The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от opennews (??), 14-Фев-20, 11:43 
После четырёх месяцев разработки представлен релиз OpenSSH 8.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52369

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –3 +/
Сообщение от Аноним (1), 14-Фев-20, 11:43 
"предварительно собрав openssh со встроенной поддержкой библиотеки-прослойки (--with-security-key-builtin), или выставить переменную окружения SSH_SK_PROVIDER, указав путь к внешней библиотеке libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so)."

как то еще не для "домохозяек" :))

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +5 +/
Сообщение от Crazy Alex (ok), 14-Фев-20, 14:04 
Где ssh и где домохозяйки? И вообще, дальнейшее - к дистрибутивам.
Ответить | Правка | Наверх | Cообщить модератору

32. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (32), 14-Фев-20, 14:45 
И часто домохозяйки ssh пользуются?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

110. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (110), 21-Фев-20, 13:33 
Каждый день, компьютер на балконе, пойду я туда зимой,чтобы что-то настроить, ага
Ответить | Правка | Наверх | Cообщить модератору

2. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –2 +/
Сообщение от edv (?), 14-Фев-20, 11:51 
YubiKey из opensource стал closed-source. Поделитесь, кто в курсе открытых аналогов?

Кстати, как сейчас с их доставкой в РФ? Не посадють?

Кто-нибудь пробовал заказывать Librem Key от Purism?

Ответить | Правка | Наверх | Cообщить модератору

8. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Ольга (??), 14-Фев-20, 12:05 
Не посодют. Официально их распространяет the_kernel, через softline.
Ответить | Правка | Наверх | Cообщить модератору

14. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +2 +/
Сообщение от anonymous (??), 14-Фев-20, 12:18 
Solo / Nitrokey
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от coaxmetal (?), 14-Фев-20, 13:38 
Юзаю Nitrokey Pro, всё прекрасно работает из коробки
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

71. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (71), 15-Фев-20, 09:29 
Плюсую Nitrokey Pro

https://gentoo.org/news/2019/04/16/nitrokey.html

Ответить | Правка | Наверх | Cообщить модератору

81. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от нах. (?), 15-Фев-20, 14:30 
> Плюсую Nitrokey Pro

Encrypted Backups
Nitrokey HSM supports key backup to protect against
data loss.
это та херня, на которой они якобы позволяют строить pki.

Расходимся, тут не на что смотреть.
Опять у разработчиков представления о безопасности решения на уровне младшей группы детского сада.

Ответить | Правка | Наверх | Cообщить модератору

26. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Crazy Alex (ok), 14-Фев-20, 14:05 
Trezor. Он вообще биткоин-кошелёк, но и fido-токеном тоже быть умеет.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

29. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –4 +/
Сообщение от fi (ok), 14-Фев-20, 14:22 
> Кстати, как сейчас с их доставкой в РФ? Не посадють?

последние веяние - лотерея: могут случайно выбрать, тогда посадка.

и еще, теперь слово crypt вне закона.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –2 +/
Сообщение от Аноним (3), 14-Фев-20, 11:56 
Что-то не могу подключиться теперь: на сервере ключ не принимает, а локально меня не просит его разблокировать. Что я опять сломал?
Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –8 +/
Сообщение от Аноним (4), 14-Фев-20, 11:57 
А почему FTP в разрезе HTTP считается устаревшим и не нужным протоколом.
А тот же SSH в разрезе HTTPS и к примеру RESTful не считается устаревшим.
Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (13), 14-Фев-20, 12:15 
FTP - 1971 год
SSH - 1995 год

А теперь внимание вопрос для товарища гуманитария: "Почему FTP считается устаревшим?"

Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –3 +/
Сообщение от анон (?), 14-Фев-20, 13:03 
и что ты предлагаеш взамет FTP? WebDav что-ли? ЛОЛ
Ответить | Правка | Наверх | Cообщить модератору

27. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +12 +/
Сообщение от Crazy Alex (ok), 14-Фев-20, 14:06 
sftp?
Ответить | Правка | Наверх | Cообщить модератору

31. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +4 +/
Сообщение от Ю.Т. (?), 14-Фев-20, 14:32 
Архитектура фон Неймана - 1948 год.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

48. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от GentooBoy (ok), 14-Фев-20, 20:07 
Если бы он был такой же проворный как Ларри Эллисон то деньжат хватило бы еще и пра правнукам
Ответить | Правка | Наверх | Cообщить модератору

51. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от Ю.Т. (?), 14-Фев-20, 20:25 
> Если бы он был такой же проворный как Ларри Эллисон то деньжат
> хватило бы еще и пра правнукам

Он и без того не остался внакладе.

Ответить | Правка | Наверх | Cообщить модератору

73. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +2 +/
Сообщение от нах. (?), 15-Фев-20, 10:40 
> Если бы он был такой же проворный как Ларри Эллисон то деньжат
> хватило бы еще и пра правнукам

А мы бы до сих пор пользовались холлеритовским табулятором, у кого денег хватит, остальные - счетами, угу.

К счастью, он не был такой проворный, и проворонил бохатство.


Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

33. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (32), 14-Фев-20, 14:48 
> А почему FTP в разрезе HTTP считается устаревшим и не нужным протоколом.

В любом разрезе, протокол, использующий два соединения, при наличии альтернатив, использующих одно — будет устаревшим.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

42. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –4 +/
Сообщение от пох. (?), 14-Фев-20, 19:10 
любой протокол, использующий порт, отличный от 443 - будет тоже устаревшим, по той же самой причине.

Макака настраивала файрвол, написанный таким же низшим приматом.

Ну ничего, ничего, скоро-скоро прекрасный http3 во все дыры, написанный каким-то осьминогом - и руки из жопы, и голова в жопе, и сама эта жопа - с ушами. Вот тут-то мы над владельцами г-нофайрволов и похохочем. Если успеем, конечно, пока самих не завалят дешевым и эффективым ddos.

Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –4 +/
Сообщение от Аноним (5), 14-Фев-20, 11:59 
Че-то как-то сложно и неудобно. А можно просто кож ввести из Google Authenticator?
Ответить | Правка | Наверх | Cообщить модератору

6. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от кэп (?), 14-Фев-20, 12:02 
Можно.
Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Ольга (??), 14-Фев-20, 12:03 
Можно, соответствующий libpam должен быть в репозитории.
Но может быть несовместим с некоторыми клиентами, которые не ожидают иных запросов ввода, кроме логина/пароля.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +4 +/
Сообщение от Аноним (11), 14-Фев-20, 12:09 
зачем использовать Google Authenticator, когда есть свободные аналоги? FreeOTP, например
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

16. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (16), 14-Фев-20, 12:59 
andOTP и Aegis получше будут. На крайняк FreeOTP+, там хоть экспорт есть.
Ответить | Правка | Наверх | Cообщить модератору

38. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (38), 14-Фев-20, 17:40 
>там хоть экспорт есть.

Однажды нужно было экспорт из FreeOTP сделать, только через adb backup вышло вручную вытащить базу. Так что да, нормальный экспорт это плюс

Ответить | Правка | Наверх | Cообщить модератору

62. Скрыто модератором  –1 +/
Сообщение от нах. (?), 15-Фев-20, 00:31 
Ответить | Правка | Наверх | Cообщить модератору

10. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +3 +/
Сообщение от Броколь (?), 14-Фев-20, 12:08 
Может еще привязку к телефону сделать?
Ответить | Правка | Наверх | Cообщить модератору

30. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +2 +/
Сообщение от Обдолбим (?), 14-Фев-20, 14:28 
Вы, батенька, мечта любого маркетолога-спамера
Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором  –3 +/
Сообщение от Аноним (13), 14-Фев-20, 12:12 
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  –2 +/
Сообщение от авторы (?), 14-Фев-20, 12:36 
Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аномномномнимус (?), 14-Фев-20, 12:59 
Как это бекапить?
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  –4 +/
Сообщение от нах. (?), 14-Фев-20, 13:30 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  +1 +/
Сообщение от Аномномномнимус (?), 14-Фев-20, 13:40 
Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором  –2 +/
Сообщение от пох. (?), 14-Фев-20, 19:20 
Ответить | Правка | Наверх | Cообщить модератору

24. Скрыто модератором  +/
Сообщение от Аноним (24), 14-Фев-20, 13:52 
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

28. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Crazy Alex (ok), 14-Фев-20, 14:11 
Зависит от ключа. Если с "секьюрным элементом" - никак, и оно будет с закрытым кодом, так что верьте разработчикам на слово. Если что-то открытое - то бэкап или есть, или не особо сложно допилить. У трезора всё генерируется из одного базового ключа, который можно забэкапить при инициалищации железки.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

44. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –2 +/
Сообщение от пох. (?), 14-Фев-20, 19:23 
> Зависит от ключа. Если с "секьюрным элементом" - никак, и оно будет
> с закрытым кодом, так что верьте разработчикам на слово. Если что-то
> открытое - то бэкап или есть, или не особо сложно допилить.
> У трезора всё генерируется из одного базового ключа, который можно забэкапить
> при инициалищации железки.

поэтому он еще большее г-но чем "с закрытым кодом", где хотя бы можно поверить разработчикам на слово.

Скажите, а _нормальных_ шва...6еш...э...открытых решений человечество еще так и не родило? Ну что же, жги, Господь! Тут и двух праведников не наберется, какие нахрен три.

Ответить | Правка | Наверх | Cообщить модератору

53. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Crazy Alex (ok), 14-Фев-20, 20:41 
Дядь, проходи со своими ынтырпрайзами мимо. Мне надо чтобы работало, а не чтобы можно было отмазаться если брелок про..н или сгорел, а миллионы я не контролирую, так что модель угроз не особо суровая. И, думаю, тут у большинства так.

Лично мне оно интересно:
1) чтобы не лень было второй фактор вообще использовать. Заметь - выбор не между "использовать так или эдак", а между "удобно с одним фактором (или с ключом без пароля)" и "так уж и быть, буду время от времени на брелоке кнопочку тыкать".

2) чтобы избавиться от введения паролей там, где на меня смотрят чужие камеры.

Физические угрозы не волнуют от слова "совсем".

Если тебе не нравится - ищи другие варианты, но если так, чтобы вообще не сломать - то только secure element (в котором зато наверняка есть совершенно штатные бэкдоры). Мне такое счастье и с доплатой не нужно.

Ответить | Правка | Наверх | Cообщить модератору

58. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –2 +/
Сообщение от нах. (?), 15-Фев-20, 00:11 
> Дядь, проходи со своими ынтырпрайзами мимо.

какой, в опу, интерпрайс с сесехе?
Меня интересуют мои собственные системы (даже если они рабочие в ентер-прайсе - они тоже мои, пока я там работаю, и мне найух не надо с ними приключений из-за залетевшего дятла или вообще казачка засланного - а такие бывают)

> 2) чтобы избавиться от введения паролей там, где на меня смотрят чужие камеры.

otp генераторы на токене - не, не модно? И да, никто не мешает им эмулировать клавиатуру (можно даже - bt).
(я не про тот мусор в телефоне, который вам гугль вместо них подсунул, если что)

Но увы, вместо этого мы имеем оверинжинереный u2f, бесполезный для всего кроме авторизации в гмейлике (где тоже нахрен не сдался), уродливый убикей (запрещенный к ввозу в ресурсную федерацию), и "вообще-то оно - кошелек", за дохера денег, неипических размеров и с ключом который "можно сбэкапить" (хорошо если до тебя уже не "сбэкапили") вместо технически нечитаемой памяти.

> Если тебе не нравится - ищи другие варианты

другой глобус?
Или подождать на этом, пока все не сгорят к х.ям, должно ж быть недолго?

> в котором зато наверняка есть совершенно штатные бэкдоры

аааа, п-ц. Милионы он не контролирует, ынтырпрайз мимо, видать, работает дворником, но все разведки мира стремятся взломать его локалхост!

Ответить | Правка | Наверх | Cообщить модератору

57. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Fedd (ok), 14-Фев-20, 23:54 
С чего это Юбики дырявый? Не откроешь а зря, первым же предложением там For security, the firmware on the YubiKey does not allow for secrets to be read from the device after they have been written to the device. Therefore you cannot duplicate or back up a YubiKey or Security Key.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

59. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от нах. (?), 15-Фев-20, 00:20 
он не в этом месте дырявый (хотя оно, скорее всего, тоже вызовет вопросы - например, точно ли ты единственный, у кого есть копия - коли механизм слива старательно предусмотрен, очень трудно поверить, что он - одноразовый)

там то что на нем понареализовано, включая бесполезный u2f - сплошной ад, трэш и п-ц.

Не, для gmail'а-то - ок, а это и есть его основное назначение. Главное, писем с паролями в том гмыле не храни.

Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (19), 14-Фев-20, 13:04 
Не понимаю, зачем нужны отдельные _sk-типы ключей на сервере?
Ведь можно использовать обычные RSA или Ed25519, достаточно лишь модифицировать клиента, чтобы на нём не было реального секретного ключа (а вместо него лишь дескриптор, отпечаток или публичный ключ), и все криптографические операции с ключами унести на внешнее устройство через PKCS#11 или что-то подобное на USB-токен.
Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от нах. (?), 14-Фев-20, 13:28 
проблема в том, что дерьмовые поделки а-ля убикей НЕ УМЕЮТ ssh-протокол (даже в той его небольшой части, где, собственно, шифрование)

поэтому просто так "унести" на них криптографию - не получится.
Вот и приходится хранить ключ который не ключ, но который позволяет создать сессию, а потом уже, внутри нее - лазить к токену за собственно данными.

Ответить | Правка | Наверх | Cообщить модератору

56. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от gogo (?), 14-Фев-20, 23:42 
таки для того, чтобы не страшно было брелок потерять )
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

60. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от нах. (?), 15-Фев-20, 00:22 
нахер он тебе нужен, если его не страшно потерять? Ключ от квартиры тоже не страшно потерять, запасной-то ты под коврик положил заранее? Ню-ню...

P.S. нет, *те* ключи не помогут тебе, если ты потерял брелок, это место у них вполне разумно сделано.

Ответить | Правка | Наверх | Cообщить модератору

78. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 15-Фев-20, 14:21 
Чего плохого в восстановлении ключа из seed? Запомнить, например, 24 слова на всю жизнь вполне возможно.

Если тем, что формально это не фактор "владею", а "знаю", то и что? Как это мешает решить бытовые проблемы с постоянными рисками компроментации паролей и ключей шифрования? Эти 24 слова тебе нужно применять крайне редко и в максимально защищённой среде.

Ответить | Правка | Наверх | Cообщить модератору

85. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 15-Фев-20, 16:52 
> Чего плохого в восстановлении ключа из seed?

в том, что нет ни малейших гарантий, что его можешь восстановить только ты.

> Запомнить, например, 24 слова на всю жизнь вполне возможно.

как минимум, такой seed должен вводиться - тобой, пусть даже сгенеренный несекьюрно-несекьюрно бросанием кубика.
Потому что если он выдается изнутри устройства - ты не можешь быть уверен ни в том, что он уже не выдан кому-то лишнему, ни в том, что кто-то лишний не сможет его потом получить - что бы там ни блеял производитель.

> Если тем, что формально это не фактор "владею", а "знаю", то и

именно этим. То есть уже неизвестно, владеешь ты ключом или нет. И ты ли это вообще.
То есть ради мифической ситуации волшебного устройства, не позволяющего привязать два ключа и не позволяющего других способов восстановления доступа - вполне немифический источник утечки.
Что не только сводит к х..ю всю секьюрить, но и заставляет предположить, что и все остальное так же плохо продумано и предназначено для хипстерков, а не тех, кому секреты действительно важнее удобства.

> что? Как это мешает решить бытовые проблемы с постоянными рисками компроментации

а бытовые и токен не решает - бытовые решает offline-генератор. Который можешь прочитать ты, и, теоретически - чувак за спиной, но, поскольку пароль тут же становится невалиден - чуваку пользы от него практически никакой.
Почему эта технология доступна только банкам - а вот угадай.

А токеном может воспользоваться любой, хакнувший твой компьютер или уговоривший тебя авторизоваться не с него.

Ответить | Правка | Наверх | Cообщить модератору

94. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 16-Фев-20, 18:23 
> в том, что нет ни малейших гарантий, что его можешь восстановить только ты.

Гарантия в том, что никто другой не знает твою последовательность слов.

А конкретно в моём случае запомнена не всё последовательность, а половина. А вторая половина записана ручкой на бумаге, запломбирована и находится в недоступном для злоумышленников месте.

> как минимум, такой seed должен вводиться - тобой,

Именно так я и делаю в Trezor. Там запускаешь восстановление из seed и вводишь последовательность, которую генерируешь как хочешь (хоть просто тыкая пальцем в распечатанный словарь).

> То есть уже неизвестно, владеешь ты ключом или нет.

Это какая-то XY-проблема. Изначальная задача аутентифицировать пользователя, и не важно то, через пароль это делается, ключ или ещё что. Важно, чтобы только конкретный пользователь мог пройти аутентификацию под его учётную запись (и никто другой). И можно набросать модель угроз. Основные угрозы -- это утечка пароля (чего в данном случае не возможно), потерянное устройство (защищено Trezor-ом, а тот PIN-кодом) и т.п. Так что давайте переместим разговор в сторону конкретной угрозы, на которую вы бы хотели обратить внимание.

> вполне немифический источник утечки.

Прошу простить, но я не понял, что именно является источником утечки.

> А токеном может воспользоваться любой, хакнувший твой компьютер или уговоривший тебя авторизоваться не с него.

Как? Тот же Trezor требует ввести PIN-код и подтвердить каждое использование каждого ключа (то есть нужно механически взаимодействовать с Trezor-ом, чтобы им пользоваться). То есть теоретически, ты можешь авторизоваться даже с чужого компьютера, где логируется каждое действие; и единственное, что получит злоумышленник -- это одноразовую подпись. Хотя если пользоваться неправильно, то можно, конечно, слить и какой-то важный ключ.

Ответить | Правка | Наверх | Cообщить модератору

97. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 17-Фев-20, 11:48 
ну где гарантия-то? Механизм слива волшебного ключа (само по себе - дерьмо, не должно быть никаких волшебных ключей) - предусмотрен? Ну вот, рот есть - значит, сольет.

Гарантия что его можно слить только однажды - не стоит бумаги, на которой написана.

Зачем это делают трезоры - понятно, там риск вообще лишиться всех своих миллиардов оправдывает второй ключ под ковриком. А почему нет нормального решения, кроме approved by visa - совершенно непонятно.

Ответить | Правка | Наверх | Cообщить модератору

103. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 18-Фев-20, 11:25 
> Механизм слива волшебного ключа (само по себе - дерьмо, не должно быть никаких волшебных ключей) - предусмотрен? Ну вот, рот есть - значит, сольет.

Я согласен, что добавление этого механизма -- это была бредовая идея. Но во-первых им воспользоваться можно только один раз, и только если вы не настраивали ключ из внешнего seed-а.

> Гарантия что его можно слить только однажды - не стоит бумаги, на которой написана.

Ну, эта гарантия стоит не меньше, чем любая гарантия любой защиты со стороны проприетарных устройств. А конкретно Trezor имеет открытую прошивку, и никто не запрещает вам самостоятельно произвести такой и пользоваться собственным экземпляром (чтобы быть уверенным, что никто туда не подкинул закладок).

Лично меня (как пользователя Trezor), например, больше волнует то, что в самом STM32 могут быть скрытые возможности по снятию dump-а. В результате, всё строится на доверии к STM32, из-за чего становится невозможным использовать это устройство как достаточное для авторизации (можно использовать лишь как дополнительное к традиционным средствам, а-ля пароль)

> А почему нет нормального решения, кроме approved by visa - совершенно непонятно.

Прошу простить мою тупость, а про какое решение approved by visa речь?

Ответить | Правка | Наверх | Cообщить модератору

105. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 18-Фев-20, 18:34 
> Прошу простить мою тупость, а про какое решение approved by visa речь?

offline otp generator
На смарткарте. В данном случае - встроенной в кредитку. Сама смарткарта активируется пином.
Смарткарты - это тот самый специальный процессор, который доступен только через лимитированный интерфейс, никогда не отдает наружу закрытые ключи, пины и прочее. Поскольку в интерфейсе вообще никакого механизма для этого нет - есть только установка пина и пошифровать что-нибудь закрытым ключом.
Размер устройства - с кредитную карту. Ну и сама карта, которая и является токеном. Как вариант - бывает встроено напрямую в карту, при этом карта сохраняет свои свойства - помещается в банкомат.
https://www.avangard.ru/rus/private/cards/card_with_display/
- только пользы тебе от нее - никакой.

Собственно, подобное решение встроено в некоторые nitrokey - но они, к сожалению, не оффлайновые.

Ответить | Правка | Наверх | Cообщить модератору

108. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 19-Фев-20, 12:25 
> Поскольку в интерфейсе вообще никакого механизма для этого нет - есть только установка пина и пошифровать что-нибудь закрытым ключом.

Ну так заявляется производителем smart card-ы. То есть всё строится на доверии к производителю, карты.

В Trezor данные хотя бы можно зашифровать паролем, чтобы даже сотрудник STMicroelectronics не смог вытащить твои секретные данные. А тут как защищаются? Можно ознакомиться с кодом прошивки и провести аудит? Можно ли самому произвести, чтобы убедиться, что закладок не подложили?

> есть только установка пина и пошифровать что-нибудь закрытым ключом.

С Trezor-ом T даже установка PIN делается с экрана самого устройства.

> Как вариант - бывает встроено напрямую в карту, при этом карта сохраняет свои свойства - помещается в банкомат.

Удобно.

> Собственно, подобное решение встроено в некоторые nitrokey - но они, к сожалению, не оффлайновые.

Не очень понимаю, почему offline-оый -- это лучше. В данном контексте "offline-ый" -- это же не имеющий соединения с компьютером, верно? То есть это OTP генератор завязанный на время, верно? Если так, то создаётся ощущение, что это уязвимо: вводимый OTP можно использовать сразу в нескольких местах (в один момент времени). То есть если этот OTP-генератор используется как второй фактор (а первый фактор -- это пароль), то возможна его (временная) утечка по тому же каналу, по которому утёк пароль, собственно. Как там от такого защищаются?

Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от Аноним (34), 14-Фев-20, 15:26 
Так не совсем понял libopenssh2-dev или как его устанавливать?
Ответить | Правка | Наверх | Cообщить модератору

35. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Michael Shigorinemail (ok), 14-Фев-20, 16:45 
> ecdsa-sha2-nistp256/384/521

Гм, а "521" по ссылке точно не очепятка (дважды)?

Ответить | Правка | Наверх | Cообщить модератору

50. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от GentooBoy (ok), 14-Фев-20, 20:16 
нет, это такие кривые, хотя конечно многих приводит в замешательство и думают что ошибка
Ответить | Правка | Наверх | Cообщить модератору

79. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 15-Фев-20, 14:23 
BTW, лучше использовать ED25519. Он спроектирован гораздо защищённее к Timing атакам, работает быстрее, и автор вызывает больше доверия.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

36. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –2 +/
Сообщение от Аноним (36), 14-Фев-20, 16:54 
> Ключевым улучшением в выпуске OpenSSH 8.2 стала возможность использования двухфакторной аутентификации при помощи устройств

Зачем нужно делать поддержку в коде если всё это работало и раньше, через pam?

Ответить | Правка | Наверх | Cообщить модератору

39. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (39), 14-Фев-20, 18:50 
OpenSSH, внезапно, работает не только на системах с PAM.
Ответить | Правка | Наверх | Cообщить модератору

40. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от пох. (?), 14-Фев-20, 19:04 
проверяли, точно-точно работает?
А то как бы не оказалось - "работал". Еще лет десять назад.

Ответить | Правка | Наверх | Cообщить модератору

67. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (39), 15-Фев-20, 02:11 
Внезапно, родная ОС — OpenBSD — прекрасно живет с альтернативой под названием BSD auth. Что-то мне подсказывает, что в Windows PAM тоже отсутствует.  Дальше сами догадаетесь как проверять?
Ответить | Правка | Наверх | Cообщить модератору

74. Скрыто модератором  –1 +/
Сообщение от нах. (?), 15-Фев-20, 10:47 
Ответить | Правка | Наверх | Cообщить модератору

45. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от Crazy Alex (ok), 14-Фев-20, 19:24 
А они бывают ещё, не музейные и не "от одарённых",  и без PAM? Даже на Qnx есть.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

68. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (39), 15-Фев-20, 02:14 
Одно дело «в ОС можно использовать PAM», и другое — когда таковой является частью непосредственно ОС, а не ставится в качестве дополнительной фичи. И, да, PAM ужасен и, слава богам, не так распространён, как кажется некоторым.
Ответить | Правка | Наверх | Cообщить модератору

89. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Crazy Alex (ok), 15-Фев-20, 17:46 
Чем именно ужасен и таки где его нет? А то ты написал кучу чего-то неконкретного, а понятно только то, что ты PAM за что-то не любишь - но не ясно даже, саму концепцию внешне настраиваемой авторизации или конкретную реализацию.
Ответить | Правка | Наверх | Cообщить модератору

90. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 15-Фев-20, 23:00 
> Чем именно ужасен и таки где его нет? А то ты написал
> кучу чего-то неконкретного, а понятно только то, что ты PAM за
> что-то не любишь - но не ясно даже, саму концепцию внешне
> настраиваемой авторизации или конкретную реализацию.

PAM подгружает модули авторизации внутри одного процесса. Сама концепция плагинов-то не плоха, а вот соседство написанных разными лицами кусков кода в одном крайне чувствительном процессе — уже идея так себе.

Ну а то, что синтаксис для того, чтобы этот оркестр взлетел, напоминает кошмар времён Samba 1.x я вообще молчу. Не, могло быть и хуже, конечно, и при должном старании (как правило, со стороны разработчиков дистрибутива) оно в дефолтах работает. Но ни разу не помню, чтобы ощущения после работы с PAM были «ой как клёво».

Справедливости ради, BSD auth тоже есть за что пинать. Но оно хотя бы понадёжнее будет.

Ответить | Правка | Наверх | Cообщить модератору

98. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 17-Фев-20, 11:50 
> PAM подгружает модули авторизации внутри одного процесса.

причем через callback'и, с указателями на указатели на указатели.
Поэтому надежно оно не будет никогда и ни у кого.

Ну а чо вы хотите - зато - ентер-прайс (идею сперли то ли у солярки, то ли у aix)

Ответить | Правка | Наверх | Cообщить модератору

46. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –3 +/
Сообщение от пох. (?), 14-Фев-20, 19:30 
>> Ключевым улучшением в выпуске OpenSSH 8.2 стала возможность использования двухфакторной аутентификации при помощи устройств
> Зачем нужно делать поддержку в коде если всё это работало и раньше,
> через pam?

затем, что через pam, внезапно, не работало.
Можно было только подменить одну аутентификацию другой. Не предназначен он для такого.

Впрочем, и сейчас аутентификация, на самом деле, не двухфакторная. Примитивный пароль на ключ не является полноценным вторым фактором, поскольку находится тоже у клиента, а не на сервере, где ему положено быть.
Почему ssh двадцать лет не могут научить спрашивать пароль ПОСЛЕ авторизации ключом - ну так - макаки, сэр.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

52. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –3 +/
Сообщение от GentooBoy (ok), 14-Фев-20, 20:27 
>Почему ssh двадцать лет не могут научить спрашивать пароль ПОСЛЕ авторизации ключом - ну так - макаки, сэр.

лол спасибо поржал, сразу вспомнил басню мартышка и очки

Ответить | Правка | Наверх | Cообщить модератору

54. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 14-Фев-20, 22:46 
> спрашивать пароль ПОСЛЕ авторизации ключом

Кто сильно беспокоится - может завернуть 22й порт в Ipsec  в транспортном режиме. После того, как к лебедю или еноту прикрутят сабж.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

69. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (39), 15-Фев-20, 02:15 
Харе прикидываться чужим ником.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

80. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 15-Фев-20, 14:28 
> затем, что через pam, внезапно, не работало.
> Можно было только подменить одну аутентификацию другой.

Вообще-то нет, двухфакторная авторизация прекрасно работала и работает. Тупо ставишь нужный модуль PAM и добавляешь строчки в нужные книги.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

82. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 15-Фев-20, 14:30 
s/книги/конфиги/ (автозамена)
Ответить | Правка | Наверх | Cообщить модератору

37. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от Аноним (37), 14-Фев-20, 17:14 
https://web.archive.org/web/20190128070703/https://bugzilla....
Ответить | Правка | Наверх | Cообщить модератору

47. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –2 +/
Сообщение от пох. (?), 14-Фев-20, 19:38 
> https://web.archive.org/web/20190128070703/https://bugzilla....

ну как обычно - заболтать, вместо того чтоб самому прочитать (сперва спек u2f, потом, о Б-же, lgpl - похоже он правда т..пой настолько, что не понимает разницы, и читать напрочь не хочет) - потом изобрести тот же самый велосипед, но с треугольными колесами (надо признать, что тот-то был - с квадратными) и гордо объявить авторство.

Впопенсорсе - перевод чужого труда и времени.

Ответить | Правка | Наверх | Cообщить модератору

70. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (37), 15-Фев-20, 06:33 
Ты на дату публикации посмотри.
Ответить | Правка | Наверх | Cообщить модератору

77. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от нах. (?), 15-Фев-20, 14:17 
> Ты на дату публикации посмотри.

Reported:     2014-11-19 06:53
о том и речь - утопили идею в дурацких вообще не относящихся к патчу придирках, ревьюеру лень было, видите ли, читать документацию и лицензию, ему все должны были принести на блюдечке и на коленях подать к рассмотрению. Причем автор проборолся пару лет, но так и плюнул - у него-то уже два года все что надо и так работало.

Опенусёрсе как оно есть. Перевод в помойку чужого труда и времени.

Ответить | Правка | Наверх | Cообщить модератору

91. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok), 15-Фев-20, 23:04 
>> Ты на дату публикации посмотри.
> Reported:  2014-11-19 06:53
> о том и речь - утопили идею в дурацких вообще не относящихся
> к патчу придирках, ревьюеру лень было, видите ли, читать документацию и
> лицензию, ему все должны были принести на блюдечке и на коленях
> подать к рассмотрению. Причем автор проборолся пару лет, но так и
> плюнул - у него-то уже два года все что надо и
> так работало.
> Опенусёрсе как оно есть. Перевод в помойку чужого труда и времени.

Как будто мир closed source чем-то в этом плане отличается. А то у меня есть историй про то как компании от денег отказываются — не потому что предлагают мало, а потому что «не хотим дорабатывать, и всё» (как правило, потому что оригинальных разработчиков давно прогнали, понабрав взамен эффективных менеджеров, ну да не суть).

Ответить | Правка | Наверх | Cообщить модератору

99. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 17-Фев-20, 11:53 
> Как будто мир closed source чем-то в этом плане отличается.

нет ножек, нет варенья - там ты хотя бы этот мир не пытаешься улучшать, и заранее знаешь что все зависит от момента, когда именно разогнали разработчиков и наняли "разработчиков на игогошечке".

В аналогичном случае - ну хакнул бы кто-то dll'ку для своей пользы, и не терял бы время на бесполезные объяснения и уговоры - уже меньше потерь.

Ответить | Правка | Наверх | Cообщить модератору

107. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok), 18-Фев-20, 18:52 
>> Как будто мир closed source чем-то в этом плане отличается.
> нет ножек, нет варенья - там ты хотя бы этот мир не
> пытаешься улучшать, и заранее знаешь что все зависит от момента, когда
> именно разогнали разработчиков и наняли "разработчиков на игогошечке".
> В аналогичном случае - ну хакнул бы кто-то dll'ку для своей пользы,
> и не терял бы время на бесполезные объяснения и уговоры -
> уже меньше потерь.

Ну так если кто-то решил, что если open source, то чинить/допиливать будут на халяву, то это его проблемы. Такая логика ничем не отличается от, например: «он на меня посмотрел, значит, через два месяца у нас с ним будет свадьба». :)

Ответить | Правка | Наверх | Cообщить модератору

49. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от крок (?), 14-Фев-20, 20:15 
Инклюд - два года жаждил!
Ответить | Правка | Наверх | Cообщить модератору

55. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 14-Фев-20, 23:32 
Чота мне это ихнее U2F как-то не вдохновляет:
>  directly access the security features of the device without user effort other than possessing and inserting the device

Опять равнение на идиотов, у которых мозгов хватает только на то, чтобы воткнуть флэшку в разъём. На USB-токен вполне можно вкорячить три или четыре вот таких свича: https://www.chipdip.ru/product/mr-1-8, это даст 512 или 4096 положений (это то, что есть в рознице, наверняка есть что-то поминиатюрнее). Можно ещё dip-переключатель но это не лучший вариант - его будут тыкать ручкой или чем-то узким и измажут или поцарапают ключи, а это палево.
> The device key is secured against duplication by a degree of social trust in the commercial manufacturer

Ога. А потом какие-нибудь австрийские ковырятели чипов его раскурочат и окажется, что ключ в лучшем случае просто xor'ится с единой для всех токенов цифирью, а то и вовсе хранится в открытом виде.

Ответить | Правка | Наверх | Cообщить модератору

61. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  –1 +/
Сообщение от нах. (?), 15-Фев-20, 00:29 
> На USB-токен вполне можно вкорячить три или четыре вот таких свича

можно. И кому от чего они помогут, если у тебя его отожмут пацаны?
Или ты собираешься каждый раз, заходя на свой локалхост, сперва выставлять микроскопическими свитчами свой супер-секретный пароль, а потом еще и старательно скручивать их в неправильное положение? Не забывая, понятен, прятаться под стол, пока крутишь, а то ж камеры!

Не кури эту гадость. Идея еще глупее чем ubikey.

Ключ вполне может храниться в открытом виде, задача в том, чтобы прочитать его оттуда было невозможно банальным способом, типа выпаивания чипа.

Ответить | Правка | Наверх | Cообщить модератору

63. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 15-Фев-20, 01:33 
Мне. От утечки. Если украли - пусть крутят, три попытки - и досвидос. Если стоят за плечом - блокировочная комбинация и тоже досвидос. От камер и микрофонов (каждый щелчок уникален же!!!11) тоже методы есть.
А насчёт выпаивания чипа - сомневаюсь, что у производителей этих бирюлек своё литографическое оорудование и они сами пекут чипы, причём каждый уникален и реверс-инжинирить каждый придётся независимо от других. 100% что оно собрано на простейшей комплектухе и содержимое ппзу из не
Ответить | Правка | Наверх | Cообщить модератору

66. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от qwerty123 (??), 15-Фев-20, 02:08 
>Если стоят за плечом - блокировочная комбинация и тоже досвидос.

Досвидос, чувак, мы тебя больше не увидим!

Если у тебя будут "стоять за плечами", то ключ к квартире, где деньги лежат,
будет меньшей из твоих проблем.

Ответить | Правка | Наверх | Cообщить модератору

64. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 15-Фев-20, 01:34 
Мне. От утечки. Если украли - пусть крутят, три попытки - и досвидос. Если стоят за плечом - блокировочная комбинация и тоже досвидос. От камер и микрофонов (каждый щелчок уникален же!!!11) тоже методы есть.
А насчёт выпаивания чипа - сомневаюсь, что у производителей этих бирюлек своё литографическое оорудование и они сами пекут чипы, причём каждый уникален и реверс-инжинирить каждый придётся независимо от других. 100% что оно собрано на простейшей комплектухе и содержимое ппзу из неё дампится на раз, дизасемблится тоже без проблем и ключ - как на ладони.
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

72. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от нах. (?), 15-Фев-20, 10:36 
> Мне. От утечки. Если украли - пусть крутят, три попытки - и

так ты ж уже накрутил? Или ты таки старательная мартышка, и после логина каждый раз в ту же секунду будешь в другую сторону накручивать, отложив на минутку проблему, ради которой этот логин тебе понадобился?

> реверс-инжинирить каждый придётся независимо от других. 100% что оно собрано на
> простейшей комплектухе и содержимое ппзу из неё дампится на раз, дизасемблится
> тоже без проблем и ключ - как на ладони.

"простейшая комплектуха" включает в себя pic'и и прочие memory-on-chip, где выпаивать, внезапно, нечего, сдампить после пережигания невозможно, производятся миллионными тиражами.
Но и просто заказать у китайца партию специализированных чипов не так дорого, как тебе мнится (и уж точно выйдет в сборе дешевле чем какие-то бестолковые микропереключатели) - а в ubi-nano вряд ли поместится память на флэшечке, приклеенной эпоксидкой чтоб-никто-не-догадался (привет, оладьин)

Так что вопрос только в том, насколько разработчики железа у них внимательные и аккуратные.
У меня что-то хреновое предчувствие(c).

Но это вовсе не означает, что нельзя сделать нормально и надежно. Но вместо этого мы имеем - "вообще-то оно кошелек" :-( И последний на всю Ресурсию банк, умеющий offline otp генератор встроенный прямо в кредитку (сюрприз, сюрприз, так можно было, при том что они производятся в микроколичествах), без пяти минут банкрот, ибо никто из его владельцев не имел счастья родиться в той же питерской подворотне, что один крысиный император.

Ответить | Правка | Наверх | Cообщить модератору

75. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 15-Фев-20, 11:14 
> так ты ж уже накрутил?

Если я уже сижу за клавой залогиненный и меня огрели по башке - токен, вобщем-то, и не нужен, сеанс уже открыт. А так - да, "вынь и перекрути" - это вопрос "гигиены" и правильных привычек. Тем более, что можно сделать и более современно - жк экранчик и три кнопки - вверх, вниз и установить. выставляешь последовательно цифры пин-кода, после первого обращения оно сбрасывается.
> сдампить после пережигания невозможно

Так и не нужно, если флэшка работает в любых руках.

Ответить | Правка | Наверх | Cообщить модератору

76. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 15-Фев-20, 14:14 
> - да, "вынь и перекрути" - это вопрос "гигиены" и правильных
> привычек. Тем более, что можно сделать и более современно - жк

Это вопрос геморроя.

Да, можно сделать запрос пин-кода. Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам.

> Так и не нужно, если флэшка работает в любых руках.

некоторые режимы, даже, afair, в убиквити, и некоторых других недоступных в рф поделках умеют пин. Но его должен спросить софт, в результате, надежность все равно никакая.

Ответить | Правка | Наверх | Cообщить модератору

83. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 15-Фев-20, 14:39 
> Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам.

Trevor умеет

Ответить | Правка | Наверх | Cообщить модератору

84. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +1 +/
Сообщение от anonymous (??), 15-Фев-20, 14:40 
s/Trevor/Trezor/ (автозамена)
Ответить | Правка | Наверх | Cообщить модератору

86. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 15-Фев-20, 16:56 
>> Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам.
> Trevor умеет

он разьве умеет это с кнопок? С компьютера-то и тот немец умеет, и, afair, убиквитя то ли уже то ли обещали вот вот - только смысл такого пина?

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

95. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 16-Фев-20, 18:28 
Во-первых Trezor T умеет это с собственного экрана (без участия компьютера).

Во-вторых даже на Trezor One (где ввод осуществляется через компьютер), цифры случайно map-ятся. И как они от-map-лены видно лишь с экрана Trezor-а. То есть когда вводишь PIN-код с компьютера, он получается случайным набором цифр (а не PIN-кодом).

То есть, например, ваш PIN-код: 1234.
Trezor One покажет на экране:

4 6 1
3 2 5
7 9 0
  8

Таким образом с компьютера надо будет ввести: 4613 (вместо 1234). И для каждого ввода PIN-кода выдаётся новая случайная последовательность.

Ответить | Правка | Наверх | Cообщить модератору

88. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 15-Фев-20, 17:05 
>> Почему убиквитя и все прочие поделки этого не умеют - вопрос к их разработчикам.
> Trevor умеет

а, блин. посмотрел видео. Нда... не могу сказать, что мне нравится идея (лучше бы они это сделали выключаемым) но, как минимум, тут хотели сделать надежно.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

96. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 16-Фев-20, 18:29 
> лучше бы они это сделали выключаемым

Я немного тупенький, поэтому: лучше бы они _что_ сделали отключаемым?

Ответить | Правка | Наверх | Cообщить модератору

100. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 17-Фев-20, 11:57 
жуть с перемешиванием цифр (для one, понятно, почему по другому нельзя, но для версии с сенсором уж можно было выключить)

Я и банковский пин на таком не наберу правильно, и возможно - все три раза подряд.

Ну опять же - для кошелька с мульенами - правильный и понятный ход, для авторизационного токена - п-ц какой-то.

Ответить | Правка | Наверх | Cообщить модератору

104. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 18-Фев-20, 11:28 
Ну вообще, я видел как охраняется один военный объект. Там тоже пинкоды путаются каждый раз. Это делается, чтобы записав процесс со спины нельзя было воспроизвести пинкод.
Ответить | Правка | Наверх | Cообщить модератору

106. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 18-Фев-20, 18:39 
Ну я же говорю - для кошелечка с миллионами, или военного объекта - нормально.
И есть что терять, и не ежеминутно этот кошелечек открывают.

А пароли от серверов приходится вводить по сотне раз на дню.

Поэтому как авторизационный токен для повседневного применения, увы, ну нафиг.
(а со спины, если есть кому подглядывать - подглядят и какие цифры нарисованы. То есть в любом случае это дополнительная защита, а не гарантия. Печально, что неотключаемая.)

P.S. и вот толку от открытой прошивки? Как всегда...

Ответить | Правка | Наверх | Cообщить модератору

109. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от anonymous (??), 19-Фев-20, 12:31 
> А пароли от серверов приходится вводить по сотне раз на дню.

В моём случае PIN-код этот вводится где-то раз 5 за день. Каждый раз когда я сажусь за компьютер, я подключаю устройство и ввожу PIN-код. Дальнейшие действия (пока устройство подключено) уже не требуют PIN-кода (достаточно просто подтверждения действия кнопкой на устройстве).

> И есть что терять, и не ежеминутно этот кошелечек открывают.

Всем есть что терять. Это лишь вопрос гигиены (а-ля чистка зубов). Просто ответсвенно подходить к работе, чтобы не утёк миллиард персональных данных -- это тоже правильно. Дело не только в личных миллионах долларов.

Ответить | Правка | Наверх | Cообщить модератору

92. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 16-Фев-20, 00:12 
> Но его должен спросить софт

Это какой-то неправильный пин. Прикол был бы в том, что пин спрашивает сам чип флэшки, и именно через минимальный hid-ингтерфейс на самой флэшке. Причём он корректность пина проверить не может - просто слепо раскодирует ключ тем пином, который дали. Попал - молодец, не попал - сервер получает неверный респонс. Три попытки - сервер помечает флэшку как дискредитированную.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

101. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 17-Фев-20, 11:58 
> Прикол был бы в том, что пин спрашивает сам чип флэшки, и именно через минимальный
> hid-ингтерфейс на самой флэшке.

в смысле, подключенный к флэшке, а не к компьютеру? Ну вон трезор попытался. Интересно, ты на третьей или на второй авторизации йапнешь его об стену с таким пином?

Ответить | Правка | Наверх | Cообщить модератору

102. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от Аноним (54), 17-Фев-20, 23:12 
У меня дисциплина, самообладание и мелкая моторика. А для нервных можно сделать ключ в формате банковской карты, на той части, которая торчит из ридера - сенсорная клавиатура, хоть число пи набирай до последнего знака.
Ответить | Правка | Наверх | Cообщить модератору

65. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от qwerty123 (??), 15-Фев-20, 02:04 
>Для взаимодействия с устройствами, подтверждающими присутствие пользователя

Поправил:

"Для взаимодействия с устройствами, подтверждающими присуствие паяльника в нижнем отверстии пользователя"

Ответить | Правка | Наверх | Cообщить модератору

87. "Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутенти..."  +/
Сообщение от нах. (?), 15-Фев-20, 16:57 
> Поправил:
> "Для взаимодействия с устройствами, подтверждающими присуствие паяльника в нижнем отверстии
> пользователя"

фу, зачем ты так? Там же не сканер отпечатка, а банальная контактная кнопка, совершенно незачем пачкать хороший паяльник, можно самому "нажать".

И так у них все.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру