ним аппаратные ключи 3. если таки вынужден использовать и вынужден использовать аппаратные ключи - дядя за тебя лучше знает, что лучше потерять доступ навсегда, чем прогадить его. 3a. не работай на такого дядю - он м..к (потому что да, решение правильное, метод - достойный второго места на конкурсе м-ков) - или хотя бы заранее подстели соломку, чтобы он сам был виноват. > Да и бекапы как бы возможны, при большом желании. спасибо, я знаю что убикей - дырявое г-нецо сделанное хипстатой для хипстаты. Ничего нового, полагаю, по этой ссылке я для себя не открою. К счастью, надо мной не стоит дядя, решающий за меня, какие именно технологии мне использовать. К несчастью, дяди все же решают, что есть работа, а что праздное времяпровождение, поэтому взять и написать условный ssh 1.3, на этот раз - руками, увы, получится не в этой жизни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

44. Сообщение от пох. (?), 14-Фев-20, 19:23	–2 +/–
> Зависит от ключа. Если с "секьюрным элементом" - никак, и оно будет > с закрытым кодом, так что верьте разработчикам на слово. Если что-то > открытое - то бэкап или есть, или не особо сложно допилить. > У трезора всё генерируется из одного базового ключа, который можно забэкапить > при инициалищации железки. поэтому он еще большее г-но чем "с закрытым кодом", где хотя бы можно поверить разработчикам на слово. Скажите, а _нормальных_ шва...6еш...э...открытых решений человечество еще так и не родило? Ну что же, жги, Господь! Тут и двух праведников не наберется, какие нахрен три.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #53, #57

45. Сообщение от Crazy Alex (ok), 14-Фев-20, 19:24	–1 +/–
А они бывают ещё, не музейные и не "от одарённых",  и без PAM? Даже на Qnx есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #68

46. Сообщение от пох. (?), 14-Фев-20, 19:30	–3 +/–
>> Ключевым улучшением в выпуске OpenSSH 8.2 стала возможность использования двухфакторной аутентификации при помощи устройств > Зачем нужно делать поддержку в коде если всё это работало и раньше, > через pam? затем, что через pam, внезапно, не работало. Можно было только подменить одну аутентификацию другой. Не предназначен он для такого. Впрочем, и сейчас аутентификация, на самом деле, не двухфакторная. Примитивный пароль на ключ не является полноценным вторым фактором, поскольку находится тоже у клиента, а не на сервере, где ему положено быть. Почему ssh двадцать лет не могут научить спрашивать пароль ПОСЛЕ авторизации ключом - ну так - макаки, сэр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #52, #54, #69, #80

47. Сообщение от пох. (?), 14-Фев-20, 19:38	–2 +/–
> https://web.archive.org/web/20190128070703/https://bugzilla.... ну как обычно - заболтать, вместо того чтоб самому прочитать (сперва спек u2f, потом, о Б-же, lgpl - похоже он правда т..пой настолько, что не понимает разницы, и читать напрочь не хочет) - потом изобрести тот же самый велосипед, но с треугольными колесами (надо признать, что тот-то был - с квадратными) и гордо объявить авторство. Впопенсорсе - перевод чужого труда и времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #70

48. Сообщение от GentooBoy (ok), 14-Фев-20, 20:07	+/–
Если бы он был такой же проворный как Ларри Эллисон то деньжат хватило бы еще и пра правнукам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #51, #73

49. Сообщение от крок (?), 14-Фев-20, 20:15	–1 +/–
Инклюд - два года жаждил!
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от GentooBoy (ok), 14-Фев-20, 20:16	+/–
нет, это такие кривые, хотя конечно многих приводит в замешательство и думают что ошибка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

51. Сообщение от Ю.Т. (?), 14-Фев-20, 20:25	–1 +/–
> Если бы он был такой же проворный как Ларри Эллисон то деньжат > хватило бы еще и пра правнукам Он и без того не остался внакладе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

52. Сообщение от GentooBoy (ok), 14-Фев-20, 20:27	–3 +/–
>Почему ssh двадцать лет не могут научить спрашивать пароль ПОСЛЕ авторизации ключом - ну так - макаки, сэр. лол спасибо поржал, сразу вспомнил басню мартышка и очки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

53. Сообщение от Crazy Alex (ok), 14-Фев-20, 20:41	+/–
Дядь, проходи со своими ынтырпрайзами мимо. Мне надо чтобы работало, а не чтобы можно было отмазаться если брелок про..н или сгорел, а миллионы я не контролирую, так что модель угроз не особо суровая. И, думаю, тут у большинства так. Лично мне оно интересно: 1) чтобы не лень было второй фактор вообще использовать. Заметь - выбор не между "использовать так или эдак", а между "удобно с одним фактором (или с ключом без пароля)" и "так уж и быть, буду время от времени на брелоке кнопочку тыкать". 2) чтобы избавиться от введения паролей там, где на меня смотрят чужие камеры. Физические угрозы не волнуют от слова "совсем". Если тебе не нравится - ищи другие варианты, но если так, чтобы вообще не сломать - то только secure element (в котором зато наверняка есть совершенно штатные бэкдоры). Мне такое счастье и с доплатой не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #58

54. Сообщение от Аноним (54), 14-Фев-20, 22:46	+/–
> спрашивать пароль ПОСЛЕ авторизации ключом Кто сильно беспокоится - может завернуть 22й порт в Ipsec  в транспортном режиме. После того, как к лебедю или еноту прикрутят сабж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

55. Сообщение от Аноним (54), 14-Фев-20, 23:32	+/–
Чота мне это ихнее U2F как-то не вдохновляет: >  directly access the security features of the device without user effort other than possessing and inserting the device Опять равнение на идиотов, у которых мозгов хватает только на то, чтобы воткнуть флэшку в разъём. На USB-токен вполне можно вкорячить три или четыре вот таких свича: https://www.chipdip.ru/product/mr-1-8, это даст 512 или 4096 положений (это то, что есть в рознице, наверняка есть что-то поминиатюрнее). Можно ещё dip-переключатель но это не лучший вариант - его будут тыкать ручкой или чем-то узким и измажут или поцарапают ключи, а это палево. > The device key is secured against duplication by a degree of social trust in the commercial manufacturer Ога. А потом какие-нибудь австрийские ковырятели чипов его раскурочат и окажется, что ключ в лучшем случае просто xor'ится с единой для всех токенов цифирью, а то и вовсе хранится в открытом виде.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61

56. Сообщение от gogo (?), 14-Фев-20, 23:42	+/–
таки для того, чтобы не страшно было брелок потерять )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #60

57. Сообщение от Fedd (ok), 14-Фев-20, 23:54	+/–
С чего это Юбики дырявый? Не откроешь а зря, первым же предложением там For security, the firmware on the YubiKey does not allow for secrets to be read from the device after they have been written to the device. Therefore you cannot duplicate or back up a YubiKey or Security Key.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #59

58. Сообщение от нах. (?), 15-Фев-20, 00:11	–2 +/–
> Дядь, проходи со своими ынтырпрайзами мимо. какой, в опу, интерпрайс с сесехе? Меня интересуют мои собственные системы (даже если они рабочие в ентер-прайсе - они тоже мои, пока я там работаю, и мне найух не надо с ними приключений из-за залетевшего дятла или вообще казачка засланного - а такие бывают) > 2) чтобы избавиться от введения паролей там, где на меня смотрят чужие камеры. otp генераторы на токене - не, не модно? И да, никто не мешает им эмулировать клавиатуру (можно даже - bt). (я не про тот мусор в телефоне, который вам гугль вместо них подсунул, если что) Но увы, вместо этого мы имеем оверинжинереный u2f, бесполезный для всего кроме авторизации в гмейлике (где тоже нахрен не сдался), уродливый убикей (запрещенный к ввозу в ресурсную федерацию), и "вообще-то оно - кошелек", за дохера денег, неипических размеров и с ключом который "можно сбэкапить" (хорошо если до тебя уже не "сбэкапили") вместо технически нечитаемой памяти. > Если тебе не нравится - ищи другие варианты другой глобус? Или подождать на этом, пока все не сгорят к х.ям, должно ж быть недолго? > в котором зато наверняка есть совершенно штатные бэкдоры аааа, п-ц. Милионы он не контролирует, ынтырпрайз мимо, видать, работает дворником, но все разведки мира стремятся взломать его локалхост!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

59. Сообщение от нах. (?), 15-Фев-20, 00:20	–1 +/–
он не в этом месте дырявый (хотя оно, скорее всего, тоже вызовет вопросы - например, точно ли ты единственный, у кого есть копия - коли механизм слива старательно предусмотрен, очень трудно поверить, что он - одноразовый) там то что на нем понареализовано, включая бесполезный u2f - сплошной ад, трэш и п-ц. Не, для gmail'а-то - ок, а это и есть его основное назначение. Главное, писем с паролями в том гмыле не храни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

60. Сообщение от нах. (?), 15-Фев-20, 00:22	–1 +/–
нахер он тебе нужен, если его не страшно потерять? Ключ от квартиры тоже не страшно потерять, запасной-то ты под коврик положил заранее? Ню-ню... P.S. нет, *те* ключи не помогут тебе, если ты потерял брелок, это место у них вполне разумно сделано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #78

61. Сообщение от нах. (?), 15-Фев-20, 00:29	–1 +/–
> На USB-токен вполне можно вкорячить три или четыре вот таких свича можно. И кому от чего они помогут, если у тебя его отожмут пацаны? Или ты собираешься каждый раз, заходя на свой локалхост, сперва выставлять микроскопическими свитчами свой супер-секретный пароль, а потом еще и старательно скручивать их в неправильное положение? Не забывая, понятен, прятаться под стол, пока крутишь, а то ж камеры! Не кури эту гадость. Идея еще глупее чем ubikey. Ключ вполне может храниться в открытом виде, задача в том, чтобы прочитать его оттуда было невозможно банальным способом, типа выпаивания чипа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #63, #64

62. Сообщение от нах. (?), 15-Фев-20, 00:31	–1 +/–
и вся секьюрить сведена к х..ю. Поскольку нормально сэкспортить можешь теперь не только ты, а любой китайский троянец, любой пацанчик, взявший твой телефон чиста посмотреть, не говоря уже о плохих ребятах, взявших тебя вместе с телефоном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

63. Сообщение от Аноним (54), 15-Фев-20, 01:33	+/–
Мне. От утечки. Если украли - пусть крутят, три попытки - и досвидос. Если стоят за плечом - блокировочная комбинация и тоже досвидос. От камер и микрофонов (каждый щелчок уникален же!!!11) тоже методы есть. А насчёт выпаивания чипа - сомневаюсь, что у производителей этих бирюлек своё литографическое оорудование и они сами пекут чипы, причём каждый уникален и реверс-инжинирить каждый придётся независимо от других. 100% что оно собрано на простейшей комплектухе и содержимое ппзу из не
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #66

64. Сообщение от Аноним (54), 15-Фев-20, 01:34	+/–
Мне. От утечки. Если украли - пусть крутят, три попытки - и досвидос. Если стоят за плечом - блокировочная комбинация и тоже досвидос. От камер и микрофонов (каждый щелчок уникален же!!!11) тоже методы есть. А насчёт выпаивания чипа - сомневаюсь, что у производителей этих бирюлек своё литографическое оорудование и они сами пекут чипы, причём каждый уникален и реверс-инжинирить каждый придётся независимо от других. 100% что оно собрано на простейшей комплектухе и содержимое ппзу из неё дампится на раз, дизасемблится тоже без проблем и ключ - как на ладони.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #72

65. Сообщение от qwerty123 (??), 15-Фев-20, 02:04	+/–
>Для взаимодействия с устройствами, подтверждающими присутствие пользователя Поправил: "Для взаимодействия с устройствами, подтверждающими присуствие паяльника в нижнем отверстии пользователя"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87

66. Сообщение от qwerty123 (??), 15-Фев-20, 02:08	+/–
>Если стоят за плечом - блокировочная комбинация и тоже досвидос. Досвидос, чувак, мы тебя больше не увидим! Если у тебя будут "стоять за плечами", то ключ к квартире, где деньги лежат, будет меньшей из твоих проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

67. Сообщение от Аноним (39), 15-Фев-20, 02:11	+/–
Внезапно, родная ОС — OpenBSD — прекрасно живет с альтернативой под названием BSD auth. Что-то мне подсказывает, что в Windows PAM тоже отсутствует.  Дальше сами догадаетесь как проверять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #74

68. Сообщение от Аноним (39), 15-Фев-20, 02:14	+/–
Одно дело «в ОС можно использовать PAM», и другое — когда таковой является частью непосредственно ОС, а не ставится в качестве дополнительной фичи. И, да, PAM ужасен и, слава богам, не так распространён, как кажется некоторым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #89

69. Сообщение от Аноним (39), 15-Фев-20, 02:15	+/–
Харе прикидываться чужим ником.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

70. Сообщение от Аноним (37), 15-Фев-20, 06:33	+/–
Ты на дату публикации посмотри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #77

71. Сообщение от Аноним (71), 15-Фев-20, 09:29	+/–
Плюсую Nitrokey Pro https://gentoo.org/news/2019/04/16/nitrokey.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #81

72. Сообщение от нах. (?), 15-Фев-20, 10:36	+1 +/–
> Мне. От утечки. Если украли - пусть крутят, три попытки - и так ты ж уже накрутил? Или ты таки старательная мартышка, и после логина каждый раз в ту же секунду будешь в другую сторону накручивать, отложив на минутку проблему, ради которой этот логин тебе понадобился? > реверс-инжинирить каждый придётся независимо от других. 100% что оно собрано на > простейшей комплектухе и содержимое ппзу из неё дампится на раз, дизасемблится > тоже без проблем и ключ - как на ладони. "простейшая комплектуха" включает в себя pic'и и прочие memory-on-chip, где выпаивать, внезапно, нечего, сдампить после пережигания невозможно, производятся миллионными тиражами. Но и просто заказать у китайца партию специализированных чипов не так дорого, как тебе мнится (и уж точно выйдет в сборе дешевле чем какие-то бестолковые микропереключатели) - а в ubi-nano вряд ли поместится память на флэшечке, приклеенной эпоксидкой чтоб-никто-не-догадался (привет, оладьин) Так что вопрос только в том, насколько разработчики железа у них внимательные и аккуратные. У меня что-то хреновое предчувствие(c). Но это вовсе не означает, что нельзя сделать нормально и надежно. Но вместо этого мы имеем - "вообще-то оно кошелек" :-( И последний на всю Ресурсию банк, умеющий offline otp генератор встроенный прямо в кредитку (сюрприз, сюрприз, так можно было, при том что они производятся в микроколичествах), без пяти минут банкрот, ибо никто из его владельцев не имел счастья родиться в той же питерской подворотне, что один крысиный император.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #75

73. Сообщение от нах. (?), 15-Фев-20, 10:40	+2 +/–
> Если бы он был такой же проворный как Ларри Эллисон то деньжат > хватило бы еще и пра правнукам А мы бы до сих пор пользовались холлеритовским табулятором, у кого денег хватит, остальные - счетами, угу. К счастью, он не был такой проворный, и проворонил бохатство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

74. Сообщение от нах. (?), 15-Фев-20, 10:47	–1 +/–
> BSD auth. Что-то мне подсказывает, что в Windows PAM тоже отсутствует. пилять, так вот для кого они старались... Эгей, гей - Тео, поздравляю, ты на старости-то лет, похоже, поумнел, больше тебе не отключат электричество за неуплату? Для тебя исполняется https://www.youtube.com/watch?v=mhaUrkNqk28 P.S. правда, на самом деле, конечно, вряд ли - для MS нет никакой проблемы переписать именно этот кусок с нуля, и, скорее всего, им таки и пришлось это сделать. Лет через десять будет и u2f. А Тео снова останется без электричества.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

75. Сообщение от Аноним (54), 15-Фев-20, 11:14	+/–
> так ты ж уже накрутил? Если я уже сижу за клавой залогиненный и меня огрели по башке - токен, вобщем-то, и не нужен, сеанс уже открыт. А так - да, "вынь и перекрути" - это вопрос "гигиены" и правильных привычек. Тем более, что можно сделать и более современно - жк экранчик и три кнопки - вверх, вниз и установить. выставляешь последовательно цифры пин-кода, после первого обращения оно сбрасывается. > сдампить после пережигания невозможно Так и не нужно, если флэшка работает в любых руках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #76

76. Сообщение от нах. (?), 15-Фев-20, 14:14	+/–
> - да, "вынь и перекрути" - это вопрос "гигиены" и правильных > привычек. Тем более, что можно сделать и более современно - жк Это вопрос геморроя. Да, можно сделать запрос пин-кода. Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам. > Так и не нужно, если флэшка работает в любых руках. некоторые режимы, даже, afair, в убиквити, и некоторых других недоступных в рф поделках умеют пин. Но его должен спросить софт, в результате, надежность все равно никакая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #83, #92

77. Сообщение от нах. (?), 15-Фев-20, 14:17	–1 +/–
> Ты на дату публикации посмотри. Reported:     2014-11-19 06:53 о том и речь - утопили идею в дурацких вообще не относящихся к патчу придирках, ревьюеру лень было, видите ли, читать документацию и лицензию, ему все должны были принести на блюдечке и на коленях подать к рассмотрению. Причем автор проборолся пару лет, но так и плюнул - у него-то уже два года все что надо и так работало. Опенусёрсе как оно есть. Перевод в помойку чужого труда и времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #91

78. Сообщение от anonymous (??), 15-Фев-20, 14:21	+/–
Чего плохого в восстановлении ключа из seed? Запомнить, например, 24 слова на всю жизнь вполне возможно. Если тем, что формально это не фактор "владею", а "знаю", то и что? Как это мешает решить бытовые проблемы с постоянными рисками компроментации паролей и ключей шифрования? Эти 24 слова тебе нужно применять крайне редко и в максимально защищённой среде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #85

79. Сообщение от anonymous (??), 15-Фев-20, 14:23	+/–
BTW, лучше использовать ED25519. Он спроектирован гораздо защищённее к Timing атакам, работает быстрее, и автор вызывает больше доверия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

80. Сообщение от anonymous (??), 15-Фев-20, 14:28	+/–
> затем, что через pam, внезапно, не работало. > Можно было только подменить одну аутентификацию другой. Вообще-то нет, двухфакторная авторизация прекрасно работала и работает. Тупо ставишь нужный модуль PAM и добавляешь строчки в нужные книги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #82

81. Сообщение от нах. (?), 15-Фев-20, 14:30	–1 +/–
> Плюсую Nitrokey Pro Encrypted Backups Nitrokey HSM supports key backup to protect against data loss. это та херня, на которой они якобы позволяют строить pki. Расходимся, тут не на что смотреть. Опять у разработчиков представления о безопасности решения на уровне младшей группы детского сада.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

82. Сообщение от anonymous (??), 15-Фев-20, 14:30	+/–
s/книги/конфиги/ (автозамена)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

83. Сообщение от anonymous (??), 15-Фев-20, 14:39	+/–
> Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам. Trevor умеет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #84, #86, #88

84. Сообщение от anonymous (??), 15-Фев-20, 14:40	+1 +/–
s/Trevor/Trezor/ (автозамена)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от нах. (?), 15-Фев-20, 16:52	+/–
> Чего плохого в восстановлении ключа из seed? в том, что нет ни малейших гарантий, что его можешь восстановить только ты. > Запомнить, например, 24 слова на всю жизнь вполне возможно. как минимум, такой seed должен вводиться - тобой, пусть даже сгенеренный несекьюрно-несекьюрно бросанием кубика. Потому что если он выдается изнутри устройства - ты не можешь быть уверен ни в том, что он уже не выдан кому-то лишнему, ни в том, что кто-то лишний не сможет его потом получить - что бы там ни блеял производитель. > Если тем, что формально это не фактор "владею", а "знаю", то и именно этим. То есть уже неизвестно, владеешь ты ключом или нет. И ты ли это вообще. То есть ради мифической ситуации волшебного устройства, не позволяющего привязать два ключа и не позволяющего других способов восстановления доступа - вполне немифический источник утечки. Что не только сводит к х..ю всю секьюрить, но и заставляет предположить, что и все остальное так же плохо продумано и предназначено для хипстерков, а не тех, кому секреты действительно важнее удобства. > что? Как это мешает решить бытовые проблемы с постоянными рисками компроментации а бытовые и токен не решает - бытовые решает offline-генератор. Который можешь прочитать ты, и, теоретически - чувак за спиной, но, поскольку пароль тут же становится невалиден - чуваку пользы от него практически никакой. Почему эта технология доступна только банкам - а вот угадай. А токеном может воспользоваться любой, хакнувший твой компьютер или уговоривший тебя авторизоваться не с него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #94

86. Сообщение от нах. (?), 15-Фев-20, 16:56	+/–
>> Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам. > Trevor умеет он разьве умеет это с кнопок? С компьютера-то и тот немец умеет, и, afair, убиквитя то ли уже то ли обещали вот вот - только смысл такого пина?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #95

87. Сообщение от нах. (?), 15-Фев-20, 16:57	+/–
> Поправил: > "Для взаимодействия с устройствами, подтверждающими присуствие паяльника в нижнем отверстии > пользователя" фу, зачем ты так? Там же не сканер отпечатка, а банальная контактная кнопка, совершенно незачем пачкать хороший паяльник, можно самому "нажать". И так у них все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

88. Сообщение от нах. (?), 15-Фев-20, 17:05	+/–
>> Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам. > Trevor умеет а, блин. посмотрел видео. Нда... не могу сказать, что мне нравится идея (лучше бы они это сделали выключаемым) но, как минимум, тут хотели сделать надежно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #96

89. Сообщение от Crazy Alex (ok), 15-Фев-20, 17:46	+/–
Чем именно ужасен и таки где его нет? А то ты написал кучу чего-то неконкретного, а понятно только то, что ты PAM за что-то не любишь - но не ясно даже, саму концепцию внешне настраиваемой авторизации или конкретную реализацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #90

90. Сообщение от PereresusNeVlezaetBuggy (ok), 15-Фев-20, 23:00	+1 +/–
> Чем именно ужасен и таки где его нет? А то ты написал > кучу чего-то неконкретного, а понятно только то, что ты PAM за > что-то не любишь - но не ясно даже, саму концепцию внешне > настраиваемой авторизации или конкретную реализацию. PAM подгружает модули авторизации внутри одного процесса. Сама концепция плагинов-то не плоха, а вот соседство написанных разными лицами кусков кода в одном крайне чувствительном процессе — уже идея так себе. Ну а то, что синтаксис для того, чтобы этот оркестр взлетел, напоминает кошмар времён Samba 1.x я вообще молчу. Не, могло быть и хуже, конечно, и при должном старании (как правило, со стороны разработчиков дистрибутива) оно в дефолтах работает. Но ни разу не помню, чтобы ощущения после работы с PAM были «ой как клёво». Справедливости ради, BSD auth тоже есть за что пинать. Но оно хотя бы понадёжнее будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #98

91. Сообщение от PereresusNeVlezaetBuggy (ok), 15-Фев-20, 23:04	+/–
>> Ты на дату публикации посмотри. > Reported:  2014-11-19 06:53 > о том и речь - утопили идею в дурацких вообще не относящихся > к патчу придирках, ревьюеру лень было, видите ли, читать документацию и > лицензию, ему все должны были принести на блюдечке и на коленях > подать к рассмотрению. Причем автор проборолся пару лет, но так и > плюнул - у него-то уже два года все что надо и > так работало. > Опенусёрсе как оно есть. Перевод в помойку чужого труда и времени. Как будто мир closed source чем-то в этом плане отличается. А то у меня есть историй про то как компании от денег отказываются — не потому что предлагают мало, а потому что «не хотим дорабатывать, и всё» (как правило, потому что оригинальных разработчиков давно прогнали, понабрав взамен эффективных менеджеров, ну да не суть).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #99

92. Сообщение от Аноним (54), 16-Фев-20, 00:12	+/–
> Но его должен спросить софт Это какой-то неправильный пин. Прикол был бы в том, что пин спрашивает сам чип флэшки, и именно через минимальный hid-ингтерфейс на самой флэшке. Причём он корректность пина проверить не может - просто слепо раскодирует ключ тем пином, который дали. Попал - молодец, не попал - сервер получает неверный респонс. Три попытки - сервер помечает флэшку как дискредитированную.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #101

94. Сообщение от anonymous (??), 16-Фев-20, 18:23	+/–
> в том, что нет ни малейших гарантий, что его можешь восстановить только ты. Гарантия в том, что никто другой не знает твою последовательность слов. А конкретно в моём случае запомнена не всё последовательность, а половина. А вторая половина записана ручкой на бумаге, запломбирована и находится в недоступном для злоумышленников месте. > как минимум, такой seed должен вводиться - тобой, Именно так я и делаю в Trezor. Там запускаешь восстановление из seed и вводишь последовательность, которую генерируешь как хочешь (хоть просто тыкая пальцем в распечатанный словарь). > То есть уже неизвестно, владеешь ты ключом или нет. Это какая-то XY-проблема. Изначальная задача аутентифицировать пользователя, и не важно то, через пароль это делается, ключ или ещё что. Важно, чтобы только конкретный пользователь мог пройти аутентификацию под его учётную запись (и никто другой). И можно набросать модель угроз. Основные угрозы -- это утечка пароля (чего в данном случае не возможно), потерянное устройство (защищено Trezor-ом, а тот PIN-кодом) и т.п. Так что давайте переместим разговор в сторону конкретной угрозы, на которую вы бы хотели обратить внимание. > вполне немифический источник утечки. Прошу простить, но я не понял, что именно является источником утечки. > А токеном может воспользоваться любой, хакнувший твой компьютер или уговоривший тебя авторизоваться не с него. Как? Тот же Trezor требует ввести PIN-код и подтвердить каждое использование каждого ключа (то есть нужно механически взаимодействовать с Trezor-ом, чтобы им пользоваться). То есть теоретически, ты можешь авторизоваться даже с чужого компьютера, где логируется каждое действие; и единственное, что получит злоумышленник -- это одноразовую подпись. Хотя если пользоваться неправильно, то можно, конечно, слить и какой-то важный ключ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #97

95. Сообщение от anonymous (??), 16-Фев-20, 18:28	+/–
Во-первых Trezor T умеет это с собственного экрана (без участия компьютера). Во-вторых даже на Trezor One (где ввод осуществляется через компьютер), цифры случайно map-ятся. И как они от-map-лены видно лишь с экрана Trezor-а. То есть когда вводишь PIN-код с компьютера, он получается случайным набором цифр (а не PIN-кодом). То есть, например, ваш PIN-код: 1234. Trezor One покажет на экране: 4 6 1 3 2 5 7 9 0   8 Таким образом с компьютера надо будет ввести: 4613 (вместо 1234). И для каждого ввода PIN-кода выдаётся новая случайная последовательность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

96. Сообщение от anonymous (??), 16-Фев-20, 18:29	+/–
> лучше бы они это сделали выключаемым Я немного тупенький, поэтому: лучше бы они _что_ сделали отключаемым?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #100

97. Сообщение от нах. (?), 17-Фев-20, 11:48	+/–
ну где гарантия-то? Механизм слива волшебного ключа (само по себе - дерьмо, не должно быть никаких волшебных ключей) - предусмотрен? Ну вот, рот есть - значит, сольет. Гарантия что его можно слить только однажды - не стоит бумаги, на которой написана. Зачем это делают трезоры - понятно, там риск вообще лишиться всех своих миллиардов оправдывает второй ключ под ковриком. А почему нет нормального решения, кроме approved by visa - совершенно непонятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #103

98. Сообщение от нах. (?), 17-Фев-20, 11:50	+/–
> PAM подгружает модули авторизации внутри одного процесса. причем через callback'и, с указателями на указатели на указатели. Поэтому надежно оно не будет никогда и ни у кого. Ну а чо вы хотите - зато - ентер-прайс (идею сперли то ли у солярки, то ли у aix)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

99. Сообщение от нах. (?), 17-Фев-20, 11:53	+/–
> Как будто мир closed source чем-то в этом плане отличается. нет ножек, нет варенья - там ты хотя бы этот мир не пытаешься улучшать, и заранее знаешь что все зависит от момента, когда именно разогнали разработчиков и наняли "разработчиков на игогошечке". В аналогичном случае - ну хакнул бы кто-то dll'ку для своей пользы, и не терял бы время на бесполезные объяснения и уговоры - уже меньше потерь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #107

100. Сообщение от нах. (?), 17-Фев-20, 11:57	+/–
жуть с перемешиванием цифр (для one, понятно, почему по другому нельзя, но для версии с сенсором уж можно было выключить) Я и банковский пин на таком не наберу правильно, и возможно - все три раза подряд. Ну опять же - для кошелька с мульенами - правильный и понятный ход, для авторизационного токена - п-ц какой-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #104

101. Сообщение от нах. (?), 17-Фев-20, 11:58	+/–
> Прикол был бы в том, что пин спрашивает сам чип флэшки, и именно через минимальный > hid-ингтерфейс на самой флэшке. в смысле, подключенный к флэшке, а не к компьютеру? Ну вон трезор попытался. Интересно, ты на третьей или на второй авторизации йапнешь его об стену с таким пином?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #102

102. Сообщение от Аноним (54), 17-Фев-20, 23:12	+/–
У меня дисциплина, самообладание и мелкая моторика. А для нервных можно сделать ключ в формате банковской карты, на той части, которая торчит из ридера - сенсорная клавиатура, хоть число пи набирай до последнего знака.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

103. Сообщение от anonymous (??), 18-Фев-20, 11:25	+/–
> Механизм слива волшебного ключа (само по себе - дерьмо, не должно быть никаких волшебных ключей) - предусмотрен? Ну вот, рот есть - значит, сольет. Я согласен, что добавление этого механизма -- это была бредовая идея. Но во-первых им воспользоваться можно только один раз, и только если вы не настраивали ключ из внешнего seed-а. > Гарантия что его можно слить только однажды - не стоит бумаги, на которой написана. Ну, эта гарантия стоит не меньше, чем любая гарантия любой защиты со стороны проприетарных устройств. А конкретно Trezor имеет открытую прошивку, и никто не запрещает вам самостоятельно произвести такой и пользоваться собственным экземпляром (чтобы быть уверенным, что никто туда не подкинул закладок). Лично меня (как пользователя Trezor), например, больше волнует то, что в самом STM32 могут быть скрытые возможности по снятию dump-а. В результате, всё строится на доверии к STM32, из-за чего становится невозможным использовать это устройство как достаточное для авторизации (можно использовать лишь как дополнительное к традиционным средствам, а-ля пароль) > А почему нет нормального решения, кроме approved by visa - совершенно непонятно. Прошу простить мою тупость, а про какое решение approved by visa речь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #105

104. Сообщение от anonymous (??), 18-Фев-20, 11:28	+/–
Ну вообще, я видел как охраняется один военный объект. Там тоже пинкоды путаются каждый раз. Это делается, чтобы записав процесс со спины нельзя было воспроизвести пинкод.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #106

105. Сообщение от нах. (?), 18-Фев-20, 18:34	+/–
> Прошу простить мою тупость, а про какое решение approved by visa речь? offline otp generator На смарткарте. В данном случае - встроенной в кредитку. Сама смарткарта активируется пином. Смарткарты - это тот самый специальный процессор, который доступен только через лимитированный интерфейс, никогда не отдает наружу закрытые ключи, пины и прочее. Поскольку в интерфейсе вообще никакого механизма для этого нет - есть только установка пина и пошифровать что-нибудь закрытым ключом. Размер устройства - с кредитную карту. Ну и сама карта, которая и является токеном. Как вариант - бывает встроено напрямую в карту, при этом карта сохраняет свои свойства - помещается в банкомат. https://www.avangard.ru/rus/private/cards/card_with_display/ - только пользы тебе от нее - никакой. Собственно, подобное решение встроено в некоторые nitrokey - но они, к сожалению, не оффлайновые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #108

106. Сообщение от нах. (?), 18-Фев-20, 18:39	+/–
Ну я же говорю - для кошелечка с миллионами, или военного объекта - нормально. И есть что терять, и не ежеминутно этот кошелечек открывают. А пароли от серверов приходится вводить по сотне раз на дню. Поэтому как авторизационный токен для повседневного применения, увы, ну нафиг. (а со спины, если есть кому подглядывать - подглядят и какие цифры нарисованы. То есть в любом случае это дополнительная защита, а не гарантия. Печально, что неотключаемая.) P.S. и вот толку от открытой прошивки? Как всегда...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #109

107. Сообщение от PereresusNeVlezaetBuggy (ok), 18-Фев-20, 18:52	+/–
>> Как будто мир closed source чем-то в этом плане отличается. > нет ножек, нет варенья - там ты хотя бы этот мир не > пытаешься улучшать, и заранее знаешь что все зависит от момента, когда > именно разогнали разработчиков и наняли "разработчиков на игогошечке". > В аналогичном случае - ну хакнул бы кто-то dll'ку для своей пользы, > и не терял бы время на бесполезные объяснения и уговоры - > уже меньше потерь. Ну так если кто-то решил, что если open source, то чинить/допиливать будут на халяву, то это его проблемы. Такая логика ничем не отличается от, например: «он на меня посмотрел, значит, через два месяца у нас с ним будет свадьба». :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

108. Сообщение от anonymous (??), 19-Фев-20, 12:25	+/–
> Поскольку в интерфейсе вообще никакого механизма для этого нет - есть только установка пина и пошифровать что-нибудь закрытым ключом. Ну так заявляется производителем smart card-ы. То есть всё строится на доверии к производителю, карты. В Trezor данные хотя бы можно зашифровать паролем, чтобы даже сотрудник STMicroelectronics не смог вытащить твои секретные данные. А тут как защищаются? Можно ознакомиться с кодом прошивки и провести аудит? Можно ли самому произвести, чтобы убедиться, что закладок не подложили? > есть только установка пина и пошифровать что-нибудь закрытым ключом. С Trezor-ом T даже установка PIN делается с экрана самого устройства. > Как вариант - бывает встроено напрямую в карту, при этом карта сохраняет свои свойства - помещается в банкомат. Удобно. > Собственно, подобное решение встроено в некоторые nitrokey - но они, к сожалению, не оффлайновые. Не очень понимаю, почему offline-оый -- это лучше. В данном контексте "offline-ый" -- это же не имеющий соединения с компьютером, верно? То есть это OTP генератор завязанный на время, верно? Если так, то создаётся ощущение, что это уязвимо: вводимый OTP можно использовать сразу в нескольких местах (в один момент времени). То есть если этот OTP-генератор используется как второй фактор (а первый фактор -- это пароль), то возможна его (временная) утечка по тому же каналу, по которому утёк пароль, собственно. Как там от такого защищаются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

109. Сообщение от anonymous (??), 19-Фев-20, 12:31	+/–
> А пароли от серверов приходится вводить по сотне раз на дню. В моём случае PIN-код этот вводится где-то раз 5 за день. Каждый раз когда я сажусь за компьютер, я подключаю устройство и ввожу PIN-код. Дальнейшие действия (пока устройство подключено) уже не требуют PIN-кода (достаточно просто подтверждения действия кнопкой на устройстве). > И есть что терять, и не ежеминутно этот кошелечек открывают. Всем есть что терять. Это лишь вопрос гигиены (а-ля чистка зубов). Просто ответсвенно подходить к работе, чтобы не утёк миллиард персональных данных -- это тоже правильно. Дело не только в личных миллионах долларов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

110. Сообщение от Аноним (110), 21-Фев-20, 13:33	+/–
Каждый день, компьютер на балконе, пойду я туда зимой,чтобы что-то настроить, ага
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема