OpenForum RSS: Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... https://www.opennet.ru/openforum/vsluhforumID3/119780.html После четырёх месяцев разработки представлен релиз OpenSSH 8.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52369<br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#110 Fri, 21 Feb 2020 10:33:45 GMT Каждый день, компьютер на балконе, пойду я туда зимой,чтобы что-то настроить, ага<br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#109 Wed, 19 Feb 2020 09:31:24 GMT &gt; А пароли от серверов приходится вводить по сотне раз на дню.<br><br>В моём случае PIN-код этот вводится где-то раз 5 за день. Каждый раз когда я сажусь за компьютер, я подключаю устройство и ввожу PIN-код. Дальнейшие действия (пока устройство подключено) уже не требуют PIN-кода (достаточно просто подтверждения действия кнопкой на устройстве).<br><br>&gt; И есть что терять, и не ежеминутно этот кошелечек открывают.<br><br>Всем есть что терять. Это лишь вопрос гигиены (а-ля чистка зубов). Просто ответсвенно подходить к работе, чтобы не утёк миллиард персональных данных -- это тоже правильно. Дело не только в личных миллионах долларов.<br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#108 Wed, 19 Feb 2020 09:25:25 GMT &gt; Поскольку в интерфейсе вообще никакого механизма для этого нет - есть только установка пина и пошифровать что-нибудь закрытым ключом.<br><br>Ну так заявляется производителем smart card-ы. То есть всё строится на доверии к производителю, карты.<br><br>В Trezor данные хотя бы можно зашифровать паролем, чтобы даже сотрудник STMicroelectronics не смог вытащить твои секретные данные. А тут как защищаются? Можно ознакомиться с кодом прошивки и провести аудит? Можно ли самому произвести, чтобы убедиться, что закладок не подложили?<br><br>&gt; есть только установка пина и пошифровать что-нибудь закрытым ключом.<br><br>С Trezor-ом T даже установка PIN делается с экрана самого устройства.<br><br>&gt; Как вариант - бывает встроено напрямую в карту, при этом карта сохраняет свои свойства - помещается в банкомат.<br><br>Удобно.<br><br>&gt; Собственно, подобное решение встроено в некоторые nitrokey - но они, к сожалению, не оффлайновые.<br><br>Не очень понимаю, почему offline-оый -- это лучше. В данном контексте "offline-ый" -- это же не имеющий соединения с компью Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (PereresusNeVlezaetBuggy) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#107 Tue, 18 Feb 2020 15:52:29 GMT &gt;&gt; Как будто мир closed source чем-то в этом плане отличается.<br>&gt; нет ножек, нет варенья - там ты хотя бы этот мир не <br>&gt; пытаешься улучшать, и заранее знаешь что все зависит от момента, когда <br>&gt; именно разогнали разработчиков и наняли "разработчиков на игогошечке".<br>&gt; В аналогичном случае - ну хакнул бы кто-то dll'ку для своей пользы, <br>&gt; и не терял бы время на бесполезные объяснения и уговоры - <br>&gt; уже меньше потерь.<br><br>Ну так если кто-то решил, что если open source, то чинить/допиливать будут на халяву, то это его проблемы. Такая логика ничем не отличается от, например: &#171;он на меня посмотрел, значит, через два месяца у нас с ним будет свадьба&#187;. :)<br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#106 Tue, 18 Feb 2020 15:39:06 GMT Ну я же говорю - для кошелечка с миллионами, или военного объекта - нормально.<br>И есть что терять, и не ежеминутно этот кошелечек открывают.<br><br>А пароли от серверов приходится вводить по сотне раз на дню.<br><br>Поэтому как авторизационный токен для повседневного применения, увы, ну нафиг.<br>(а со спины, если есть кому подглядывать - подглядят и какие цифры нарисованы. То есть в любом случае это дополнительная защита, а не гарантия. Печально, что неотключаемая.)<br><br>P.S. и вот толку от открытой прошивки? Как всегда...<br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#105 Tue, 18 Feb 2020 15:34:20 GMT &gt; Прошу простить мою тупость, а про какое решение approved by visa речь?<br><br>offline otp generator<br>На смарткарте. В данном случае - встроенной в кредитку. Сама смарткарта активируется пином.<br>Смарткарты - это тот самый специальный процессор, который доступен только через лимитированный интерфейс, никогда не отдает наружу закрытые ключи, пины и прочее. Поскольку в интерфейсе вообще никакого механизма для этого нет - есть только установка пина и пошифровать что-нибудь закрытым ключом. <br>Размер устройства - с кредитную карту. Ну и сама карта, которая и является токеном. Как вариант - бывает встроено напрямую в карту, при этом карта сохраняет свои свойства - помещается в банкомат.<br>https://www.avangard.ru/rus/private/cards/card_with_display/<br>- только пользы тебе от нее - никакой.<br><br>Собственно, подобное решение встроено в некоторые nitrokey - но они, к сожалению, не оффлайновые.<br><br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#104 Tue, 18 Feb 2020 08:28:01 GMT Ну вообще, я видел как охраняется один военный объект. Там тоже пинкоды путаются каждый раз. Это делается, чтобы записав процесс со спины нельзя было воспроизвести пинкод.<br> Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#103 Tue, 18 Feb 2020 08:25:16 GMT &gt; Механизм слива волшебного ключа (само по себе - дерьмо, не должно быть никаких волшебных ключей) - предусмотрен? Ну вот, рот есть - значит, сольет.<br><br>Я согласен, что добавление этого механизма -- это была бредовая идея. Но во-первых им воспользоваться можно только один раз, и только если вы не настраивали ключ из внешнего seed-а.<br><br>&gt; Гарантия что его можно слить только однажды - не стоит бумаги, на которой написана.<br><br>Ну, эта гарантия стоит не меньше, чем любая гарантия любой защиты со стороны проприетарных устройств. А конкретно Trezor имеет открытую прошивку, и никто не запрещает вам самостоятельно произвести такой и пользоваться собственным экземпляром (чтобы быть уверенным, что никто туда не подкинул закладок).<br><br>Лично меня (как пользователя Trezor), например, больше волнует то, что в самом STM32 могут быть скрытые возможности по снятию dump-а. В результате, всё строится на доверии к STM32, из-за чего становится невозможным использовать это устройство как достаточное для авторизации (можно использоват Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/119780.html#102 Mon, 17 Feb 2020 20:12:29 GMT У меня дисциплина, самообладание и мелкая моторика. А для нервных можно сделать ключ в формате банковской карты, на той части, которая торчит из ридера - сенсорная клавиатура, хоть число пи набирай до последнего знака.<br>