The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.05.2017 09:49  Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне

Представлен проект Kryptonite, предлагающий хранить закрытые ключи SSH на смартфоне, вместо размещения в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей - ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется в исходных текстах, но лицензия на код пока не определена.

Kryptonite может рассматриваться как подобие двухфакторной аутентификации для доступа к SSH-ключам. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая операция с ключом требует явного подтверждения на смартфоне.

Так как ключи хранятся отдельно, они не привязаны к локальным системам и один ключ можно использовать с разных компьютеров. С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС рабочей станции в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере). Весь обмен данными между ssh-агентом и мобильным приложением передаётся в зашифрованном виде, для шифрования и аутентификации используется библиотека libsodium.

Процесс работы с Kryptonite выглядит следующим образом: На локальных системах устанавливается пакет с ssh-агентом kr, а на смартфоны специальное приложение. Далее запускается процесс сопряжения мобильного приложения и рабочих станций пользователя. Сопряжение сводится к выполнению в терминале на рабочей станции команды "kr pair", которая приводит к отображению QR-кода. Пользователь фотографирует мобильным приложением этот QR-код, после чего Kryptonite генерирует пару SSH-ключей, сессионные ключи для аутентификации рабочей станции и устанавливает канал связи с агентом. Обмен данными между агентом и смартфоном может производиться по Bluetooth или шифрованному каналу поверх TCP/IP (применяются сервисы AWS SQS и AWS SNS). Далее при каждом использовании SSH на сопряжённой рабочей станции на смартфоне выводится уведомление и требование подтвердить вход.

На смартфоне в iOS ключ хранится в iOS Keychain и генерируется на базе 4096-разрядных ключей RSA в реализации Apple iOS Security Framework или на базе Ed25519 в реализации libsodium. В Android ключи сохраняются в аппаратно изолированном хранилище ключей Android Keystore и генерируются в виде 3072-разрядных ключей RSA. Android Keystore выступает в роли чёрного ящика, из которого ключи не могут быть извлечены, в том числе самим Kryptonite. При поступлении запроса по SSH, Android Keystore генерирует цифровую подпись при помощи сохранённого ключа и возвращает результат. В случае утери или кражи смартфона достаточно удалить привязанные к нему открытые ключи из всех своих учётных записей и заменить на новые открытые ключи, сгенерированные на новом смартфоне.

  1. Главная ссылка к новости (https://blog.krypt.co/the-end-...)
  2. OpenNews: Выпуск Mosh 1.3, альтернативы SSH
  3. Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
  4. Двухфакторная аутентификация SSH с использованием YubiKey
  5. OpenNews: Реализация чата на основе SSH. Предложения по расширению области применения SSH
  6. OpenNews: Представлен новый защищённый SSH-сервер TinySSH
Лицензия: CC-BY
Тип: Программы
Ключевые слова: kryptonite, ssh, ssh-agent
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, ОлдФак, 10:32, 04/05/2017 [ответить] [смотреть все]
  • +31 +/
    Ага, закрытые ключи на смартфоне. А смартфон их при любом удобном случае - дядям Сэмам.
    Молодцы!
     
     
  • 2.59, XXX, 14:06, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +8 +/
    "Может им еще и ключи от сервера где деньги лежат?" (с)
     
     
  • 3.73, DmA, 15:40, 04/05/2017 [^] [ответить] [смотреть все]
  • –1 +/
    у вас есть способ передавать ключи со смартфона не размещая их там Они всё равн... весь текст скрыт [показать]
     
     
  • 4.77, _, 16:09, 04/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Так и не размещай их _там_ Д,Б Да сервера иногда ломают Но, таки - да, телефо... весь текст скрыт [показать]
     
     
  • 5.82, DmA, 16:25, 04/05/2017 [^] [ответить] [смотреть все]  
  • –5 +/
    Мне кажется это фича TCP протокола, всегда есть возможность взломать систему ... весь текст скрыт [показать]
     
     
  • 6.119, Аноним, 21:16, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Вы хотите поговорить о том, что Вам кажется ... весь текст скрыт [показать]
     
     
  • 7.136, DmA, 08:24, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    а я всегда только об этом и говорю ... весь текст скрыт [показать]
     
  • 5.158, Аноним, 15:11, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Это всё Ротшыльды, сцу..
     
  • 1.2, Аноним, 10:33, 04/05/2017 [ответить] [смотреть все]  
  • +17 +/
    >С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере).

    По-моему, хипстота снова пытается всех обмануть.
    Не кажется ли вам, что подобный trade-off не в пользу мобильного приложения?

     
     
  • 2.95, Аноним, 17:52, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Ещё какая https avatars3 githubusercontent com u 1348691 https avatars2 git... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 10:37, 04/05/2017 [ответить] [смотреть все]  
  • +11 +/
    В этой новости не хватает ссылок на тестирование безопасности android приложений...
     
     
  • 2.8, Аноним, 10:57, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –11 +/
    Технологии защиты в Android на порядок лучше SELinux, sandbox-изоляция, идентиф... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, tstalker, 11:20, 04/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Подавляющее большинство целевой аудитории пользователей смартфонов разбираются в... весь текст скрыт [показать]
     
  • 3.11, rob pike, 11:26, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    В стационарных системах отсутствует, например, broadband модуль, на котором крут... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 12:20, 04/05/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.

    Это не так, последние 10 лет cpu без подобного модуля не запускаются, см.
    https://libreboot.org/faq.html#intel
    https://libreboot.org/faq.html#amd

     
     
  • 5.56, Ivan_83, 13:56, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Только разница в том, что для работы МЕ нужна её встроенная сетевушка АМД же св... весь текст скрыт [показать]
     
     
  • 6.68, Аноним, 15:13, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Спорное утверждение Кто там выдаёт разрешения на продажу сетевух А где заводы ... весь текст скрыт [показать]
     
  • 4.76, Аноним, 16:08, 04/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Ко всему он доступа не имеетпри наличии IOMMU в девайсе ... весь текст скрыт [показать]
     
     
  • 5.139, фф, 09:48, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет iommu это не про то Это только виртуальное адресное пространство io Вся м... весь текст скрыт [показать]
     
  • 3.14, Аноним, 11:42, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Поэтому там постоянно находят новые вирусы чуть ли не каждый день То деньги вым... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 11:51, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Пруф какой-нибудь что ли.
     
     
  • 5.24, Аноним, 12:21, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    https www cnet com news malware-from-china-infects-over-10-million-android-use... весь текст скрыт [показать]
     
     
  • 6.138, DmA, 09:17, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    точно снёс Может она только делает вид, что удалилась ... весь текст скрыт [показать]
     
     
  • 7.143, Аноним, 11:15, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Лол, она как системная была Я ещё заодно всякие гуглофремворки и прочее снёс А... весь текст скрыт [показать]
     
  • 6.160, Аноним, 15:23, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Этот весёлый мир китайского андроида.


     
  • 4.25, Аноним, 12:24, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Эти вирусы атакуют пользовательскую ОС, к Android Keystore они доступа не имеют ... весь текст скрыт [показать]
     
     
  • 5.57, Аноним, 14:03, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Есть куча уязвимостей помогающих получить рут на девайсах Не веришь Погугли Т... весь текст скрыт [показать]
     
     
  • 6.121, Аноним, 23:50, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Причём тут root Android Keystore недоступен для чтения, у него нет такой функци... весь текст скрыт [показать]
     
     
  • 7.144, Аноним, 11:16, 05/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты очень наивный падаван Через ядро можно прочитать всё что угодно А эксплойто... весь текст скрыт [показать]
     
     
  • 8.151, пох, 13:32, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    ну ставься на ипхон - там не все в андроиде keystore - _программный_ механизм, ... весь текст скрыт [показать]
     
  • 6.154, Аноним, 13:54, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Да, kingroot называется Но я буду вам признателен, если вы поделитесь ссылкой н... весь текст скрыт [показать]
     
  • 4.51, Аноним, 13:46, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Какие вирусы Фонарик, которые запришивает пермишен на отправку смс Самая основ... весь текст скрыт [показать]
     
     
  • 5.61, Аноним, 14:07, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Огоспаде, да окуда вы такие берётесь Тролль или правда не понимаешь Ты доверяе... весь текст скрыт [показать]
     
     
  • 6.72, Аноним, 15:26, 04/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Это если речь про ядерные блобы На практике на многих девайсах уже активирован ... весь текст скрыт [показать]
     
     
  • 7.75, Аноним, 15:54, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну анон выше писал, что рут можно легко получить на почти всех девайсах Так что... весь текст скрыт [показать]
     
  • 6.123, Аноним, 00:00, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Почему тебе лень кликнуть на ссылку в новости и узнать наконец что такое Android... весь текст скрыт [показать]
     
     
  • 7.145, Аноним, 11:19, 05/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Слушай, ты наивный Доступ ядра есть Есть Всё Можно прочитать Кстати, судя ... весь текст скрыт [показать]
     
     
  • 8.152, пох, 13:40, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    в случае чипа с tpm - нету Только через апи и только на чтение Сами ключи не ч... весь текст скрыт [показать]
     
  • 6.161, Аноним, 15:28, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    От СОРМ он поможет ... весь текст скрыт [показать]
     
  • 3.26, Аноним, 12:25, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Научи без получение рута на девайсе Почему то при всех этих технологиях зашиты ... весь текст скрыт [показать]
     
  • 3.40, wins proxy, 13:20, 04/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    В типичном Android-смартфоне куча уязвимостей, закрывать которые вендор и не соб... весь текст скрыт [показать]
     
  • 3.55, Ivan_83, 13:56, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Только вот доверия вендорам нет, да и дырок много.
     
  • 3.137, DmA, 09:14, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    и да и нет Частично Selinux изоляция всё это давно есть в Линукс на десктопе ... весь текст скрыт [показать]
     
     
  • 4.162, Аноним, 15:32, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    На винде Это ты сам придумал Нет, конечно технически это можно, но Ну ладно,... весь текст скрыт [показать]
     
  • 1.4, YetAnotherOnanym, 10:43, 04/05/2017 [ответить] [смотреть все]  
  • –1 +/
    Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.
     
     
  • 2.27, Аноним, 12:26, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А если недалеко от вышки Антенна даже не понадобится Как минимум, выпаять ради... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.89, Аноним, 17:34, 04/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Угу, выпилить из чипа лобзиком.
     
  • 3.120, Аноним, 22:43, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Смарт в шапочке из фольги!
     
  • 2.163, Аноним, 15:36, 05/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А также вынуть батарею и забросить её в пруд с утятами Для 100 гарантии надёжн... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 10:47, 04/05/2017 [ответить] [смотреть все]  
  • +3 +/
    >которая приводит к отображению QR-кода

    Как узнать хипстоту...

     
  • 1.6, annonim, 10:50, 04/05/2017 [ответить] [смотреть все]  
  • +3 +/
    > систему хранения закрытых ключей SSH на смартфоне

    /0

     
  • 1.7, Анончик, 10:56, 04/05/2017 [ответить] [смотреть все]  
  • +4 +/
    Я конечно хипстота, но это уже перебор.
     
     
  • 2.13, Аноним, 11:38, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +14 +/
    Ты не хипстота. Быть хипстотой - это мейнстрим, а хипстер никогда не признает себя мейнстримщиком. Позер!
     
     
  • 3.132, Анони, 02:02, 05/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Как там дела в 2012ом?
     
     
  • 4.164, Аноним, 15:37, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > в 2012ом?

    2k12 - так пиши.


     
  • 3.141, Аноним, 10:37, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    так эти челки носили, те что сейчас про бритвы не знают
     
     
  • 4.165, Аноним, 15:38, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Резали чёлки бритвами Себе или окружающим ... весь текст скрыт [показать]
     
  • 1.12, rob pike, 11:28, 04/05/2017 [ответить] [смотреть все]  
  • +2 +/
    > Обмен данными между агентом и смартфоном может производиться по Bluetooth

    Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже похоже на что-то полезное.

     
     
  • 2.17, anonimus, 11:48, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    в виде наручных часов, не имеющих портов, пожалуй было бы самое оно
     
     
  • 3.21, Crazy Alex, 12:00, 04/05/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    это уже явно перебор учитывая неизбежную маргинальность такой железки - порты н... весь текст скрыт [показать]
     
  • 2.166, Аноним, 15:41, 05/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Согласен http herocollector com Content ArticleImages communicator jpg ... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 11:45, 04/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Чем это лучше ключа на зашифрованной флэшке?
     
     
  • 2.19, пох, 11:55, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    тем что с флэшки его могут спереть плохие ребята, когда ты этой флэшкой воспольз... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, music, 12:26, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а смартфон можно уронить, утопить, как от этого спастись а, ну да синхронизация... весь текст скрыт [показать]
     
     
  • 4.49, пох, 13:43, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    здесь это трейдоф, понятный - можно остаться без ключей, но их не сопрет просто ... весь текст скрыт [показать]
     
  • 2.33, Аноним, 12:44, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тем, что слямзить можно дистанционно, пользователь даже не догадаетя А расшифро... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 11:58, 04/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Чем он лучше езопасных тайм ключей QR от Google Authenticator?
     
     
  • 2.32, Crazy Alex, 12:43, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?
     
     
  • 3.53, пох, 13:51, 04/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    и где она, нормальная -то _нормальная_ - self hosted, а не в гугле Желательно ... весь текст скрыт [показать]
     
     
  • 4.66, Ergil, 14:48, 04/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Чувак, я тебе открою тайну, никому не говори Google Authenticator нигде не хост... весь текст скрыт [показать]
     
     
  • 5.86, пох, 17:17, 04/05/2017 [^] [ответить] [смотреть все]  
  • –6 +/
    чувак, я тебе открою другую тайну это тред об аутентификации на собственные сер... весь текст скрыт [показать]
     
     
  • 6.97, Crazy Alex, 17:58, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ёк Ты вообще что такое TOTP знаешь или со скуки влез туда, о чём вообще не в ку... весь текст скрыт [показать]
     
     
  • 7.98, пох, 18:08, 04/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    что такое - знаю Как реализовано - не знаю и знать не хочу Вот эта чудесная хн... весь текст скрыт [показать]
     
     
  • 8.103, Crazy Alex, 18:28, 04/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну вот залезь в описание и в исходники при желании и не неси чушь Стандарты о... весь текст скрыт [показать]
     
     
  • 9.107, пох, 18:45, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    желания нет - поверю на слово Это, мягко говоря, не та технология, которой я хо... весь текст скрыт [показать]
     
  • 8.113, Аноним, 19:13, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Возьми исходники и посмотри Не хочешь ковыряться в ведроид-помойке 8212 хотя... весь текст скрыт [показать]
     
  • 2.36, Аноним, 12:53, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Ты продумал защиту от брутфорса Шесть цифр легко подобрать ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, КЭП, 13:08, 04/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Ты подумал об ограничении на количество неверных вводов, умник?
     
     
  • 4.43, Аноним, 13:25, 04/05/2017 [^] [ответить] [смотреть все]  
  • –5 +/
    Умник - это попытка оскарбить - Без защиты от брутфорса требуется три дня чт... весь текст скрыт [показать]
     
     
  • 5.91, Аноним, 17:38, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Кому нужны твои шесть цифр через три дня, если они меняются каждые 30 секунд ... весь текст скрыт [показать]
     
     
  • 6.124, Аноним, 00:38, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Более того, как ты собрался проверять пароль трёх дневной давности Подбирают те... весь текст скрыт [показать]
     
  • 5.133, Аноним, 04:11, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Оскарбить - наделить, снабдить скарбом, каким-л имуществом, то же, что одарит... весь текст скрыт [показать]
     
     
  • 6.157, Аноним, 15:06, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    У тебя кавычки не верные, в русском языке используют 171 ёлочки 187 или 82... весь текст скрыт [показать]
     
     
  • 7.186, Аноним, 02:37, 09/05/2017 [^] [ответить] [смотреть все]  
  • +/
    «французские так-то»
     
  • 3.42, Аноним, 13:24, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    sshguard и плюс защита самой rate-limit в google PAM
     
     
  • 4.45, Аноним, 13:33, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним IP... весь текст скрыт [показать]
     
     
  • 5.50, Аноним, 13:46, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    В последнем OpenSSHd уже встроен rate-limit на уровне ip ... весь текст скрыт [показать]
     
     
  • 6.63, Аноним, 14:17, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А чем он лучше sshguard Он так же заблокирует и админа, если он в одной подсети... весь текст скрыт [показать]
     
  • 3.46, Аноним, 13:33, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Удачно вам перебрать брутфорсом Time-based One Time Password.
     
     
  • 4.62, Аноним, 14:13, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    На угадывание шести цифр TOTP требуется три дня ... весь текст скрыт [показать]
     
     
  • 5.83, Crazy Alex, 17:06, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Как считали?
     
     
  • 6.125, Аноним, 00:40, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > Как считали?

    https://sakurity.com/otp

     
     
  • 7.148, Аноним, 12:54, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Там же описано лекарство Simply lock the account after 10 failed attempts and a... весь текст скрыт [показать]
     
     
  • 8.159, Аноним, 15:12, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ага, автор предложивший Google Authenticator об этом не упомянул, поэтому я уточ... весь текст скрыт [показать]
     
  • 5.84, Crazy Alex, 17:08, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Хотя в любом случае - если что-то лупит попытками входа с верным ключом и кривым... весь текст скрыт [показать]
     
     
  • 6.87, пох, 17:21, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    ну и что мне делать с этим письмом - распечатать и на йолку повесить К тому же... весь текст скрыт [показать]
     
     
  • 7.96, Crazy Alex, 17:56, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    с десяток попыток с верным ключом Соответственно, что делать - понятно - дёргат... весь текст скрыт [показать]
     
     
  • 8.99, пох, 18:11, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    ну и - я под елкой, интернет где-то далеко, ключ утек - то ли через поломанную м... весь текст скрыт [показать]
     
     
  • 9.102, Crazy Alex, 18:23, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну у вас же есть какая-то тактика на случай, если ключи утекли - по какой-либо п... весь текст скрыт [показать]
     
     
  • 10.106, пох, 18:42, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    нету Ну в смысле, я не храню и не использую ключи там, где они могут утечь или... весь текст скрыт [показать]
     
     
  • 11.108, Crazy Alex, 18:51, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну так 2FA как раз и есть для случая я не храню и не использую ключи там, где о... весь текст скрыт [показать]
     
     
  • 12.111, пох, 19:04, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    так в оригинале было не про 2FA, а про просто замену гуглем этой вот чудо-хрени ... весь текст скрыт [показать]
     
     
  • 13.130, Crazy Alex, 01:11, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Э я не думаю, что кто-то в здравом уме будет это использовать как единственны... весь текст скрыт [показать]
     
  • 3.69, Ergil, 15:13, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Что ты брутфорсить собрался Шестизначное число меняющееся каждые 30 секунд Да ... весь текст скрыт [показать]
     
     
  • 4.126, Аноним, 00:48, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    fail2ban это хороший способ заблокировать вход администратору :-)
     
     
  • 5.128, Укпшд, 00:56, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Используя только ключи невозможно ошибиться в пароле или еще каким-то образом до... весь текст скрыт [показать]
     
     
  • 6.168, _, 16:31, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну то есть то, что местные называют Jump-server Ок Детский вопрос - а с какого... весь текст скрыт [показать]
     
  • 6.178, пох, 00:48, 06/05/2017 [^] [ответить] [смотреть все]  
  • +/
    только ключи - да, но тут же ж их объявили ненадежными и жаждут гугле-отп, он вп... весь текст скрыт [показать]
     
  • 1.22, Аноним, 12:02, 04/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Улыбка с утра.)
    Однако, и ведь попрёт в "массы".
     
     
  • 2.29, gogo, 12:29, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это - бред.
     
     
  • 3.90, пох, 17:34, 04/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    это такой телнет, только модный, да ... весь текст скрыт [показать]
     
  • 1.30, evkogan, 12:33, 04/05/2017 [ответить] [смотреть все]  
  • +2 +/
    Идея носить всегда с собой закрытые ключи и контролировать каждое их использование хороша. Но использовать для этого смартфон...
    Вот если это отдельное устройство, да еще и вообще без блобов, в том числе в прошивках, а еще лучще openHW. Но еще и дешевое для массового потребителя и хоть минимально симпатичное (все же все время с собой таскать), то да идея интересная.
     
     
  • 2.34, Crazy Alex, 12:46, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну, смотря на сколько нужно open, но на современных мк должно быть крайне дёшево... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.100, пох, 18:15, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ну, товарищу, вероятно, не нравится gpu-загрузка модных одноплаток и странные вы... весь текст скрыт [показать]
     
     
  • 4.105, Crazy Alex, 18:35, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    https www seeedstudio com FST-01-without-Enclosure-p-1276 html или https ww... весь текст скрыт [показать]
     
     
  • 5.109, пох, 18:55, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    э ну и кто допилит Раз недорого - это,кстати, сколько - я может в очередь з... весь текст скрыт [показать]
     
     
  • 6.131, Crazy Alex, 01:57, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, я подумываю потихоньку, но торговать бы пытаться не стал, вот на гитхаб выва... весь текст скрыт [показать]
     
     
  • 7.155, пох, 14:02, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    разные, да - зачем мне еще одна убиквити, только не умещающаяся на кольце с ключ... весь текст скрыт [показать]
     
     
  • 8.170, Crazy Alex, 16:55, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Защита от физического доступа - это та песня, которую я петь не умею, а делать п... весь текст скрыт [показать]
     
     
  • 9.179, пох, 01:02, 06/05/2017 [^] [ответить] [смотреть все]  
  • +/
    так это логический доступ - тупо шифруем пином что-то ценное, и после третьей не... весь текст скрыт [показать]
     
     
  • 10.184, Crazy Alex, 13:54, 06/05/2017 [^] [ответить] [смотреть все]  
  • +/
    С моей точки зрения - уж больно невелика разница между взять и пин потыкать и ... весь текст скрыт [показать]
     
  • 5.110, Аноним, 18:56, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    еще как дорого, такую штуку можно продать за 15-25 потолок, если больше то уже ... весь текст скрыт [показать]
     
     
  • 6.112, пох, 19:07, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    за штуку, которая на фотке выше за полную реализацию, а не за сами кнопки - ... весь текст скрыт [показать]
     
     
  • 7.115, Аноним, 20:15, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    вас таких которые по 500 готовы заплатить тысяча ну может две три на всей земле... весь текст скрыт [показать]
     
     
  • 8.116, пох, 20:41, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    ну, во-первых больше - если оно вдруг хорошее, то корпоративные заказы подтянутс... весь текст скрыт [показать]
     
  • 6.185, Crazy Alex, 14:16, 06/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Если нет уж настолько денег на железку - значит, защищать нечего Хотя если не б... весь текст скрыт [показать]
     
     ....нить скрыта, показать (14)

  • 1.31, Аноним, 12:36, 04/05/2017 [ответить] [смотреть все]  
  • +/
    Нет, спасибо, не надо Дураков нет PS Хипстеры, запилите хранение ключей в обла... весь текст скрыт [показать]
     
     
  • 2.35, Crazy Alex, 12:47, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    уже было, вроде
     
  • 2.81, Аноним84701, 16:24, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Типа https privacy microsoft com en-us privacystatement ... весь текст скрыт [показать] [показать ветку]
     
  • 2.92, Аноним, 17:43, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    По ссылкам не ходил Они это и предлагают, только уже за бабло ... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, Нанобот, 13:00, 04/05/2017 [ответить] [смотреть все]  
  • –3 +/
    тю, хорошая идея же
    непонятно, чего нытики/параноики так возбудились
     
     
  • 2.44, Аноним, 13:27, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.
     
     
  • 3.64, Аноним, 14:21, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Вирус не имеет доступа к Android Keystore ... весь текст скрыт [показать]
     
     
  • 4.80, _, 16:24, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Он и к ядру шиндафс доступа не имеет, а вот поди ж ты :)
     
     
  • 5.127, Аноним, 00:52, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ядро это программное решение, а keystore 8212 аппаратное, но зависит от реали... весь текст скрыт [показать]
     
  • 1.41, Аноним, 13:21, 04/05/2017 [ответить] [смотреть все]  
  • +/
    Сначала надо убедиться, что этот самый смартфон имеет большую защиту Сейчас поч... весь текст скрыт [показать]
     
     
  • 2.47, Аноним, 13:35, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без гугл ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.74, Анониим, 15:43, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > fdroid

    Это ещё под вопросом

     
     
  • 4.85, Crazy Alex, 17:11, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Чем именно он не устроил?
     
  • 3.149, Аноним, 12:56, 05/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    И без ГСМ-модуля, ага ... весь текст скрыт [показать]
     
  • 1.48, Anonplus, 13:42, 04/05/2017 [ответить] [смотреть все]  
  • +/
    Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.

    Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/), которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

    Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно зашифрована и синхронизируется через любое облачное хранилище.

     
     
  • 2.65, Аноним, 14:27, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    По какому протоколу ... весь текст скрыт [показать] [показать ветку]
     
  • 2.93, Аноним, 17:46, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это ж сколько костылей вместо родного шифрования ключей и ssh-agent ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.104, пох, 18:32, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    это не костыли, разумная предосторожность - родное шифрование ключей упирается... весь текст скрыт [показать]
     
     
  • 4.122, Аноним, 23:58, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Использую длинный Набираю раз в день Попробуй, дотянись Не знаю, расшифровыва... весь текст скрыт [показать]
     
     
  • 5.156, пох, 14:14, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    один на все ключи разом, или ключ один на все сервера По-моему, так себе идея ... весь текст скрыт [показать]
     
     
  • 6.169, _, 16:53, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Точно также как в твоём сохранижопие Один на все ключи ... весь текст скрыт [показать]
     
     
  • 7.175, пох, 22:07, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    ну и вот чем тогда оно лучше, кроме того что в памяти все ключи разом и в раскры... весь текст скрыт [показать]
     
  • 6.182, Аноним, 11:12, 06/05/2017 [^] [ответить] [смотреть все]  
  • +/
    У тебя для каждого сервера отдельный ключ со своим паролем Ты админишь два серв... весь текст скрыт [показать]
     
  • 4.129, Аноним, 00:59, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен рут и доступ... весь текст скрыт [показать]
     
     
  • 5.153, пох, 13:48, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    если у тебя есть доступ к сокету - тебе не очень нужен ключ, агент за тебя проде... весь текст скрыт [показать]
     
     
  • 6.171, _, 16:57, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    1 Угу А чтобы хакнуть юзера - надо как то выудить его ключ goto 1 ... весь текст скрыт [показать]
     
     
  • 7.176, пох, 22:10, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    зачем тебе его ключ, мы ж локальную сторону хакаем Предположим, уже Тырить фай... весь текст скрыт [показать]
     
     ....нить скрыта, показать (12)

  • 1.52, Аноним, 13:51, 04/05/2017 [ответить] [смотреть все]  
  • +2 +/
    Кто-нибудь, научите их записывать ключи на бумажке
     
     
  • 2.54, пох, 13:53, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    сперва верните мне мой монитор, с приклеенными бумажками ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, Майор Домушник, 14:07, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Выпиленную дверь уже вернули?
     
     
  • 4.88, пох, 17:23, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    кто писал на ней пароли - сам виноват все нормальные люди делают ЭТО на монитор ... весь текст скрыт [показать]
     
     
  • 5.167, Аноним, 15:55, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    А у вас ещё какие-то маленькие куколки есть же Вы на них это тоже ведь делаете ... весь текст скрыт [показать]
     
  • 1.58, F, 14:06, 04/05/2017 [ответить] [смотреть все]  
  • +/
    А если телефон надо сменить? А в том числе с IOS на Android или наоборот?
     
     
  • 2.94, Аноним, 17:48, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через обла... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.101, пох, 18:22, 04/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    д лы, б Учиться им у ms еще сто лет, и так ничему и не научиться Надо было - ... весь текст скрыт [показать]
     
  • 1.67, vitalif, 14:48, 04/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Не надо мне этих чудес DRM для хранения моих ключей... сам потом не достанешь, а гугл достанет.
     
  • 1.79, CHERTS, 16:21, 04/05/2017 [ответить] [смотреть все]  
  • –1 +/
    Идея интересная, но ничерта не работает на Debian 8.4
     
  • 1.114, IZh., 19:50, 04/05/2017 [ответить] [смотреть все]  
  • +5 +/
    Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю больше, чем телефону на андроиде. Даже банально потому, что у андроида кодовая база больше. Если на компе не иметь открытых портов (ну или по минимуму), то какие способы проникновения на комп остаются? По ssh вряд ли. Если только в почтовом клиенте баг или в браузере.

    А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) -- больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к тому же, обожают лезть на свои серверы (https://www.opennet.ru/opennews/art.shtml?num=46472).Опять-таки, многие производители телефонов годами систему не обновляют при десятках известных CVE (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления выходят постоянно.

    И вот на этом вот предлагается хранить ключи?..

     
     
  • 2.117, Аноним, 20:42, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    спасибо, что чётко и понятно выразили 98 моих опасений по поводу сего поделия ... весь текст скрыт [показать] [показать ветку]
     
  • 2.118, пох, 20:54, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    там как бе основная фишка - крипто-дивайс У тебя в обычном линуксном компе тако... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.146, IZh., 11:33, 05/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Чем криптодевайс поможет при получении удалённого доступа к устройству, и аутент... весь текст скрыт [показать]
     
     
  • 4.150, пох, 13:11, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    тем что хотя бы работает только в это время А в случае получения удаленного ил... весь текст скрыт [показать]
     
     
  • 5.173, Аноним, 18:31, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    А что с ним не так Я серьёзно спрашиваю, может я не в курсе https access red... весь текст скрыт [показать]
     
     
  • 6.177, пох, 22:27, 05/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    04-19 - мгм баг всплыл в начале апреля в смысле, о нем уже все узнали, а суд... весь текст скрыт [показать]
     
  • 5.180, IZh., 01:34, 06/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А вы -- прекрасный образец задранного самомнения, любящий переходить на личности... весь текст скрыт [показать]
     
     
  • 6.181, пох, 03:22, 06/05/2017 [^] [ответить] [смотреть все]  
  • +/
    я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохр... весь текст скрыт [показать]
     
     
  • 7.183, IZh., 12:39, 06/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Мне бы в идеале один телефон Мы про обновления ядра У меня, например, VPS есть... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.140, Аноним, 10:34, 05/05/2017 [ответить] [смотреть все]  
  • +/
    Уж лучше Yubikey или аналоги чем это.
     
     
  • 2.142, Майор Домушник, 11:10, 05/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Yubikey нативно еще работает на macOS, Windows, Linux при логине.
     
  • 2.147, пох, 12:13, 05/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не лучше Во всяком случае, было пару лет назад, когда я его всерьез разглядывал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.172, _, 17:41, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ох, Ё! ... Дык ты из ЫкспЁрдов!
    А я балбес с тобой как с мужиком разговаривал :(

    Для остальных - да, не верьте ему, оно не в теме.
    Вот лучше _сами_ читайте, смотрите картинки и думайте:
    https://developers.yubico.com/U2F/Protocol_details/Overview.html

     
     
  • 4.174, нах, 20:44, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    действительно не в теме - я изучал вопрос в том самом 2014 на деле в 15м, но ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList