forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

В OpenSSH добавлена поддержка универсальной двухфакторной ау..., opennews (??), 03-Ноя-19, (0) [смотреть все]

Строго говоря, это все еще однофакторная аутентификация, т к из трех возможных , Аноним (1), 09:34 , 03-Ноя-19, (1) //

Строго говоря всем нужно владеть, что-бы иметь к этому доступ, свойством, знание, uchiya (ok), 10:02 , 03-Ноя-19, (4) //

Строго говоря Вам нужно больше читатьhttps ru wikipedia org wiki Многофакторна, ыы (?), 09:16 , 04-Ноя-19, (41) +3 //

Спасибо, почитал Значит все таки двух факторная знание - пароль, владение - ап, rshadow (ok), 12:16 , 05-Ноя-19, (58) +2

Да, она двухфакторная если задать пароль на ключ Но она точно такой же была в, Аноним (1), 16:05 , 05-Ноя-19, (63) +1
Многие забывают что логин - это ТОЖЕ секрет, ничуть не меньше чем пароль логин , Аноним (79), 21:13 , 08-Ноя-19, (79)

Офигеть секрет, который обычно знают как минимум сослуживцы или члены семьи , Аноним (81), 20:51 , 13-Ноя-19, (81)

Т е помимо самого токена владение нужен ещё пароль знание Не двухфакторная, nrndda (ok), 10:12 , 03-Ноя-19, (5) +1 //

пароль для закрытого ключа можно было задать и раньшетут, по сути, секретный клю, gogo (?), 12:46 , 03-Ноя-19, (14) +3 //

Вы просто путаете сами факторы с их конкретной реализацией Для компьютера любой, rshadow (ok), 12:24 , 05-Ноя-19, (59)

а, это те самые, в которых возможно есть бэкдор АНБ Почему не ed25519 , Аноним (2), 09:36 , 03-Ноя-19, (2) +10 //

Как говорится в хорошо поставленном вопросе уже содержится ответ У вас ответ во, Zlo (??), 09:59 , 03-Ноя-19, (3) +7
ed25519 - 126 бит если что Не считая того, что вероятно вообще эллиптическая кри, Ivan_83 (ok), 00:01 , 04-Ноя-19, (37) +1 //

не более чем RSAи есть еще изогении в кривых говорят постквантовые, но пока не в, хотел спросить (?), 01:01 , 04-Ноя-19, (38)

Пруф Бекдор был в Dual_EC_DRBG , h31 (ok), 01:03 , 04-Ноя-19, (39)
АНБ вам лично докладывает о своих бэкдорах На месте АНБ я бы пускал слухи о бэкд, Аноним (40), 07:08 , 04-Ноя-19, (40) +4

Надо попробовать эту фичу , Иван (??), 10:13 , 03-Ноя-19, (6) //

И остаться без доступа к серваку D, Грусть (?), 10:21 , 03-Ноя-19, (7) +1 //

Зря минусуете, эта модель угрозы должна быть учтена С секретного ключа можно сде, Licha Morada (ok), 21:22 , 04-Ноя-19, (51) +6

Дял этого сначала нужен аппаратный токен В РФ у нас продается Jacarta U2F за до, Kuromi (ok), 00:32 , 05-Ноя-19, (56) //

и гадать, в какой стране и на какой срок придется присесть Потому что это уже не, пох. (?), 12:55 , 06-Ноя-19, (67) //

Передергиваете Сам так покупал, на пакетике было написано USB Drive и никто не , Kuromi (ok), 15:34 , 06-Ноя-19, (69)

молодец, а я вчера у лоха ипхон десятый отжал - и, представляешь, не догнали Все, пох. (?), 21:59 , 06-Ноя-19, (72)

Это вам не ко мне, а на форум для чотких Ой-вэй, подскажите адрес ближайшего о, Kuromi (ok), 00:22 , 07-Ноя-19, (73)

А где шутки про FIDO , Аноним (8), 10:51 , 03-Ноя-19, (8) –1 //

Шутки про ФИДО начнутся после чебурахинга рунета , siu77 (ok), 11:01 , 03-Ноя-19, (10) +16

СМС , Аноним (9), 10:54 , 03-Ноя-19, (9) –3 //

письмо бумажное от гугла для верификации, Аноним (11), 11:17 , 03-Ноя-19, (11) +2 //

Шутки шутками, но в Германии многие конторы так и поступают Шлют бумажное письм, Denis (??), 12:12 , 03-Ноя-19, (13) +2 //

а то была не шутка, Аноним (11), 13:54 , 03-Ноя-19, (18) +1
А это и не шутка Гугл бумажные письма шлёт для подтверждения регистрации некото, Max (??), 14:24 , 03-Ноя-19, (20) +3

Был уязвим ещё в 2000х, есть и будет уязвим и далее по своей архитектуре, относи, Аноним (21), 14:45 , 03-Ноя-19, (21) +5 //

Из всего вами перечисленного никак не мешает быть самым популярным одним из мето, Аноним (22), 15:23 , 03-Ноя-19, (22) +1
Если в Великой России 63722 можно официально симки купить только по паспорту, , ВеликийРусский (?), 17:53 , 03-Ноя-19, (26) +2

Почему говоря о телефоне все циклятся на СМС 1 Телефон это такой же токен как , rshadow (ok), 12:38 , 05-Ноя-19, (60) //

Для этого не нужен сервер Есть FreeOTP , Owlet (?), 19:31 , 05-Ноя-19, (64)

Самое ненадежное в этой цепочке, ИМХО, - это ssh-agent Вешается очень уж часто, jOKer (ok), 11:59 , 03-Ноя-19, (12) –2 //

Это он вешается от темноты и от отчания одиночества в спящем ноуте , gogo (?), 12:48 , 03-Ноя-19, (15) +6
Не сказал бы что самое ненадёжное , но вектор многообещающий Для торянца, кото, Licha Morada (ok), 21:27 , 04-Ноя-19, (52) +1

Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяки, Аномномномнимус (?), 13:17 , 03-Ноя-19, (16) +1 //

Там вроде есть коды восстановления, которые предлагается сохранить на отдельном , Ананас (?), 13:26 , 03-Ноя-19, (17)
Если делать правильно - никак В смысле - единственный бэкап - это _еще_ одна , пох. (?), 22:09 , 03-Ноя-19, (30) –1 //

Ты не догоняешь как и с SSL, впрочем Это не о супер-безопасности Это об уд, Crazy Alex (ok), 22:45 , 03-Ноя-19, (33) +1 //

необходимость таскать за собой ненужно, каждый раз тыкать в usb-слот мало флэше, пох. (?), 23:30 , 03-Ноя-19, (35) –1

для не-тыкать в usb-слот они предусмотрели работу по bluetooth nfc Насчёт проч, Аноним (45), 14:09 , 04-Ноя-19, (45) +1

то есть совсем глючные и насквозь дырявые технологии, спасибоЯ спрашивал - а нор, пох. (?), 17:09 , 04-Ноя-19, (48)

И как сделать эту ещё одну железку , если в первой железке вроде как ключи не и, Аномномномнимус (?), 19:00 , 04-Ноя-19, (49) //

обратитесь к системному администратору, не В случае sshd - администратор я, и у , пох. (?), 12:57 , 06-Ноя-19, (68)

Что за гугловые 2FA , Аноним (50), 19:26 , 04-Ноя-19, (50)

На гитхабе кстати видел проектик u2f на stm32 Надо будет попробовать , Аноним (19), 13:55 , 03-Ноя-19, (19) //

Хоть бы ссылку дал, SOska (?), 15:25 , 03-Ноя-19, (24) +1 //

Так trezor же, разве нет , anonymous (??), 21:39 , 04-Ноя-19, (53)

И ниче что токены не open firmware, и кто дал гарантию что нет закладок на уровн, SOska (?), 15:24 , 03-Ноя-19, (23) //

Вот у этих open firmware https wiki trezor io U2FПо основному роду деятельнос, Crazy Alex (ok), 16:54 , 03-Ноя-19, (25) +2 //

товарищмайору очень нравится идея существования в нем какого-то универсального , пох. (?), 22:03 , 03-Ноя-19, (28) //

В мире крипты давно на опыте выяснили, что иметь один seed, который можно забэка, Crazy Alex (ok), 22:30 , 03-Ноя-19, (32) +2

вероятно, для кошелька это допустимо - потерять намайненные миллионы навсегда из, пох. (?), 23:17 , 03-Ноя-19, (34) –1

Спешите видеть, нонейм с опенета разносит BIP в пух и прах, вся криптоиндустрия , Аноним (42), 11:54 , 04-Ноя-19, (42)

Вот тоже облизываюсь подобную штуку приспособить, что-то уже выданное и использу, Licha Morada (ok), 21:44 , 04-Ноя-19, (54)

я готов заплатить, если не очень космических денег, в пределах, скажем, 2k, за , пох. (?), 11:31 , 06-Ноя-19, (66)

А нужен именно бланк Я думал, пофиг что карта уже кем-то прошита, единственное , Licha Morada (ok), 21:15 , 06-Ноя-19, (70)

для начала, полагаю, нужно где-то найти бывшего сотрудника втб24, имевшего отнош, пох. (?), 21:40 , 06-Ноя-19, (71)

Я о более минималистическом сценарии использования говорю Оставить в покое синю, Licha Morada (ok), 01:16 , 07-Ноя-19, (74)

банковская карточка оставляя в стороне особенности чипа - банальная последоват, пох. (?), 10:41 , 07-Ноя-19, (75)

Это в принципе достижимо, не требуя от карты раскрытия никакого секрета Грубо Я, Licha Morada (ok), 21:36 , 07-Ноя-19, (76)

прав, оно примерно такое и есть - но с ньюансами Вот в том плане, что для подкл, пох. (?), 23:04 , 07-Ноя-19, (77)

Им не требуется ничего спрашивать у карты при подключении, потому что публичны, Licha Morada (ok), 00:37 , 08-Ноя-19, (78)

что за проприетарная поделка со встроенными памятью всех операций и мастерключём, JL2001 (ok), 23:43 , 04-Ноя-19, (55)
Не ну ты опредились уже Мы от товарища майора бегаем, или самая _правильная_ ре, rshadow (ok), 12:47 , 05-Ноя-19, (61)

втб24 никогда государственным не был и товарищмайорам не принадлежал А нынешние , пох. (?), 11:17 , 06-Ноя-19, (65)

зачем вам закладки на уровне железа, когда они на уровне даже не алгоритма, а пр, пох. (?), 22:04 , 03-Ноя-19, (29)

Лет 10 лет назад уже можно было настроить 2FA или одноразовый пароль для доступа, Аноним (36), 23:39 , 03-Ноя-19, (36) +1
Как они бесятся - лишь бы люди хорошие пароли не ставили Вот скажите честно - вы, InuYasha (?), 12:43 , 04-Ноя-19, (43) //

хотел ответить в ветку про аппаратные токены смс пр , InuYasha (?), 12:45 , 04-Ноя-19, (44)
Не лучше 1 Мест, где унжны пароли, минимум десятки, и либо ты используешь хран, Аноним (45), 14:14 , 04-Ноя-19, (46) +3
окей, мальчик-с-феноменальной-памятью - сколько действительно хороших паролей ты, пох. (?), 14:15 , 04-Ноя-19, (47) +1 //

Пить надо меньше - память и появится Человек с ограниченными возможностями К, InuYasha (?), 11:24 , 05-Ноя-19, (57) –1

Снова гномоагент отвалится , Тудэма Сюдэма (?), 13:16 , 05-Ноя-19, (62)
На yubikey вроде можно было и так записать ssh ключ вместе с pgp, Fedd (ok), 03:11 , 09-Ноя-19, (80)

Сообщения [Сортировка по времени | RSS]

7. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +1 +/–

Сообщение от Грусть (?), 03-Ноя-19, 10:21

И остаться без доступа к серваку :D

Ответить | Правка | Наверх | Cообщить модератору

51. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +6 +/–

Сообщение от Licha Morada (ok), 04-Ноя-19, 21:22

Зря минусуете, эта модель угрозы должна быть учтена.
С секретного ключа можно сделать резервную копию, а с физического токена нельзя, по определению, иначе он никакой нафиг не токен, а просто ещё один секрет.
В общих случаях, токен может быть:
1. Не с собой (нарушена доступность)
2. Сломан (нарушена консистентность)
3. Скомпрометирован (нарушена приватность)
(случай "потеряли" специально не рассматриваю, это комбинация 1 и 3 в какой-то пропорции)
Перед внедрением, необходимо продумать, что будем делать в каждмо случае. В диапазоне от "сносим всё и разворачиваем заново, с новым токеном" до "пусть второй администратор с работающим доступом сделает всё что надо, и заодно починит аутентификацию первому".

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	7. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+1 +/–
	Сообщение от Грусть (?), 03-Ноя-19, 10:21
	И остаться без доступа к серваку :D
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+6 +/–
	Сообщение от Licha Morada (ok), 04-Ноя-19, 21:22
	Зря минусуете, эта модель угрозы должна быть учтена. С секретного ключа можно сделать резервную копию, а с физического токена нельзя, по определению, иначе он никакой нафиг не токен, а просто ещё один секрет. В общих случаях, токен может быть: 1. Не с собой (нарушена доступность) 2. Сломан (нарушена консистентность) 3. Скомпрометирован (нарушена приватность) (случай "потеряли" специально не рассматриваю, это комбинация 1 и 3 в какой-то пропорции) Перед внедрением, необходимо продумать, что будем делать в каждмо случае. В диапазоне от "сносим всё и разворачиваем заново, с новым токеном" до "пусть второй администратор с работающим доступом сделает всё что надо, и заодно починит аутентификацию первому".
	Ответить \| Правка \| Наверх \| Cообщить модератору