The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В OpenSSH добавлена поддержка универсальной двухфакторной аутентификации

03.11.2019 08:27

В кодовую базу OpenSSH добавлена экспериментальная поддержка двухфакторной аутентификации с использованием устройств, поддерживающих протокол U2F, развиваемый альянсом FIDO. U2F позволяет создавать недорогие аппаратные токены для подтверждения физического присутствия пользователя, взаимодействие с которыми производится через USB, Bluetooth или NFC. Подобные устройства продвигаются в качестве средства для двухфакторной аутентификации на сайтах, уже поддерживаются основными браузерами и выпускаются различными производителями, включая Yubico, Feitian, Thetis и Kensington.

Для взаимодействия с устройствами, подтверждающими присутствие пользователя, в OpenSSH добавлен новый тип ключей "[email protected]" ("ecdsa-sk"), в котором используется алгоритм цифровой подписи ECDSA (Elliptic Curve Digital Signature Algorithm) с эллиптической кривой NIST P-256 и хэшем SHA-256. Процедуры взаимодействия с токенами вынесены в промежуточную библиотеку, которая загружается по аналогии с библиотекой для поддержки PKCS#11 и является обвязкой над библиотекой libfido2, предоставляющей средства для коммуникации с токенами поверх USB (поддерживается протоколы FIDO U2F/CTAP 1 и FIDO 2.0/CTAP 2). Подготовленная разработчиками OpenSSH промежуточная библиотека libsk-libfido2 включена в основной состав libfido2, как и HID-драйвер для OpenBSD.

Для включения U2F можно использовать свежий срез кодовой базы из репозитория OpenSSH и HEAD-ветку библиотеки libfido2, в которую уже входит необходимая для OpenSSH прослойка. Libfido2 поддерживает работу в OpenBSD, Linux, macOS и Windows.

Для аутентификации и генерации ключа необходимо выставить переменную окружения SSH_SK_PROVIDER, указав в ней путь к libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), или определить библиотеку через настойку SecurityKeyProvider, после чего запустить "ssh-keygen -t ecdsa-sk" или, если ключи уже созданы и настроены, подключиться к серверу при помощи "ssh". При запуске ssh-keygen созданная пара ключей будет сохранена в "~/.ssh/id_ecdsa_sk" и может использоваться аналогично другим ключам.

Открытый ключ (id_ecdsa_sk.pub) следует скопировать на сервер в файл authorized_keys. На стороне сервера только проверяется цифровая подпись, а взаимодействие с токенами производится на стороне клиента (на сервере не нужно устанавливать libsk-libfido2, но сервер должен поддерживать тип ключей "ecdsa-sk"). Сгенерированный закрытый ключ (id_ecdsa_sk) по сути является дескриптором ключа, образующим реальный ключ только в сочетании с секретной последовательностью, хранимой на стороне токена U2F.

В случае попадания ключа id_ecdsa_sk в руки атакующего, для прохождения аутентификации ему также потребуется получить доступ к аппаратному токену, без которого сохранённый в файле id_ecdsa_sk закрытый ключ бесполезен. Кроме того, по умолчанию при выполнении любых операций с ключами (как при генерации, так и при аутентификации) требуется локальное подтверждение физического присутствия пользователя, например, предлагается коснуться сенсора на токене, что затрудняет проведение удалённых атак на системы с подключенным токеном. В качестве ещё одного рубежа защиты на этапе запуска ssh-keygen также может быть задан пароль для доступа к файлу с ключом.

Ключ U2F может быть добавлен в ssh-agent через "ssh-add ~/.ssh/id_ecdsa_sk", но ssh-agent должен быть собран с поддержкой ключей "ecdsa-sk", должна присутствовать прослойка libsk-libfido2 и агент должен выполняться на системе, к которой подключается токен. Новый тип ключей "ecdsa-sk" добавлен так как формат ecdsa-ключей OpenSSH отличается от формата U2F для цифровых подписей ECDSA наличием дополнительных полей.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Релиз OpenSSH 8.1
  3. OpenNews: Реализация DDIO в чипах Intel допускает сетевую атаку по определению нажатий клавиш в сеансе SSH
  4. OpenNews: В OpenSSH добавлена защита от атак по сторонним каналам
  5. OpenNews: Выявлен 21 вид вредоносных программ, подменяющих OpenSSH
  6. OpenNews: GitHub вводит верификацию устройств, при неактивной двухфакторной аутентификации
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51800-openssh
Ключевые слова: openssh, u2f, crypt, auth
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (79) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:34, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Строго говоря, это все еще однофакторная аутентификация, т.к. из трех возможных факторов (знание, владение, свойство) используется только фактор владения, просто количество объектов, которыми нужно владеть, увеличили с одного до двух.
     
     
  • 2.4, uchiya (ok), 10:02, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Строго говоря всем нужно владеть, что-бы иметь к этому доступ, свойством, знанием - не важно.  Фактор - это просто очередной способ доступа или один из, чем отличается отпечаток пальца\сетчатки от токена\пороля, если всё уперается в то владеешь ты им или нет.
     
     
  • 3.41, ыы (?), 09:16, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Строго говоря Вам нужно больше читать
    https://ru.wikipedia.org/wiki/Многофакторная_аутентификация
    https://ru.wikipedia.org/wiki/Владение
     
     
  • 4.58, rshadow (ok), 12:16, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спасибо, почитал. Значит все таки двух факторная: знание - пароль, владение - аппаратный токен.
     
     
  • 5.63, Аноним (1), 16:05, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, она двухфакторная (если задать пароль на ключ). Но она точно такой же была всегда. Тут просто чуть усложнили фактор владения (который может все еще использоваться в однофакторной конфигурации), потому новость не совсем корректная.
     
  • 5.79, Аноним (79), 21:13, 08/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Многие забывают что логин - это ТОЖЕ секрет, ничуть не меньше чем пароль.

    логин - раз, пароль - два = Двухфакторная Аутентификация.  :)

     
     
  • 6.81, Аноним (81), 20:51, 13/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Офигеть секрет, который обычно знают как минимум сослуживцы или члены семьи.
     
  • 2.5, nrndda (ok), 10:12, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >В качестве ещё одного рубежа защиты на этапе запуска ssh-keygen также может быть задан пароль для доступа к файлу с ключом.

    Т.е. помимо самого токена (владение) нужен ещё пароль (знание). Не двухфакторная?

     
     
  • 3.14, gogo (?), 12:46, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    пароль для закрытого ключа можно было задать и раньше
    тут, по сути, секретный ключ на две части разделили
     
     
  • 4.59, rshadow (ok), 12:24, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто путаете сами факторы с их конкретной реализацией. Для компьютера любой фактор будет превращен в какой-то ключ/пароль. Даже фактор свойства - биометрия, просто превращается в еще один ключ чтобы скормить это программе.
     

  • 1.2, Аноним (2), 09:36, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    >с эллиптической кривой NIST P-256  

    а, это те самые, в которых возможно есть бэкдор АНБ? Почему не ed25519?

     
     
  • 2.3, Zlo (??), 09:59, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Как говорится в хорошо поставленном вопросе уже содержится ответ. У вас ответ возможно уже есть.
     
  • 2.37, Ivan_83 (ok), 00:01, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ed25519 - 126 бит если что.
    Не считая того, что вероятно вообще эллиптическая крипта уже скопроментирована.
     
     
  • 3.38, хотел спросить (?), 01:01, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не более чем RSA

    и есть еще изогении в кривых говорят постквантовые, но пока не видел серьезных применений

    а хардварные токены пусть в опу засунут.. он же пропиетраный

    вон в Эстонии карточки под замену.. подрядчик обгадился

     
  • 2.39, h31 (ok), 01:03, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а, это те самые, в которых возможно есть бэкдор АНБ?

    Пруф? Бекдор был в Dual_EC_DRBG.

     
  • 2.40, Аноним (40), 07:08, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    АНБ вам лично докладывает о своих бэкдорах?

    На месте АНБ я бы пускал слухи о бэкдорах в тех алгоритмах, где их на самом деле нет.

    В целом же разумно предполагать, что чей-нибудь бэкдор  есть везде.

     

  • 1.6, Иван (??), 10:13, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо попробовать эту фичу :/
     
     
  • 2.7, Грусть (?), 10:21, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И остаться без доступа к серваку  :D
     
     
  • 3.51, Licha Morada (ok), 21:22, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Зря минусуете, эта модель угрозы должна быть учтена.

    С секретного ключа можно сделать резервную копию, а с физического токена нельзя, по определению, иначе он никакой нафиг не токен, а просто ещё один секрет.

    В общих случаях, токен может быть:
    1. Не с собой (нарушена доступность)
    2. Сломан (нарушена консистентность)
    3. Скомпрометирован (нарушена приватность)
    (случай "потеряли" специально не рассматриваю, это комбинация 1 и 3 в какой-то пропорции)

    Перед внедрением, необходимо продумать, что будем делать в каждмо случае. В диапазоне от "сносим всё и разворачиваем заново, с новым токеном" до "пусть второй администратор с работающим доступом сделает всё что надо, и заодно починит аутентификацию первому".


     
  • 2.56, Kuromi (ok), 00:32, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дял этого сначала нужен аппаратный токен. В РФ у нас продается Jacarta U2F за довольно нескромные деньги, альтернатива - брать что-то с Amazon.
     
     
  • 3.67, пох. (?), 12:55, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > альтернатива - брать что-то с Amazon.

    и гадать, в какой стране и на какой срок придется присесть.

    Потому что это уже не невинная детская игра в крысу, а вполне себе натуральный сперва экспорт, а потом импорт криптографического оборудования - с околонулевым шансом отмазаться "я не знал", "все так делают" и т п - что кое-как работает в случае взятия за задницу с wifi-ap, ноутами или, до недавнего времени, телефонами без нотификации. А тут твой преступный умысел прямо вот налицо.

    Кто-то когда-то тут хвастался, что находил рассейских продавцов ubikey, но, увы, я проимел ссылку. ubikey.ru ничего вам не продаст.

     
     
  • 4.69, Kuromi (ok), 15:34, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Передергиваете Сам так покупал, на пакетике было написано USB Drive и никто не ... большой текст свёрнут, показать
     
     
  • 5.72, пох. (?), 21:59, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    молодец, а я вчера у лоха ипхон десятый отжал - и, представляешь, не догнали!
    Все кто болтают что за это можно сесть лет на пять - дураки и нехрен их слушать!

    Ты _всерьез_, на самом деле, нарушил законы двух стран. Тебе _повезло_.
    Надо быть полным дураком, чтобы так подставляться, когда на людей заводили вполне реальные уголовные дела за вшивую моторолловскую мобилку.

    > Сам так покупал, на пакетике было написано USB Drive

    у одного чувака на пакетике вообще было написано "соль поваренная". Визуально - ну прям не отличишь. Но приняли его, почему-то, за наркоту.

     
     
  • 6.73, Kuromi (ok), 00:22, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это вам не ко мне, а на форум для чотких Ой-вэй, подскажите адрес ближайшего ... большой текст свёрнут, показать
     

  • 1.8, Аноним (8), 10:51, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А где шутки про FIDO?
     
     
  • 2.10, siu77 (ok), 11:01, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Шутки про ФИДО начнутся после чебурахинга рунета.
     

  • 1.9, Аноним (9), 10:54, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    СМС?
     
     
  • 2.11, Аноним (11), 11:17, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    письмо бумажное от гугла для верификации
     
     
  • 3.13, Denis (??), 12:12, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Шутки шутками, но в Германии многие конторы так и поступают. Шлют бумажное письмо с пином.
     
     
  • 4.18, Аноним (11), 13:54, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а то была не шутка
     
  • 4.20, Max (??), 14:24, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А это и не шутка. Гугл бумажные письма шлёт для подтверждения регистрации некоторых бизнес-аккаунтов
     
  • 2.21, Аноним (21), 14:45, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Был уязвим ещё в 2000х, есть и будет уязвим и далее по своей архитектуре, относительно дорог, требует телефона, а значит сливает локацию, и симку, а значит сливает ваши фио, если вы приобрели её законным путём.
    От смс и звонков давно пора отказываться.
     
     
  • 3.22, Аноним (22), 15:23, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из всего вами перечисленного никак не мешает быть самым популярным одним из методов двухфакторной аутентификации во всех сферах. Номер уже становится настолько клеймом что от него так просто не откажешься.
     
  • 3.26, ВеликийРусский (?), 17:53, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если в Великой России можно официально симки купить только по паспорту, то это не значит, что во всех других странах так же. Впрочем, это не отменяет того, что смс как второй фактор — очень плохо
     
  • 2.60, rshadow (ok), 12:38, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Почему говоря о телефоне все циклятся на СМС?
    1. Телефон это такой же токен как и брелок.
    2. Есть же всякие онлайн приложухи. Яндекс.Ключ, Google Authenticator, Steam key и т.д. Есть ли открытый аналог со своим сервером например?
     
     
  • 3.64, Owlet (?), 19:31, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть же всякие онлайн приложухи. Яндекс.Ключ, Google Authenticator, Steam key и т.д. Есть ли открытый аналог со своим сервером например?

    Для этого не нужен сервер. Есть FreeOTP.

     

  • 1.12, jOKer (ok), 11:59, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Самое ненадежное в этой цепочке, ИМХО, - это ssh-agent.  Вешается очень уж часто после засыпания ноута.
     
     
  • 2.15, gogo (?), 12:48, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это он вешается от темноты и от отчания одиночества в спящем ноуте... (
     
  • 2.52, Licha Morada (ok), 21:27, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не сказал бы что "самое ненадёжное", но вектор многообещающий. Для торянца, который не требует эскаляции до администратора, например. Когда он вешается, кстати, это не худший случай.
    В любом случае, давать ssh-agent'у доступ ко второму фактору, будет архитектурной ошибкой.
     

  • 1.16, Аномномномнимус (?), 13:17, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяким гугловым 2FA и железкам, чтобы в случае утери этого фактора не остаться без нифига
     
     
  • 2.17, Ананас (?), 13:26, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Там вроде есть коды восстановления, которые предлагается сохранить на отдельном физическом носителе
     
  • 2.30, пох. (?), 22:09, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяким гугловым 2FA
    > и железкам,

    Если делать правильно - никак. В смысле - единственный "бэкап" - это _еще_ одна железка, хранящаяся в сейфе где-то на другой планете - со своим, отдельным, ключом. Ну или технология сброса/enrollment'а другой железки - с предъявлением жопы, унитаза, скана паспорта и снимков сетчатки глаза тому, у кого есть физический доступ к сервису.

    Весь смысл _правильной_ токенной защиты - что при утере токена он быстро, эффективно и необратимо превращается в тыкву, и уж тем более - никаких способов обхода его использования быть не должно.

    А если твои данные ничего не стоят - зачем же ипстись? Пароль 123#e45 ни разу не подводил!

     
     
  • 3.33, Crazy Alex (ok), 22:45, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты не догоняешь (как и с SSL, впрочем). Это не о "супер-безопасности". Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения жизни юзера. Поэтому компромисс "безопасность/удобство" совсем другой - одна железка на все сайты (на сайт - ключику), автоматизированное взаимодействие по API, механизм восстановления. Никто в здравом уме не будет менять то, что уже есть (и более-менее работает) на менее удобные средства. А вот заменить ввод пароля на тычок на токене - это да, и проще и от "PasswordPassword" избавляемся (угу, оно и как единственный фактор работать может). А как второй фактор - это лучше, чем SMS? Всяко лучше. Лучше, чем TOTP и подобное? Лучше: а) сид никогда не ходит по сети, б) вводить ничего руками не надо.
     
     
  • 4.35, пох. (?), 23:30, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения
    > жизни юзера.

    необходимость таскать за собой ненужно, каждый раз тыкать в usb-слот (мало флэшек погорело или порты пожгли от неаккуратного втыкания или просто из-за дешевой китайчатины внутри?) и ждать пока прочихается мега-супер-ненужно драйвер - это "без усложнения" ? А при ее потере и использовании в режиме "руками ничего вводить не надо" - васян получает все твои пароли и явки (а ты остаешься без).

    месье понимает толк в извращениях.

    Я, пожалуй, останусь при своем 123e#45 - он хотя бы точно не сдохнет и не останется в других штанах в неподходящий момент. А "секьюрить" тут тыквенная.

    > А как второй фактор - это лучше, чем SMS?

    удобнее, пожалуй, да - sms надо читать глазами и набирать руками. В остальном - похоже, еще большая дрянь. Подделка симки - это все же криминал, поймают - могут и закрыть. Кража/мягкий или жесткий отжим бессмысленной последовательности цифирок или подделка токена вместе с цифирками - детская игра в крысу.

    > Лучше: а) сид никогда не ходит по сети,

    значит ходит его эквивалент, чудес-то не бывает, где-то что-то обязано упираться в shared secret
    Однозначно из этого сида генерящийся, что характерно.

     
     
  • 5.45, Аноним (45), 14:09, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для не-тыкать в usb-слот они предусмотрели работу по bluetooth nfc Насчёт проч... большой текст свёрнут, показать
     
     
  • 6.48, пох. (?), 17:09, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    то есть совсем глючные и насквозь дырявые технологии, спасибо Я спрашивал - а но... большой текст свёрнут, показать
     
  • 3.49, Аномномномнимус (?), 19:00, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И как сделать эту "ещё одну железку", если в первой железке вроде как ключи не извлекаемые, а разные токены на одну учётку - часто не протолкнуть?
     
     
  • 4.68, пох. (?), 12:57, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    обратитесь к системному администратору, не?

    В случае sshd - администратор я, и у меня может быть столько независимых токенов, сколько я хочу.

     
  • 2.50, Аноним (50), 19:26, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ко всяким гугловым 2FA

    Что за гугловые 2FA?

     

  • 1.19, Аноним (19), 13:55, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На гитхабе кстати видел проектик u2f на stm32. Надо будет попробовать.
     
     
  • 2.24, SOska (?), 15:25, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хоть бы ссылку дал
     
     
  • 3.53, anonymous (??), 21:39, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так trezor же, разве нет?
     

  • 1.23, SOska (?), 15:24, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И ниче что токены не open firmware, и кто дал гарантию что нет закладок на уровне железа
     
     
  • 2.25, Crazy Alex (ok), 16:54, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот у этих open firmware: https://wiki.trezor.io/U2F
    По основному роду деятельности оно криптокошелёк, но можно и чисто как токен использовать
     
     
  • 3.28, пох. (?), 22:03, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    товарищмайору очень нравится идея существования в нем какого-то универсального "seed", который позволяет "восстановить все токены".

    Скажите, я правильно понимаю что ВСЕ u2f поделки устроены примерно так же? (судя по тому что эта дружит с гуглем и прочим шлаком, используя стандартные апи - видимо, так оно и есть)

    Напоминаю, что _правильная_ реализация двухфакторной аутентификации - существует, коммерчески доступна и... хер вы ее получите для личного применения. Хотя половина из вас носит такую штуку в кармане.
    Выглядит как-то вот так: https://vbankin.ru/94-generator-paroley-vtb.html

     
     
  • 4.32, Crazy Alex (ok), 22:30, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В мире крипты давно на опыте выяснили, что иметь один seed, который можно забэкапить - критично. Любой современный кошелёк работает именно так. Логично, что они перенесли этот опыт и на U2F. В принципе никто тебе не мешает этот сид просто никуда не записывать при инициализации, второй раз никто его никогда не покажет. Или прошивку подправить можно, чтобы его не показывало вообще - тоже тривиально и не рискованно, благо код весь открытый. Набивай шишки на здоровье.

    Что до "дружит с гуглом" - ну, как бы, в том и идея, чтобы это был стандартный API и, соответственно, для любого сайта можно было таким манером авторизацию сделать. Ты ж не возмущаешься, что по на гитхаб ты закидываешь такой же (по формату) ключик и работаешь теми же командами, что и со своим сервером? Но что касается сида - нет, это в протокол не входит (да ине может - это внутреннее дело токена, как ключ генерировать).

    То, что на картинке, я как-то слабо представляю в качестве универсального токена, работающего с произвольными сайтами - как ему сказать, к чему ответ генерировать? И уж там-то открытого железа/софта, пригодных для аудита, и близко нет. А вот трезор смотрели и смотрят.

     
     
  • 5.34, пох. (?), 23:17, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вероятно, для кошелька это допустимо - потерять намайненные миллионы навсегда из... большой текст свёрнут, показать
     
     
  • 6.42, Аноним (42), 11:54, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спешите видеть, нонейм с опенета разносит BIP в пух и прах, вся криптоиндустрия замерла в ожидании приговора.
     
  • 4.54, Licha Morada (ok), 21:44, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/

    > Напоминаю, что _правильная_ реализация двухфакторной аутентификации - существует, коммерчески
    > доступна и... хер вы ее получите для личного применения. Хотя половина
    > из вас носит такую штуку в кармане.
    > Выглядит как-то вот так: https://vbankin.ru/94-generator-paroley-vtb.html

    Вот тоже облизываюсь подобную штуку приспособить, что-то уже выданное и используемоое. Токен, выданный банком, пластиковую карту с чипом...

    В начале 0-ых видел как читалку смарт карт кустарно приспособили чтобы открывать дверь в лабораторию, и использовали её с "таксофонными картами" которые в то время были в ходу в далёкой жаркой стране. Карта нифига не секртеная, но, по идее, уникальная и труднокопируемая. Надо было взять любую карту, "познакомить" её с контроллером читалки, и можно было пользоваться.

    Карточные таксофоны были такие:
    https://www.elheraldodechiapas.com.mx/local/obsoletos-los-telefonos-publicos-d
    (банковские карты в то время были поголовно магнитные)

    А собственно карты такие:
    https://colnect.com/es/phonecards/phonecard/33043-Servicios_Telmex_020_030_031


     
     
  • 5.66, пох. (?), 11:31, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Токен, выданный банком, пластиковую карту с чипом...

    я готов заплатить, если не очень космических денег, в пределах, скажем, $2k, за отдельный - собственно, в свое время где-то на хабре раскопали настоящего производителя этих пинпадиков (разумеется, китайского), бланки смарткард вместе с хардом для их первоначальной инициализации - ну может не на алиэкспрессе, но на тао - продадут. Но, увы, найти хвосты этой технологии не удалось.

    > А собственно карты такие:

    да, это тоже смарткарта, и, если не очень устаревшего стандарта, наверняка тоже будет работать в такой штуковине.

    В Москве такие тоже использовались некоторое время, в самых последних уцелевших таксофонах. В самом таксофоне софт был крайне примитивный, его успешно удавалось обмануть, но это лишь один из многих режимов работы чипа.

     
     
  • 6.70, Licha Morada (ok), 21:15, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > в свое время где-то на хабре раскопали
    > настоящего производителя этих пинпадиков (разумеется, китайского), бланки смарткард
    > вместе с хардом для их первоначальной инициализации

    А нужен именно бланк? Я думал, пофиг что карта уже кем-то прошита, единственное что от неё требуется это доказать свою индивидуальность.
    По аналогии с сертификатом для SSL. Вместо того чтобы строить/учавствовать в PKI, можно скачать сертификат с сервера какой есть, и волевым решением назначить его доверенным. И не важно, если он самоподписный. Когда протухнет, скачать новый.

    Т.е. дать устройству "понюхать" рандомную карту и сказать "если опять это карту покажут, то это свои".

     
     
  • 7.71, пох. (?), 21:40, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А нужен именно бланк?

    для начала, полагаю, нужно где-то найти бывшего сотрудника втб24, имевшего отношение к, и допросить с применением дыбы, паяльника и электроприборов, чтобы таки точно узнать, что именно там на той стороне.

    Но, учитывая особенности привязки этих карт в самом банке (от карты нужен только номер, после чего система каким-то волшебным образом знает, как проверить ее ответы на валидность) - очень похоже что не все так просто.

    > Т.е. дать устройству "понюхать" рандомную карту

    какому устройству? ;-) Синяя фиговина - это просто кнопки и экран, у нее своего мозга нет вообще, это просто возможность как-то общаться с чипом карты.

    Но банк (точнее, волшебная визина коробка) кое-что знает о картах с момента их выпуска - например, умеет проверять пин-коды. При этом (у нормального банка) они нигде в открытом виде не хранятся.
    Возможно, он знает еще что-то интересное.

     
     
  • 8.74, Licha Morada (ok), 01:16, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я о более минималистическом сценарии использования говорю Оставить в покое синю... текст свёрнут, показать
     
     
  • 9.75, пох. (?), 10:41, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    банковская карточка оставляя в стороне особенности чипа - банальная последоват... текст свёрнут, показать
     
     
  • 10.76, Licha Morada (ok), 21:36, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это в принципе достижимо, не требуя от карты раскрытия никакого секрета Грубо ... текст свёрнут, показать
     
     
  • 11.77, пох. (?), 23:04, 07/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    прав, оно примерно такое и есть - но с ньюансами Вот в том плане, что для подкл... текст свёрнут, показать
     
     
  • 12.78, Licha Morada (ok), 00:37, 08/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Им не требуется ничего спрашивать у карты при подключении, потому что публичны... большой текст свёрнут, показать
     
  • 4.55, JL2001 (ok), 23:43, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Напоминаю, что _правильная_ реализация двухфакторной аутентификации - существует, коммерчески
    > доступна и... хер вы ее получите для личного применения. Хотя половина
    > из вас носит такую штуку в кармане.
    > Выглядит как-то вот так: https://vbankin.ru/94-generator-paroley-vtb.html

    что за проприетарная поделка со встроенными памятью всех операций и мастерключём?

     
  • 4.61, rshadow (ok), 12:47, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не ну ты опредились уже. Мы от товарища майора бегаем, или самая _правильная_ реализация в государственном банке тов. майора =)
     
     
  • 5.65, пох. (?), 11:17, 06/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не ну ты опредились уже. Мы от товарища майора бегаем, или самая
    > _правильная_ реализация в государственном банке тов. майора =)

    втб24 никогда государственным не был и товарищмайорам не принадлежал.
    А нынешние владельцы, конечно же, эту технологию успешно прое...ли, там уже никто и не помнит что оно было.

    Там теперь "приложения", "пуш-коды" и прочее, как у всех. И _платные_ карточки, курам на смех.

    Генератор похожего свойства остался только у Авангарда, но там он только для випов, а сам авангард, похоже, быстро идет на дно.

     
  • 2.29, пох. (?), 22:04, 03/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    зачем вам закладки на уровне железа, когда они на уровне даже не алгоритма, а принципиально заложены в конструкцию этих дорогостоящих ненужноподелок?

     

  • 1.36, Аноним (36), 23:39, 03/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лет 10 лет назад уже можно было настроить 2FA или одноразовый пароль для доступа к серверу, благодаря ssh + pam
     
  • 1.43, InuYasha (?), 12:43, 04/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как они бесятся - лишь бы люди хорошие пароли не ставили.
    Вот скажите честно - вы в жизни никогда флешек не теряли/не ломали? А каково это, когда надо на сервак зайти из чужого города, другой страны? А телефон со сканером отпечатка ануса спионерили/зажевали на таможне? А если эта поебень на холоде выпала из мокрых/дрожащих рук с лужу/унитаз/колодец/шахту лита/пасть крокодилда? Если этот говноключик раздавило стойкой? Не лучше ли просто чуть-чуть потренировать память и запомнить хороший пароль? Ну или записать его ручкой на бумажку и жить как человек?
     
     
  • 2.44, InuYasha (?), 12:45, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    (хотел ответить в ветку про аппаратные токены/смс/пр.)
     
  • 2.46, Аноним (45), 14:14, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не лучше.

    1) Мест, где унжны пароли, минимум десятки, и либо ты используешь хранилище либо будешь пихать что-то повторяющееся.
    2) Сейчас камеры на каждом углу, считать пароль - делать нечего, и дальше только больше будет. Придётс сваливать на что-то невидимое так или иначе.

     
  • 2.47, пох. (?), 14:15, 04/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    окей, мальчик-с-феноменальной-памятью - сколько действительно хороших паролей ты... большой текст свёрнут, показать
     
     
  • 3.57, InuYasha (?), 11:24, 05/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я вот сегодня в очередной раз не смог вспомнить очередной (не особо
    > и хороший, кстати) - пользовался им редко, с шести попыток не
    > угадал (то есть я примерно знаю какой он, но то ли
    > case, то ли что еще не угадал). Зашел по ключу, благо,
    > было откуда.

    Пить надо меньше - память и появится. ;)

    > Кстати, видеокамера в кафешке уже записала твой прекрасный суперсекретный пароль.

    Человек с ограниченными возможностями? Кисти рук за быдлокод поотрубали? )

    Давайте тогда ещё вспомним экстрасенсов, телепатов и гипнотизёров - тогда вообще страходром?

     

  • 1.62, Тудэма Сюдэма (?), 13:16, 05/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Снова гномоагент отвалится.
     
  • 1.80, Fedd (ok), 03:11, 09/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На yubikey вроде можно было и так записать ssh ключ вместе с pgp
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру