The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В OpenSSH добавлена поддержка универсальной двухфакторной ау..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSH добавлена поддержка универсальной двухфакторной ау..."  +/
Сообщение от opennews (??), 03-Ноя-19, 09:34 
В кодовую базу OpenSSH добавлена экспериментальная поддержка двухфакторной аутентификации с использованием устройств, поддерживающих протокол U2F, развиваемый альянсом  FIDO. U2F позволяет создавать недорогие аппаратные токены для подтверждения физического присутствия пользователя, взаимодействие с которыми производится через USB, Bluetooth или NFC. Подобные устройства продвигаются в качестве средства для двухфакторной аутентификации на сайтах, уже поддерживаются основными браузерами и выпускаются различными производителями, включая Yubico, Feitian, Thetis и Kensington...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51800

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Ноя-19, 09:34   +/
Строго говоря, это все еще однофакторная аутентификация, т.к. из трех возможных факторов (знание, владение, свойство) используется только фактор владения, просто количество объектов, которыми нужно владеть, увеличили с одного до двух.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

2. Сообщение от Аноним (2), 03-Ноя-19, 09:36   +10 +/
>с эллиптической кривой NIST P-256  

а, это те самые, в которых возможно есть бэкдор АНБ? Почему не ed25519?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #37, #39, #40

3. Сообщение от Zlo (??), 03-Ноя-19, 09:59   +7 +/
Как говорится в хорошо поставленном вопросе уже содержится ответ. У вас ответ возможно уже есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от uchiya (ok), 03-Ноя-19, 10:02   +/
Строго говоря всем нужно владеть, что-бы иметь к этому доступ, свойством, знанием - не важно.  Фактор - это просто очередной способ доступа или один из, чем отличается отпечаток пальца\сетчатки от токена\пороля, если всё уперается в то владеешь ты им или нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #41

5. Сообщение от nrndda (ok), 03-Ноя-19, 10:12   +1 +/
>В качестве ещё одного рубежа защиты на этапе запуска ssh-keygen также может быть задан пароль для доступа к файлу с ключом.

Т.е. помимо самого токена (владение) нужен ещё пароль (знание). Не двухфакторная?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14

6. Сообщение от Иван (??), 03-Ноя-19, 10:13   +/
Надо попробовать эту фичу :/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #56

7. Сообщение от Грусть (?), 03-Ноя-19, 10:21   +1 +/
И остаться без доступа к серваку  :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #51

8. Сообщение от Аноним (8), 03-Ноя-19, 10:51   –1 +/
А где шутки про FIDO?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

9. Сообщение от Аноним (9), 03-Ноя-19, 10:54   –3 +/
СМС?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #21, #60

10. Сообщение от siu77 (ok), 03-Ноя-19, 11:01   +16 +/
Шутки про ФИДО начнутся после чебурахинга рунета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 03-Ноя-19, 11:17   +2 +/
письмо бумажное от гугла для верификации
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от jOKer (ok), 03-Ноя-19, 11:59   –2 +/
Самое ненадежное в этой цепочке, ИМХО, - это ssh-agent.  Вешается очень уж часто после засыпания ноута.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #52

13. Сообщение от Denisemail (??), 03-Ноя-19, 12:12   +2 +/
Шутки шутками, но в Германии многие конторы так и поступают. Шлют бумажное письмо с пином.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #18, #20

14. Сообщение от gogo (?), 03-Ноя-19, 12:46   +3 +/
пароль для закрытого ключа можно было задать и раньше
тут, по сути, секретный ключ на две части разделили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #59

15. Сообщение от gogo (?), 03-Ноя-19, 12:48   +6 +/
Это он вешается от темноты и от отчания одиночества в спящем ноуте... (
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аномномномнимус (?), 03-Ноя-19, 13:17   +1 +/
Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяким гугловым 2FA и железкам, чтобы в случае утери этого фактора не остаться без нифига
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #30, #50

17. Сообщение от Ананас (?), 03-Ноя-19, 13:26   +/
Там вроде есть коды восстановления, которые предлагается сохранить на отдельном физическом носителе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Аноним (11), 03-Ноя-19, 13:54   +1 +/
а то была не шутка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 03-Ноя-19, 13:55   +/
На гитхабе кстати видел проектик u2f на stm32. Надо будет попробовать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

20. Сообщение от Max (??), 03-Ноя-19, 14:24   +3 +/
А это и не шутка. Гугл бумажные письма шлёт для подтверждения регистрации некоторых бизнес-аккаунтов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Аноним (21), 03-Ноя-19, 14:45   +5 +/
Был уязвим ещё в 2000х, есть и будет уязвим и далее по своей архитектуре, относительно дорог, требует телефона, а значит сливает локацию, и симку, а значит сливает ваши фио, если вы приобрели её законным путём.
От смс и звонков давно пора отказываться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22, #26

22. Сообщение от Аноним (22), 03-Ноя-19, 15:23   +1 +/
Из всего вами перечисленного никак не мешает быть самым популярным одним из методов двухфакторной аутентификации во всех сферах. Номер уже становится настолько клеймом что от него так просто не откажешься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

23. Сообщение от SOska (?), 03-Ноя-19, 15:24   +/
И ниче что токены не open firmware, и кто дал гарантию что нет закладок на уровне железа
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #29

24. Сообщение от SOska (?), 03-Ноя-19, 15:25   +1 +/
Хоть бы ссылку дал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #53

25. Сообщение от Crazy Alex (ok), 03-Ноя-19, 16:54   +2 +/
Вот у этих open firmware: https://wiki.trezor.io/U2F
По основному роду деятельности оно криптокошелёк, но можно и чисто как токен использовать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #28

26. Сообщение от ВеликийРусский (?), 03-Ноя-19, 17:53   +2 +/
Если в Великой России можно официально симки купить только по паспорту, то это не значит, что во всех других странах так же. Впрочем, это не отменяет того, что смс как второй фактор — очень плохо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от пох. (?), 03-Ноя-19, 22:03   +/
товарищмайору очень нравится идея существования в нем какого-то универсального "seed", который позволяет "восстановить все токены".

Скажите, я правильно понимаю что ВСЕ u2f поделки устроены примерно так же? (судя по тому что эта дружит с гуглем и прочим шлаком, используя стандартные апи - видимо, так оно и есть)

Напоминаю, что _правильная_ реализация двухфакторной аутентификации - существует, коммерчески доступна и... хер вы ее получите для личного применения. Хотя половина из вас носит такую штуку в кармане.
Выглядит как-то вот так: https://vbankin.ru/94-generator-paroley-vtb.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32, #54, #55, #61

29. Сообщение от пох. (?), 03-Ноя-19, 22:04   +/
зачем вам закладки на уровне железа, когда они на уровне даже не алгоритма, а принципиально заложены в конструкцию этих дорогостоящих ненужноподелок?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от пох. (?), 03-Ноя-19, 22:09   –1 +/
> Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяким гугловым 2FA
> и железкам,

Если делать правильно - никак. В смысле - единственный "бэкап" - это _еще_ одна железка, хранящаяся в сейфе где-то на другой планете - со своим, отдельным, ключом. Ну или технология сброса/enrollment'а другой железки - с предъявлением жопы, унитаза, скана паспорта и снимков сетчатки глаза тому, у кого есть физический доступ к сервису.

Весь смысл _правильной_ токенной защиты - что при утере токена он быстро, эффективно и необратимо превращается в тыкву, и уж тем более - никаких способов обхода его использования быть не должно.

А если твои данные ничего не стоят - зачем же ипстись? Пароль 123#e45 ни разу не подводил!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #33, #49

32. Сообщение от Crazy Alex (ok), 03-Ноя-19, 22:30   +2 +/
В мире крипты давно на опыте выяснили, что иметь один seed, который можно забэкапить - критично. Любой современный кошелёк работает именно так. Логично, что они перенесли этот опыт и на U2F. В принципе никто тебе не мешает этот сид просто никуда не записывать при инициализации, второй раз никто его никогда не покажет. Или прошивку подправить можно, чтобы его не показывало вообще - тоже тривиально и не рискованно, благо код весь открытый. Набивай шишки на здоровье.

Что до "дружит с гуглом" - ну, как бы, в том и идея, чтобы это был стандартный API и, соответственно, для любого сайта можно было таким манером авторизацию сделать. Ты ж не возмущаешься, что по на гитхаб ты закидываешь такой же (по формату) ключик и работаешь теми же командами, что и со своим сервером? Но что касается сида - нет, это в протокол не входит (да ине может - это внутреннее дело токена, как ключ генерировать).

То, что на картинке, я как-то слабо представляю в качестве универсального токена, работающего с произвольными сайтами - как ему сказать, к чему ответ генерировать? И уж там-то открытого железа/софта, пригодных для аудита, и близко нет. А вот трезор смотрели и смотрят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #34

33. Сообщение от Crazy Alex (ok), 03-Ноя-19, 22:45   +1 +/
Ты не догоняешь (как и с SSL, впрочем). Это не о "супер-безопасности". Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения жизни юзера. Поэтому компромисс "безопасность/удобство" совсем другой - одна железка на все сайты (на сайт - ключику), автоматизированное взаимодействие по API, механизм восстановления. Никто в здравом уме не будет менять то, что уже есть (и более-менее работает) на менее удобные средства. А вот заменить ввод пароля на тычок на токене - это да, и проще и от "PasswordPassword" избавляемся (угу, оно и как единственный фактор работать может). А как второй фактор - это лучше, чем SMS? Всяко лучше. Лучше, чем TOTP и подобное? Лучше: а) сид никогда не ходит по сети, б) вводить ничего руками не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35

34. Сообщение от пох. (?), 03-Ноя-19, 23:17   –1 +/
> В мире крипты давно на опыте выяснили, что иметь один seed, который можно забэкапить - критично.
> Любой современный кошелёк работает именно так.

вероятно, для кошелька это допустимо - потерять намайненные миллионы навсегда из-за сбоя рукожопой поделки куда более вероятно, чем кто-то в теме сумеет спереть у тебя сид.

Для авторизационного токена, по сути своей подтверждающего именно факт своей единственности и неповторимости - это бред собачий, опять кто-то пустил недоучек-майнеров в криптографию.

> В принципе никто тебе не мешает этот сид просто никуда не записывать при инициализации, второй
> раз никто его никогда не покажет.

еще раз: в принципе он должен удаляться нахрен навсегда и невосстановимым образом сразу после использования. Все остальное - идиотизм, ламерство и профанация идеи.
Второй раз тебе его может и не покажут, а у товарищмайора найдутся средства- от багов косорукой опенотcocной прошивки до паяльника в задницу. (понятно что закрытая - ничем не лучше, она может вообще этот сид получает на фабрике, с одновременным занесением в базу данных не для широкого круга лиц с привязкой к серийнику или еще какой метке)

> Что до "дружит с гуглом" - ну, как бы, в том и идея, чтобы это был стандартный API

речь о том, что этот стандартный апи построен на вот таком г-нище. Сводящем всю безопасность и привязку к токену к х..ю - привязка, оказывается, вовсе не к токену, а к набору цифирок, доступному при достаточной усидчивости и вдохновении любому желающему.

> да ине может - это внутреннее дело токена, как ключ генерировать

очевидно что нет - иначе он не подойдет к гуглю и гихапу. Генерация ключа подобным образом - наверняка часть того стандарта.

> То, что на картинке, я как-то слабо представляю в качестве универсального токена, работающего
> с произвольными сайтами - как ему сказать, к чему ответ генерировать?

асимметричная криптография - не, не слышал?
Сайт выдает challenge. challenge шифруется чипом карты (похоже, данный функционал есть в _любом_ emv чипе - во всяком случае, какие-то последовательности выдаются. Забавно что они разные у разных карт - в смысле, не то что цифры - форматирование разное.) Разумеется, чтобы активировать чип - понадобится пинкод, поэтому красть у тебя карту без кода - бессмысленно. (разумеется, да, с третьей попытки- в тыкву) Ответ скармливаешь сайту - у которого есть какая-то возможность подтвердить его валидность. Но не сгенерить код (он вообще каждый раз разный, ага).
Разумеется, никто не мешает тебе для каждого специального случая иметь отдельную карту - эту для гуглопочты, ту для гитшляпы, а ту для своего защищенного сервера вмурованного в стену. Ну и пару запасных, на случай утраты. Обрати внимание, кстати, тут нет никаких безумных компонент за 240 евро - синяя хрень это пинпад, в ней нет ничего кроме кнопок и экрана, сама она ничего не делает, может быть заменена любой из пачки. Бланк emv карты в пачке от 100000 тоже стоит три копейки.

Точные детали - увы, неизвестны, моих связей в околобанковских кругах не хватило для получения достоверной информации, но есть очень неприятное ощущение что технология продается в виде закрытого 2u ящика от небезысвестной RSA inc. Возможно еще и как-то хитро состыкованного с визовской пин-хранилкой, которая тоже нифига не выложена в интернетах со схемами и протоколами.

(то есть даже если раскопать api для emv, научиться где-то покупать не тоннами пинпады и бланки карт с чипом - сделать то же самое в мирных целях из этих деталек, вероятно, не получится. Но что мешает сделать независимую реализацию, пусть не такую красивую технологически? Похоже, отсутствие желания сделать надежно в принципе.)

> А вот трезор смотрели и смотрят.

а зачем смотреть-то, если очевидная дыра в базовой технологии?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

35. Сообщение от пох. (?), 03-Ноя-19, 23:30   –1 +/
> Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения
> жизни юзера.

необходимость таскать за собой ненужно, каждый раз тыкать в usb-слот (мало флэшек погорело или порты пожгли от неаккуратного втыкания или просто из-за дешевой китайчатины внутри?) и ждать пока прочихается мега-супер-ненужно драйвер - это "без усложнения" ? А при ее потере и использовании в режиме "руками ничего вводить не надо" - васян получает все твои пароли и явки (а ты остаешься без).

месье понимает толк в извращениях.

Я, пожалуй, останусь при своем 123e#45 - он хотя бы точно не сдохнет и не останется в других штанах в неподходящий момент. А "секьюрить" тут тыквенная.

> А как второй фактор - это лучше, чем SMS?

удобнее, пожалуй, да - sms надо читать глазами и набирать руками. В остальном - похоже, еще большая дрянь. Подделка симки - это все же криминал, поймают - могут и закрыть. Кража/мягкий или жесткий отжим бессмысленной последовательности цифирок или подделка токена вместе с цифирками - детская игра в крысу.

> Лучше: а) сид никогда не ходит по сети,

значит ходит его эквивалент, чудес-то не бывает, где-то что-то обязано упираться в shared secret
Однозначно из этого сида генерящийся, что характерно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #45

36. Сообщение от Аноним (36), 03-Ноя-19, 23:39   +1 +/
Лет 10 лет назад уже можно было настроить 2FA или одноразовый пароль для доступа к серверу, благодаря ssh + pam
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Ivan_83 (ok), 04-Ноя-19, 00:01   +1 +/
ed25519 - 126 бит если что.
Не считая того, что вероятно вообще эллиптическая крипта уже скопроментирована.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #38

38. Сообщение от хотел спросить (?), 04-Ноя-19, 01:01   +/
не более чем RSA

и есть еще изогении в кривых говорят постквантовые, но пока не видел серьезных применений

а хардварные токены пусть в опу засунут.. он же пропиетраный

вон в Эстонии карточки под замену.. подрядчик обгадился

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от h31 (ok), 04-Ноя-19, 01:03   +/
> а, это те самые, в которых возможно есть бэкдор АНБ?

Пруф? Бекдор был в Dual_EC_DRBG.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

40. Сообщение от Аноним (40), 04-Ноя-19, 07:08   +4 +/
АНБ вам лично докладывает о своих бэкдорах?

На месте АНБ я бы пускал слухи о бэкдорах в тех алгоритмах, где их на самом деле нет.

В целом же разумно предполагать, что чей-нибудь бэкдор  есть везде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

41. Сообщение от ыы (?), 04-Ноя-19, 09:16   +3 +/
Строго говоря Вам нужно больше читать
https://ru.wikipedia.org/wiki/Многофакторная_аутентификация
https://ru.wikipedia.org/wiki/Владение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #58

42. Сообщение от Аноним (42), 04-Ноя-19, 11:54   +/
Спешите видеть, нонейм с опенета разносит BIP в пух и прах, вся криптоиндустрия замерла в ожидании приговора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

43. Сообщение от InuYasha (?), 04-Ноя-19, 12:43   +/
Как они бесятся - лишь бы люди хорошие пароли не ставили.
Вот скажите честно - вы в жизни никогда флешек не теряли/не ломали? А каково это, когда надо на сервак зайти из чужого города, другой страны? А телефон со сканером отпечатка ануса спионерили/зажевали на таможне? А если эта поебень на холоде выпала из мокрых/дрожащих рук с лужу/унитаз/колодец/шахту лита/пасть крокодилда? Если этот говноключик раздавило стойкой? Не лучше ли просто чуть-чуть потренировать память и запомнить хороший пароль? Ну или записать его ручкой на бумажку и жить как человек?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #46, #47

44. Сообщение от InuYasha (?), 04-Ноя-19, 12:45   +/
(хотел ответить в ветку про аппаратные токены/смс/пр.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от Аноним (45), 04-Ноя-19, 14:09   +1 +/
для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc. Насчёт "прочихается драйвер" - не понял, обычно даже на винде после первой вставки девайса в следующие разы всякая usb-хрен опознаётся мгновенно, на тех же usb-наушниках это очень заметно.

При потере - ну вот через сид и восстановишь. Если ключи от квартиры теряешь или смартфон - тоже неудобно, не больше и не меньше. Но в принципе удобно или нет - тут юзеру решать, конечно. Полагаю, что закончится всё, как обычно, смартфоном, что уже и по моим понятия несекьюрно, но для среднего юзера, полагаю, нормально, у него и так всё на том смартфоне. Забыть - ну можно, поэтому нормальные сайты будут держать какие-то резервные варианты входа, делов-то.

Подделка симки - криминал, угу :-) насмешил. Теоретически, конечно, закрыто могут, а на практике - проблема роно в том, что симки наконец сделали более-менее неподделываемыми. Кража/отжим - это всегда кража/отжим прлюс претензии по тем последствиям, что оно повлекло (несанкционированное использование/модификация компьютерных систем, или как там оно) - как бы не те же статьи были. Вынося за скобки "постсоветское правосудие" - ну так технологии не для постсовка и прочих диких мест разрабатываются. Опять же, где как, но конкретно для трезора это выглядит так: ты воткнул его в комп, ввёл пин, дальше для авторизаии можно просто кнопку подтверждения жать, но если не отжал включённым - сам пин хрен подберёшь, и это опять же хорошо проверено, особенно с учётом сумм, которые на трезорах бывают.

Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера. Генерящийся не "из этого сида" (в тотп сид задаётся сервером) а просто как производное из сида на токене и ключа сервера (там что-то ещё, не помню деталей). И, опять же, базовый сид, из которого всё генерится - это особенность реализации именно трезора. Которому я склонен верить (у них в криптовалютах сильно не первый год полёта без особых факапов), но он не единственный. Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #48

46. Сообщение от Аноним (45), 04-Ноя-19, 14:14   +3 +/
Не лучше.

1) Мест, где унжны пароли, минимум десятки, и либо ты используешь хранилище либо будешь пихать что-то повторяющееся.
2) Сейчас камеры на каждом углу, считать пароль - делать нечего, и дальше только больше будет. Придётс сваливать на что-то невидимое так или иначе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от пох. (?), 04-Ноя-19, 14:15   +1 +/
окей, мальчик-с-феноменальной-памятью - сколько действительно хороших паролей ты можешь удержать в голове?

Я вот сегодня в очередной раз не смог вспомнить очередной (не особо и хороший, кстати) - пользовался им редко, с шести попыток не угадал (то есть я примерно знаю какой он, но то ли case, то ли что еще не угадал). Зашел по ключу, благо, было откуда.

Пароль на ключе примитивный, его не забуду, но и надежность примерно никакая (скорее от незаблоченной на пять минут клавиатуры и чужого досужего любопытства, а не от кражи ключа). Менять если что - тоже ад адский, хрен его знает, где и чего еще у меня этим ключом авторизуется.

> Вот скажите честно - вы в жизни никогда флешек не теряли/не ломали?

держи запасную, заранее авторизованную отдельным ключом, это-то не проблема. Проблема что там технология такое г-но, что "запасная" может быть изготовлена кем угодно когда угодно и от настоящей неотличима.

> А каково это, когда надо на сервак зайти из чужого города, другой страны?

как обычно - либо ключ под ковриком с некоторым риском что его подберет любой бомж, либо дверь надежно заперта, и придется потерпеть до возвращения из другой страны. У меня в разных сервисах по разному.

Вот в случае банка, к примеру - да, я лучше останусь без доступа к счетам до физического появления в их офисе - это не единственные мои деньги и я могу некоторое время без них пережить.

> Ну или записать его ручкой на бумажку и жить как человек?

и после маски-шоу у тебя две проблемы - у товарищмайора есть твои записи, а у тебя их - нет.

заметь, что при краже/мягком отжиме _правильного_, я давал ссылку, криптотокена, а не u2fного шлака - у товарищмайора есть три попытки ввести пинкод, после чего он остается с ненужным куском пластмассы, принципиально не подлежащим воспроизведению.

Но такой авторизации простым смертным не светит - слишком уж хорошо, надежно и неподделываемо, такие технологии не должны быть доступны всяким обормотам. Пусть феноменальную память тренируют.

Кстати, видеокамера в кафешке уже записала твой прекрасный суперсекретный пароль.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #57

48. Сообщение от пох. (?), 04-Ноя-19, 17:09   +/
> для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc

то есть совсем глючные и насквозь дырявые технологии, спасибо

Я спрашивал - а нормальных-то, что, нет?

> При потере - ну вот через сид и восстановишь.

спасибо, не надо. А то кто-то "восстановит" до потери.

Еще раз: нормальный токен должен теряться необратимо. Потому что именно владение им (а не удобно делаемой копией) подтверждает право доступа. Иначе это г-нецо, придуманное хипстамайнерами, а не безопасниками.

> Подделка симки - криминал, угу :-) насмешил.

статья имеется. Впрочем там еще целый ворох прицепных будет - поскольку ее нельзя подделать без нарушения целой пачки законов.
Соответственно, васяну это недоступно. Организованному криминалу в нашей стране - да, поэтому акаунт ненужно-гитхапа так защищать можно, а банковские операции - нельзя.

> Кража/отжим - это всегда кража/отжим

нет. Вы нечитатель УК. Для кражи должен быть умысел, смена владения, и должна быть материальная ценность. Цифирки материальной ценностью не являются. К тому же я уже отдал тебе листок.

> но если не отжал включённым - сам пин хрен подберёшь

зачем его подбирать если есть волшебная последовательность, позволяющая сделать еще десять таких же с любым пином?

> Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера.

и? Ключ открытый - известен кому попало. А расшифровывать нам и не надо, у нас есть сид.

> Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.

чтобы гарантированно не восстанавливалось есть только один способ - выкинуть завязанную на волшебном числе криптографию в помойку.

Если токен и вынужден использовать какие-то волшебные числа больше одного раза - они никогда и ни при каких обстоятельствах не должны покидать шифрованной памяти, и, разумеется, быть разными для разных сайтов, чтобы даже в случае маловероятной утечки - не получать дубликат всех ключей от всех замков в руках любого васяна.

Это, батенька - азы. А ваше чудо - прожект горе-майнеров, которые больше всего боятся потерять свои платежные суррогаты насовсем. К безопасности не имеет никакого отношения вообще.

> и наверняка где-то такое есть.

ну вот у ныне покойного vtb24 - было. Тут все, вроде, честно (пока они следовали правилам visa, многие банки этого, как ни смешно, не делают). Почему аналогичная технология не сделана общедоступной - у меня только одно соображение: кое-кому категорически не хочется, чтобы это произошло. Поэтому изо всех сил форсятся хипстаподелки недоучек-майнеров, дырявые by design.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

49. Сообщение от Аномномномнимус (?), 04-Ноя-19, 19:00   +/
И как сделать эту "ещё одну железку", если в первой железке вроде как ключи не извлекаемые, а разные токены на одну учётку - часто не протолкнуть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #68

50. Сообщение от Аноним (50), 04-Ноя-19, 19:26   +/
> ко всяким гугловым 2FA

Что за гугловые 2FA?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

51. Сообщение от Licha Morada (ok), 04-Ноя-19, 21:22   +6 +/
Зря минусуете, эта модель угрозы должна быть учтена.

С секретного ключа можно сделать резервную копию, а с физического токена нельзя, по определению, иначе он никакой нафиг не токен, а просто ещё один секрет.

В общих случаях, токен может быть:
1. Не с собой (нарушена доступность)
2. Сломан (нарушена консистентность)
3. Скомпрометирован (нарушена приватность)
(случай "потеряли" специально не рассматриваю, это комбинация 1 и 3 в какой-то пропорции)

Перед внедрением, необходимо продумать, что будем делать в каждмо случае. В диапазоне от "сносим всё и разворачиваем заново, с новым токеном" до "пусть второй администратор с работающим доступом сделает всё что надо, и заодно починит аутентификацию первому".


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

52. Сообщение от Licha Morada (ok), 04-Ноя-19, 21:27   +1 +/
Не сказал бы что "самое ненадёжное", но вектор многообещающий. Для торянца, который не требует эскаляции до администратора, например. Когда он вешается, кстати, это не худший случай.
В любом случае, давать ssh-agent'у доступ ко второму фактору, будет архитектурной ошибкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

53. Сообщение от anonymous (??), 04-Ноя-19, 21:39   +/
Так trezor же, разве нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

54. Сообщение от Licha Morada (ok), 04-Ноя-19, 21:44   +/

> Напоминаю, что _правильная_ реализация двухфакторной аутентификации - существует, коммерчески
> доступна и... хер вы ее получите для личного применения. Хотя половина
> из вас носит такую штуку в кармане.
> Выглядит как-то вот так: https://vbankin.ru/94-generator-paroley-vtb.html

Вот тоже облизываюсь подобную штуку приспособить, что-то уже выданное и используемоое. Токен, выданный банком, пластиковую карту с чипом...

В начале 0-ых видел как читалку смарт карт кустарно приспособили чтобы открывать дверь в лабораторию, и использовали её с "таксофонными картами" которые в то время были в ходу в далёкой жаркой стране. Карта нифига не секртеная, но, по идее, уникальная и труднокопируемая. Надо было взять любую карту, "познакомить" её с контроллером читалки, и можно было пользоваться.

Карточные таксофоны были такие:
https://www.elheraldodechiapas.com.mx/local/obsoletos-los-te...
(банковские карты в то время были поголовно магнитные)

А собственно карты такие:
https://colnect.com/es/phonecards/phonecard/33043-Servicios_...


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #66

55. Сообщение от JL2001 (ok), 04-Ноя-19, 23:43   +/
> Напоминаю, что _правильная_ реализация двухфакторной аутентификации - существует, коммерчески
> доступна и... хер вы ее получите для личного применения. Хотя половина
> из вас носит такую штуку в кармане.
> Выглядит как-то вот так: https://vbankin.ru/94-generator-paroley-vtb.html

что за проприетарная поделка со встроенными памятью всех операций и мастерключём?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

56. Сообщение от Kuromi (ok), 05-Ноя-19, 00:32   +/
Дял этого сначала нужен аппаратный токен. В РФ у нас продается Jacarta U2F за довольно нескромные деньги, альтернатива - брать что-то с Amazon.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #67

57. Сообщение от InuYasha (?), 05-Ноя-19, 11:24   –1 +/
> Я вот сегодня в очередной раз не смог вспомнить очередной (не особо
> и хороший, кстати) - пользовался им редко, с шести попыток не
> угадал (то есть я примерно знаю какой он, но то ли
> case, то ли что еще не угадал). Зашел по ключу, благо,
> было откуда.

Пить надо меньше - память и появится. ;)

> Кстати, видеокамера в кафешке уже записала твой прекрасный суперсекретный пароль.

Человек с ограниченными возможностями? Кисти рук за быдлокод поотрубали? )

Давайте тогда ещё вспомним экстрасенсов, телепатов и гипнотизёров - тогда вообще страходром?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

58. Сообщение от rshadow (ok), 05-Ноя-19, 12:16   +2 +/
Спасибо, почитал. Значит все таки двух факторная: знание - пароль, владение - аппаратный токен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #63, #79

59. Сообщение от rshadow (ok), 05-Ноя-19, 12:24   +/
Вы просто путаете сами факторы с их конкретной реализацией. Для компьютера любой фактор будет превращен в какой-то ключ/пароль. Даже фактор свойства - биометрия, просто превращается в еще один ключ чтобы скормить это программе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

60. Сообщение от rshadow (ok), 05-Ноя-19, 12:38   +/
Почему говоря о телефоне все циклятся на СМС?
1. Телефон это такой же токен как и брелок.
2. Есть же всякие онлайн приложухи. Яндекс.Ключ, Google Authenticator, Steam key и т.д. Есть ли открытый аналог со своим сервером например?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #64

61. Сообщение от rshadow (ok), 05-Ноя-19, 12:47   +/
Не ну ты опредились уже. Мы от товарища майора бегаем, или самая _правильная_ реализация в государственном банке тов. майора =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #65

62. Сообщение от Тудэма Сюдэма (?), 05-Ноя-19, 13:16   +/
Снова гномоагент отвалится.
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Аноним (1), 05-Ноя-19, 16:05   +1 +/
Да, она двухфакторная (если задать пароль на ключ). Но она точно такой же была всегда. Тут просто чуть усложнили фактор владения (который может все еще использоваться в однофакторной конфигурации), потому новость не совсем корректная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

64. Сообщение от Owlet (?), 05-Ноя-19, 19:31   +/
> Есть же всякие онлайн приложухи. Яндекс.Ключ, Google Authenticator, Steam key и т.д. Есть ли открытый аналог со своим сервером например?

Для этого не нужен сервер. Есть FreeOTP.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

65. Сообщение от пох. (?), 06-Ноя-19, 11:17   +/
> Не ну ты опредились уже. Мы от товарища майора бегаем, или самая
> _правильная_ реализация в государственном банке тов. майора =)

втб24 никогда государственным не был и товарищмайорам не принадлежал.
А нынешние владельцы, конечно же, эту технологию успешно прое...ли, там уже никто и не помнит что оно было.

Там теперь "приложения", "пуш-коды" и прочее, как у всех. И _платные_ карточки, курам на смех.

Генератор похожего свойства остался только у Авангарда, но там он только для випов, а сам авангард, похоже, быстро идет на дно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

66. Сообщение от пох. (?), 06-Ноя-19, 11:31   +/
> Токен, выданный банком, пластиковую карту с чипом...

я готов заплатить, если не очень космических денег, в пределах, скажем, $2k, за отдельный - собственно, в свое время где-то на хабре раскопали настоящего производителя этих пинпадиков (разумеется, китайского), бланки смарткард вместе с хардом для их первоначальной инициализации - ну может не на алиэкспрессе, но на тао - продадут. Но, увы, найти хвосты этой технологии не удалось.

> А собственно карты такие:

да, это тоже смарткарта, и, если не очень устаревшего стандарта, наверняка тоже будет работать в такой штуковине.

В Москве такие тоже использовались некоторое время, в самых последних уцелевших таксофонах. В самом таксофоне софт был крайне примитивный, его успешно удавалось обмануть, но это лишь один из многих режимов работы чипа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #70

67. Сообщение от пох. (?), 06-Ноя-19, 12:55   +/
> альтернатива - брать что-то с Amazon.

и гадать, в какой стране и на какой срок придется присесть.

Потому что это уже не невинная детская игра в крысу, а вполне себе натуральный сперва экспорт, а потом импорт криптографического оборудования - с околонулевым шансом отмазаться "я не знал", "все так делают" и т п - что кое-как работает в случае взятия за задницу с wifi-ap, ноутами или, до недавнего времени, телефонами без нотификации. А тут твой преступный умысел прямо вот налицо.

Кто-то когда-то тут хвастался, что находил рассейских продавцов ubikey, но, увы, я проимел ссылку. ubikey.ru ничего вам не продаст.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #69

68. Сообщение от пох. (?), 06-Ноя-19, 12:57   +/
обратитесь к системному администратору, не?

В случае sshd - администратор я, и у меня может быть столько независимых токенов, сколько я хочу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

69. Сообщение от Kuromi (ok), 06-Ноя-19, 15:34   +/
>> альтернатива - брать что-то с Amazon.
> и гадать, в какой стране и на какой срок придется присесть.
> Потому что это уже не невинная детская игра в крысу, а вполне
> себе натуральный сперва экспорт, а потом импорт криптографического оборудования - с
> околонулевым шансом отмазаться "я не знал", "все так делают" и т
> п - что кое-как работает в случае взятия за задницу с
> wifi-ap, ноутами или, до недавнего времени, телефонами без нотификации. А тут
> твой преступный умысел прямо вот налицо.
> Кто-то когда-то тут хвастался, что находил рассейских продавцов ubikey, но, увы, я
> проимел ссылку. ubikey.ru ничего вам не продаст.

Передергиваете. Сам так покупал, на пакетике было написано USB Drive и никто не прикопался. Визуально U2F токен вообще никак не отличается от обычной флешки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #72

70. Сообщение от Licha Morada (ok), 06-Ноя-19, 21:15   +/
> в свое время где-то на хабре раскопали
> настоящего производителя этих пинпадиков (разумеется, китайского), бланки смарткард
> вместе с хардом для их первоначальной инициализации

А нужен именно бланк? Я думал, пофиг что карта уже кем-то прошита, единственное что от неё требуется это доказать свою индивидуальность.
По аналогии с сертификатом для SSL. Вместо того чтобы строить/учавствовать в PKI, можно скачать сертификат с сервера какой есть, и волевым решением назначить его доверенным. И не важно, если он самоподписный. Когда протухнет, скачать новый.

Т.е. дать устройству "понюхать" рандомную карту и сказать "если опять это карту покажут, то это свои".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #71

71. Сообщение от пох. (?), 06-Ноя-19, 21:40   +/
> А нужен именно бланк?

для начала, полагаю, нужно где-то найти бывшего сотрудника втб24, имевшего отношение к, и допросить с применением дыбы, паяльника и электроприборов, чтобы таки точно узнать, что именно там на той стороне.

Но, учитывая особенности привязки этих карт в самом банке (от карты нужен только номер, после чего система каким-то волшебным образом знает, как проверить ее ответы на валидность) - очень похоже что не все так просто.

> Т.е. дать устройству "понюхать" рандомную карту

какому устройству? ;-) Синяя фиговина - это просто кнопки и экран, у нее своего мозга нет вообще, это просто возможность как-то общаться с чипом карты.

Но банк (точнее, волшебная визина коробка) кое-что знает о картах с момента их выпуска - например, умеет проверять пин-коды. При этом (у нормального банка) они нигде в открытом виде не хранятся.
Возможно, он знает еще что-то интересное.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #74

72. Сообщение от пох. (?), 06-Ноя-19, 21:59   +/
молодец, а я вчера у лоха ипхон десятый отжал - и, представляешь, не догнали!
Все кто болтают что за это можно сесть лет на пять - дураки и нехрен их слушать!

Ты _всерьез_, на самом деле, нарушил законы двух стран. Тебе _повезло_.
Надо быть полным дураком, чтобы так подставляться, когда на людей заводили вполне реальные уголовные дела за вшивую моторолловскую мобилку.

> Сам так покупал, на пакетике было написано USB Drive

у одного чувака на пакетике вообще было написано "соль поваренная". Визуально - ну прям не отличишь. Но приняли его, почему-то, за наркоту.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #73

73. Сообщение от Kuromi (ok), 07-Ноя-19, 00:22   +/
> молодец, а я вчера у лоха ипхон десятый отжал - и, представляешь,
> не догнали!

Это вам не ко мне, а на форум для "чотких".

> Все кто болтают что за это можно сесть лет на пять -
> дураки и нехрен их слушать!
> Ты _всерьез_, на самом деле, нарушил законы двух стран. Тебе _повезло_.
> Надо быть полным дураком, чтобы так подставляться, когда на людей заводили вполне
> реальные уголовные дела за вшивую моторолловскую мобилку.
>> Сам так покупал, на пакетике было написано USB Drive
> у одного чувака на пакетике вообще было написано "соль поваренная". Визуально -
> ну прям не отличишь. Но приняли его, почему-то, за наркоту.

Ой-вэй, подскажите адрес ближайшего отделения чтобы пойти сдаваться?

А теперь серьезно. НИКТО не будет проверять ваш пакетик с "флешечкой", ибо подобного добра в день проходит тысячи, спасибо всяким Али. И я уж не стану говорить вам, что U2F токен немного специфическая вещь, котору вряд ли бдут высматривать. Если же хотите совсем наверняка чтобы все "легально" - ну пожалуйста, гуглите, Jacarta U2F, продается официально, 1650р.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

74. Сообщение от Licha Morada (ok), 07-Ноя-19, 01:16   +/
>> Т.е. дать устройству "понюхать" рандомную карту
> какому устройству? ;-) Синяя фиговина - это просто кнопки и экран, у
> нее своего мозга нет вообще, это просто возможность как-то общаться с
> чипом карты.

Я о более минималистическом сценарии использования говорю. Оставить в покое синюю фиговину, и тыкать в стандартную читалку собственной банковской карточкой, в качестве ключа.
По идее, ничего секретного от карты не требуется, а просто добыть пруф что она это она.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #75

75. Сообщение от пох. (?), 07-Ноя-19, 10:41   +/
> и тыкать в стандартную читалку собственной банковской карточкой, в качестве ключа.

банковская карточка (оставляя в стороне особенности чипа) - банальная последовательность цифр и букв, совершенно от копирования не защищенная (если кто не в курсе - изначально вся система кредитных карт строилась исключительно на доверии, предполагалось, что потери от обмана будут незначительны, а заниматься этим должна полиция. Собственно, и по сей день много где ничего кроме цифр и букв не требуется для совершения сделки.)

С чипом все становится интересней, но читать спецификации - занятие на несколько месяцев, и не факт что нужные куски вообще в открытом доступе. Я уже говорил - я спрашивал инженеров, работающих с процессингом - они, к сожалению, оказались недостаточно в теме - слишком многое им перепадает в готовом виде, привинченное намертво к стойке и работающее неведомо каким образом. А найти тех, кто внедрял именно ту штуку с кодами - не удалось. Может их в подвале на чистых прудах замуровали живьем...

> По идее, ничего секретного от карты не требуется, а просто добыть пруф что она это она.

тебе нужен _неподделываемый_ пруф. Который ни второй раз использовать нельзя, ни имитировать. Так что очень даже требуется. Вполне себе взрослая криптография, и вряд ли простая.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #76

76. Сообщение от Licha Morada (ok), 07-Ноя-19, 21:36   +/
>> По идее, ничего секретного от карты не требуется, а просто добыть пруф что она это она.
> тебе нужен _неподделываемый_ пруф. Который ни второй раз использовать нельзя, ни имитировать.

Это в принципе достижимо, не требуя от карты раскрытия никакого секрета. Грубо:

Я: Карта, скажи-ка свой публичный ключ.
Карта: 12345678
Я: (сравниваю с ключом который она мне давала, когда мы знакомилисть) Узнаю брата Колю. Подпиши-ка мне своим секретным ключём вот эту рандомную последовательность: 44444444.
Карта: AABBCCDD
Я: (проверяю, соответсвтвует ли цифровая подпись публичному ключу, который мне знаком) Ты не пройдёшь!
Карта: Тогда AABBCCZZ
Я: (проверяю ещё раз) Дракарис! (если другой фактор аутентификации указан правильно, то пугаюсь, добавляю источник в бан и шлю себе алерт что другой фактор и данные карты утекли)

(Обмен данными с платёжным терминалом происходит несколько иначе, вульгаризацию можно посмотреть, например, здесь: http://brianchang.info/2016/03/19/chip-card-basics.html)

С магнитной картой такой обмен не получится, она, действительно, копируются ОЧЕНЬ легко. Однако, я думал что с чипованной банковской картой можно побеседовать об ассимитричной криптографии. Я неправ?

Абсолютною неподделываемость отбросим. А тот уровень трудоёмкости подделывания чипа, который устраивает современные банки, мне кажется, устроит и меня. Тем более что карта будет не единственным фактором аутентификации, а вторым. И выбираем не между чипованной картой и супер-мега-секюрным токеном, а между паролем+ничего и паролем+смарткарта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #77

77. Сообщение от пох. (?), 07-Ноя-19, 23:04   +/
> Однако, я думал что с чипованной банковской картой можно побеседовать об ассимитричной
> криптографии. Я неправ?

прав, оно примерно такое и есть - но с ньюансами. Вот в том плане, что для подключения карты никакие коды не спрашивают. А значит - что-то знают заранее, и это что-то становится известно еще при ее выпуске. Можно ли это что-то спросить у карты постфактум - неизвестно. (то есть не зашифровано ли оно чисто так случайно ключиком visa inc прямо в процессе генерации)

Открытые ли это протоколы и криптография - неизвестно.

Возможно, ответ действительно лежит где-то неглубоко на emvco.com, но лично я не готов копать - слишком мал шанс на успех.

А насчет неподделываемости - все хорошо. В приличных странах zero liability. То есть visa inc отвечает собственными деньгами за любые операции с подделанными картами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #78

78. Сообщение от Licha Morada (ok), 08-Ноя-19, 00:37   +/
>> Однако, я думал что с чипованной банковской картой можно побеседовать об ассимитричной
>> криптографии. Я неправ?
> прав, оно примерно такое и есть - но с ньюансами. Вот в
> том плане, что для подключения карты никакие коды не спрашивают. А
> значит - что-то знают заранее, и это что-то становится известно еще
> при ее выпуске. Можно ли это что-то спросить у карты постфактум
> - неизвестно. (то есть не зашифровано ли оно чисто так случайно
> ключиком visa inc прямо в процессе генерации)

"Им" не требуется ничего спрашивать у карты при подключении, потому что публичный ключ который предъявляет карта при хэндшейке, подписан банком эмитентом или кем-то доверенным в тусовке. Это только кустарю пришлось бы сверяться, тот ли это ключ который карта показывала в прошлый раз, или нет, оверхед не критичный.

> Возможно, ответ действительно лежит где-то неглубоко на emvco.com, но лично я не
> готов копать - слишком мал шанс на успех.

Спасибо за наводку.

> А насчет неподделываемости - все хорошо. В приличных странах zero liability. То
> есть visa inc отвечает собственными деньгами за любые операции с подделанными
> картами.

Вот и у меня интерес, на халяву использовать токен, за безопасность которого Visa готова ответить собственными деньгами.
В описании моего ридера https://datasheet.lcsc.com/szlcsc/Alcor-Micro-AU9540_C126997... написанно>
> The AU9540 supports multiple  international  standards  including
> ISO7816  for  IC  card  standard,  PC/SC  2.0  for  windows  smart
> card  standard,  Microsoft  WHQL,  EMV  for  Europay  MasterCard
> Visa  standard  and  USB-IF  CCID  standard.  The  application  of
> AU9540  can  be  generally  applied  to  Smart  Card  read/write
> terminal  device,  such  as  ATM,  POS  terminal, Public telephone,
> E-Commerce, personal consumption on Internet, personal certification,
> prepay system, loyalty system...etc.

pcsc_scan мою банковскую карту видит...
>[оверквотинг удален]
>   Card state: Card removed,
>    
> Thu Nov  7 15:33:00 2019
>  Reader 0: Alcor Micro AU9560 00 00
>   Card state: Card inserted,
>   ATR: ...
> ...
> Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
> ...
>     USAA EMV Mastercard Creditcard (Bank)

Всё, ушёл играться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

79. Сообщение от Аноним (79), 08-Ноя-19, 21:13   +/
Многие забывают что логин - это ТОЖЕ секрет, ничуть не меньше чем пароль.

логин - раз, пароль - два = Двухфакторная Аутентификация.  :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #81

80. Сообщение от Fedd (ok), 09-Ноя-19, 03:11   +/
На yubikey вроде можно было и так записать ssh ключ вместе с pgp
Ответить | Правка | Наверх | Cообщить модератору

81. Сообщение от Аноним (81), 13-Ноя-19, 20:51   +/
Офигеть секрет, который обычно знают как минимум сослуживцы или члены семьи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру