forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

В OpenSSH добавлена поддержка универсальной двухфакторной ау..., opennews (??), 03-Ноя-19, (0) [смотреть все]

Строго говоря, это все еще однофакторная аутентификация, т к из трех возможных , Аноним (1), 09:34 , 03-Ноя-19, (1) //

Строго говоря всем нужно владеть, что-бы иметь к этому доступ, свойством, знание, uchiya (ok), 10:02 , 03-Ноя-19, (4) //

Строго говоря Вам нужно больше читатьhttps ru wikipedia org wiki Многофакторна, ыы (?), 09:16 , 04-Ноя-19, (41) +3 //

Спасибо, почитал Значит все таки двух факторная знание - пароль, владение - ап, rshadow (ok), 12:16 , 05-Ноя-19, (58) +2

Да, она двухфакторная если задать пароль на ключ Но она точно такой же была в, Аноним (1), 16:05 , 05-Ноя-19, (63) +1
Многие забывают что логин - это ТОЖЕ секрет, ничуть не меньше чем пароль логин , Аноним (79), 21:13 , 08-Ноя-19, (79)

Офигеть секрет, который обычно знают как минимум сослуживцы или члены семьи , Аноним (81), 20:51 , 13-Ноя-19, (81)

Т е помимо самого токена владение нужен ещё пароль знание Не двухфакторная, nrndda (ok), 10:12 , 03-Ноя-19, (5) +1 //

пароль для закрытого ключа можно было задать и раньшетут, по сути, секретный клю, gogo (?), 12:46 , 03-Ноя-19, (14) +3 //

Вы просто путаете сами факторы с их конкретной реализацией Для компьютера любой, rshadow (ok), 12:24 , 05-Ноя-19, (59)

а, это те самые, в которых возможно есть бэкдор АНБ Почему не ed25519 , Аноним (2), 09:36 , 03-Ноя-19, (2) +10 //

Как говорится в хорошо поставленном вопросе уже содержится ответ У вас ответ во, Zlo (??), 09:59 , 03-Ноя-19, (3) +7
ed25519 - 126 бит если что Не считая того, что вероятно вообще эллиптическая кри, Ivan_83 (ok), 00:01 , 04-Ноя-19, (37) +1 //

не более чем RSAи есть еще изогении в кривых говорят постквантовые, но пока не в, хотел спросить (?), 01:01 , 04-Ноя-19, (38)

Пруф Бекдор был в Dual_EC_DRBG , h31 (ok), 01:03 , 04-Ноя-19, (39)
АНБ вам лично докладывает о своих бэкдорах На месте АНБ я бы пускал слухи о бэкд, Аноним (40), 07:08 , 04-Ноя-19, (40) +4

Надо попробовать эту фичу , Иван (??), 10:13 , 03-Ноя-19, (6) //

И остаться без доступа к серваку D, Грусть (?), 10:21 , 03-Ноя-19, (7) +1 //

Зря минусуете, эта модель угрозы должна быть учтена С секретного ключа можно сде, Licha Morada (ok), 21:22 , 04-Ноя-19, (51) +6

Дял этого сначала нужен аппаратный токен В РФ у нас продается Jacarta U2F за до, Kuromi (ok), 00:32 , 05-Ноя-19, (56) //

и гадать, в какой стране и на какой срок придется присесть Потому что это уже не, пох. (?), 12:55 , 06-Ноя-19, (67) //

Передергиваете Сам так покупал, на пакетике было написано USB Drive и никто не , Kuromi (ok), 15:34 , 06-Ноя-19, (69)

молодец, а я вчера у лоха ипхон десятый отжал - и, представляешь, не догнали Все, пох. (?), 21:59 , 06-Ноя-19, (72)

Это вам не ко мне, а на форум для чотких Ой-вэй, подскажите адрес ближайшего о, Kuromi (ok), 00:22 , 07-Ноя-19, (73)

А где шутки про FIDO , Аноним (8), 10:51 , 03-Ноя-19, (8) –1 //

Шутки про ФИДО начнутся после чебурахинга рунета , siu77 (ok), 11:01 , 03-Ноя-19, (10) +16

СМС , Аноним (9), 10:54 , 03-Ноя-19, (9) –3 //

письмо бумажное от гугла для верификации, Аноним (11), 11:17 , 03-Ноя-19, (11) +2 //

Шутки шутками, но в Германии многие конторы так и поступают Шлют бумажное письм, Denis (??), 12:12 , 03-Ноя-19, (13) +2 //

а то была не шутка, Аноним (11), 13:54 , 03-Ноя-19, (18) +1
А это и не шутка Гугл бумажные письма шлёт для подтверждения регистрации некото, Max (??), 14:24 , 03-Ноя-19, (20) +3

Был уязвим ещё в 2000х, есть и будет уязвим и далее по своей архитектуре, относи, Аноним (21), 14:45 , 03-Ноя-19, (21) +5 //

Из всего вами перечисленного никак не мешает быть самым популярным одним из мето, Аноним (22), 15:23 , 03-Ноя-19, (22) +1
Если в Великой России 63722 можно официально симки купить только по паспорту, , ВеликийРусский (?), 17:53 , 03-Ноя-19, (26) +2

Почему говоря о телефоне все циклятся на СМС 1 Телефон это такой же токен как , rshadow (ok), 12:38 , 05-Ноя-19, (60) //

Для этого не нужен сервер Есть FreeOTP , Owlet (?), 19:31 , 05-Ноя-19, (64)

Самое ненадежное в этой цепочке, ИМХО, - это ssh-agent Вешается очень уж часто, jOKer (ok), 11:59 , 03-Ноя-19, (12) –2 //

Это он вешается от темноты и от отчания одиночества в спящем ноуте , gogo (?), 12:48 , 03-Ноя-19, (15) +6
Не сказал бы что самое ненадёжное , но вектор многообещающий Для торянца, кото, Licha Morada (ok), 21:27 , 04-Ноя-19, (52) +1

Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяки, Аномномномнимус (?), 13:17 , 03-Ноя-19, (16) +1 //

Там вроде есть коды восстановления, которые предлагается сохранить на отдельном , Ананас (?), 13:26 , 03-Ноя-19, (17)
Если делать правильно - никак В смысле - единственный бэкап - это _еще_ одна , пох. (?), 22:09 , 03-Ноя-19, (30) –1 //

Ты не догоняешь как и с SSL, впрочем Это не о супер-безопасности Это об уд, Crazy Alex (ok), 22:45 , 03-Ноя-19, (33) +1 //

необходимость таскать за собой ненужно, каждый раз тыкать в usb-слот мало флэше, пох. (?), 23:30 , 03-Ноя-19, (35) –1

для не-тыкать в usb-слот они предусмотрели работу по bluetooth nfc Насчёт проч, Аноним (45), 14:09 , 04-Ноя-19, (45) +1

то есть совсем глючные и насквозь дырявые технологии, спасибоЯ спрашивал - а нор, пох. (?), 17:09 , 04-Ноя-19, (48)

И как сделать эту ещё одну железку , если в первой железке вроде как ключи не и, Аномномномнимус (?), 19:00 , 04-Ноя-19, (49) //

обратитесь к системному администратору, не В случае sshd - администратор я, и у , пох. (?), 12:57 , 06-Ноя-19, (68)

Что за гугловые 2FA , Аноним (50), 19:26 , 04-Ноя-19, (50)

На гитхабе кстати видел проектик u2f на stm32 Надо будет попробовать , Аноним (19), 13:55 , 03-Ноя-19, (19) //

Хоть бы ссылку дал, SOska (?), 15:25 , 03-Ноя-19, (24) +1 //

Так trezor же, разве нет , anonymous (??), 21:39 , 04-Ноя-19, (53)

И ниче что токены не open firmware, и кто дал гарантию что нет закладок на уровн, SOska (?), 15:24 , 03-Ноя-19, (23) //

Вот у этих open firmware https wiki trezor io U2FПо основному роду деятельнос, Crazy Alex (ok), 16:54 , 03-Ноя-19, (25) +2 //

товарищмайору очень нравится идея существования в нем какого-то универсального , пох. (?), 22:03 , 03-Ноя-19, (28) //

В мире крипты давно на опыте выяснили, что иметь один seed, который можно забэка, Crazy Alex (ok), 22:30 , 03-Ноя-19, (32) +2

вероятно, для кошелька это допустимо - потерять намайненные миллионы навсегда из, пох. (?), 23:17 , 03-Ноя-19, (34) –1

Спешите видеть, нонейм с опенета разносит BIP в пух и прах, вся криптоиндустрия , Аноним (42), 11:54 , 04-Ноя-19, (42)

Вот тоже облизываюсь подобную штуку приспособить, что-то уже выданное и использу, Licha Morada (ok), 21:44 , 04-Ноя-19, (54)

я готов заплатить, если не очень космических денег, в пределах, скажем, 2k, за , пох. (?), 11:31 , 06-Ноя-19, (66)

А нужен именно бланк Я думал, пофиг что карта уже кем-то прошита, единственное , Licha Morada (ok), 21:15 , 06-Ноя-19, (70)

для начала, полагаю, нужно где-то найти бывшего сотрудника втб24, имевшего отнош, пох. (?), 21:40 , 06-Ноя-19, (71)

Я о более минималистическом сценарии использования говорю Оставить в покое синю, Licha Morada (ok), 01:16 , 07-Ноя-19, (74)

банковская карточка оставляя в стороне особенности чипа - банальная последоват, пох. (?), 10:41 , 07-Ноя-19, (75)

Это в принципе достижимо, не требуя от карты раскрытия никакого секрета Грубо Я, Licha Morada (ok), 21:36 , 07-Ноя-19, (76)

прав, оно примерно такое и есть - но с ньюансами Вот в том плане, что для подкл, пох. (?), 23:04 , 07-Ноя-19, (77)

Им не требуется ничего спрашивать у карты при подключении, потому что публичны, Licha Morada (ok), 00:37 , 08-Ноя-19, (78)

что за проприетарная поделка со встроенными памятью всех операций и мастерключём, JL2001 (ok), 23:43 , 04-Ноя-19, (55)
Не ну ты опредились уже Мы от товарища майора бегаем, или самая _правильная_ ре, rshadow (ok), 12:47 , 05-Ноя-19, (61)

втб24 никогда государственным не был и товарищмайорам не принадлежал А нынешние , пох. (?), 11:17 , 06-Ноя-19, (65)

зачем вам закладки на уровне железа, когда они на уровне даже не алгоритма, а пр, пох. (?), 22:04 , 03-Ноя-19, (29)

Лет 10 лет назад уже можно было настроить 2FA или одноразовый пароль для доступа, Аноним (36), 23:39 , 03-Ноя-19, (36) +1
Как они бесятся - лишь бы люди хорошие пароли не ставили Вот скажите честно - вы, InuYasha (?), 12:43 , 04-Ноя-19, (43) //

хотел ответить в ветку про аппаратные токены смс пр , InuYasha (?), 12:45 , 04-Ноя-19, (44)
Не лучше 1 Мест, где унжны пароли, минимум десятки, и либо ты используешь хран, Аноним (45), 14:14 , 04-Ноя-19, (46) +3
окей, мальчик-с-феноменальной-памятью - сколько действительно хороших паролей ты, пох. (?), 14:15 , 04-Ноя-19, (47) +1 //

Пить надо меньше - память и появится Человек с ограниченными возможностями К, InuYasha (?), 11:24 , 05-Ноя-19, (57) –1

Снова гномоагент отвалится , Тудэма Сюдэма (?), 13:16 , 05-Ноя-19, (62)
На yubikey вроде можно было и так записать ssh ключ вместе с pgp, Fedd (ok), 03:11 , 09-Ноя-19, (80)

Сообщения [Сортировка по времени | RSS]

30. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." –1 +/–

Сообщение от пох. (?), 03-Ноя-19, 22:09

> Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяким гугловым 2FA
> и железкам,
Если делать правильно - никак. В смысле - единственный "бэкап" - это _еще_ одна железка, хранящаяся в сейфе где-то на другой планете - со своим, отдельным, ключом. Ну или технология сброса/enrollment'а другой железки - с предъявлением жопы, унитаза, скана паспорта и снимков сетчатки глаза тому, у кого есть физический доступ к сервису.
Весь смысл _правильной_ токенной защиты - что при утере токена он быстро, эффективно и необратимо превращается в тыкву, и уж тем более - никаких способов обхода его использования быть не должно.
А если твои данные ничего не стоят - зачем же ипстись? Пароль 123#e45 ни разу не подводил!

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

33. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +1 +/–

Сообщение от Crazy Alex (ok), 03-Ноя-19, 22:45

Ты не догоняешь (как и с SSL, впрочем). Это не о "супер-безопасности". Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения жизни юзера. Поэтому компромисс "безопасность/удобство" совсем другой - одна железка на все сайты (на сайт - ключику), автоматизированное взаимодействие по API, механизм восстановления. Никто в здравом уме не будет менять то, что уже есть (и более-менее работает) на менее удобные средства. А вот заменить ввод пароля на тычок на токене - это да, и проще и от "PasswordPassword" избавляемся (угу, оно и как единственный фактор работать может). А как второй фактор - это лучше, чем SMS? Всяко лучше. Лучше, чем TOTP и подобное? Лучше: а) сид никогда не ходит по сети, б) вводить ничего руками не надо.

Ответить | Правка | Наверх | Cообщить модератору

35. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." –1 +/–

Сообщение от пох. (?), 03-Ноя-19, 23:30

> Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения
> жизни юзера.
необходимость таскать за собой ненужно, каждый раз тыкать в usb-слот (мало флэшек погорело или порты пожгли от неаккуратного втыкания или просто из-за дешевой китайчатины внутри?) и ждать пока прочихается мега-супер-ненужно драйвер - это "без усложнения" ? А при ее потере и использовании в режиме "руками ничего вводить не надо" - васян получает все твои пароли и явки (а ты остаешься без).
месье понимает толк в извращениях.
Я, пожалуй, останусь при своем 123e#45 - он хотя бы точно не сдохнет и не останется в других штанах в неподходящий момент. А "секьюрить" тут тыквенная.
> А как второй фактор - это лучше, чем SMS?
удобнее, пожалуй, да - sms надо читать глазами и набирать руками. В остальном - похоже, еще большая дрянь. Подделка симки - это все же криминал, поймают - могут и закрыть. Кража/мягкий или жесткий отжим бессмысленной последовательности цифирок или подделка токена вместе с цифирками - детская игра в крысу.
> Лучше: а) сид никогда не ходит по сети,
значит ходит его эквивалент, чудес-то не бывает, где-то что-то обязано упираться в shared secret
Однозначно из этого сида генерящийся, что характерно.

Ответить | Правка | Наверх | Cообщить модератору

45. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +1 +/–

Сообщение от Аноним (45), 04-Ноя-19, 14:09

для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc. Насчёт "прочихается драйвер" - не понял, обычно даже на винде после первой вставки девайса в следующие разы всякая usb-хрен опознаётся мгновенно, на тех же usb-наушниках это очень заметно.
При потере - ну вот через сид и восстановишь. Если ключи от квартиры теряешь или смартфон - тоже неудобно, не больше и не меньше. Но в принципе удобно или нет - тут юзеру решать, конечно. Полагаю, что закончится всё, как обычно, смартфоном, что уже и по моим понятия несекьюрно, но для среднего юзера, полагаю, нормально, у него и так всё на том смартфоне. Забыть - ну можно, поэтому нормальные сайты будут держать какие-то резервные варианты входа, делов-то.
Подделка симки - криминал, угу :-) насмешил. Теоретически, конечно, закрыто могут, а на практике - проблема роно в том, что симки наконец сделали более-менее неподделываемыми. Кража/отжим - это всегда кража/отжим прлюс претензии по тем последствиям, что оно повлекло (несанкционированное использование/модификация компьютерных систем, или как там оно) - как бы не те же статьи были. Вынося за скобки "постсоветское правосудие" - ну так технологии не для постсовка и прочих диких мест разрабатываются. Опять же, где как, но конкретно для трезора это выглядит так: ты воткнул его в комп, ввёл пин, дальше для авторизаии можно просто кнопку подтверждения жать, но если не отжал включённым - сам пин хрен подберёшь, и это опять же хорошо проверено, особенно с учётом сумм, которые на трезорах бывают.
Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера. Генерящийся не "из этого сида" (в тотп сид задаётся сервером) а просто как производное из сида на токене и ключа сервера (там что-то ещё, не помню деталей). И, опять же, базовый сид, из которого всё генерится - это особенность реализации именно трезора. Которому я склонен верить (у них в криптовалютах сильно не первый год полёта без особых факапов), но он не единственный. Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.

Ответить | Правка | Наверх | Cообщить модератору

48. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +/–

Сообщение от пох. (?), 04-Ноя-19, 17:09

> для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc
то есть совсем глючные и насквозь дырявые технологии, спасибо
Я спрашивал - а нормальных-то, что, нет?
> При потере - ну вот через сид и восстановишь.
спасибо, не надо. А то кто-то "восстановит" до потери.
Еще раз: нормальный токен должен теряться необратимо. Потому что именно владение им (а не удобно делаемой копией) подтверждает право доступа. Иначе это г-нецо, придуманное хипстамайнерами, а не безопасниками.
> Подделка симки - криминал, угу :-) насмешил.
статья имеется. Впрочем там еще целый ворох прицепных будет - поскольку ее нельзя подделать без нарушения целой пачки законов.
Соответственно, васяну это недоступно. Организованному криминалу в нашей стране - да, поэтому акаунт ненужно-гитхапа так защищать можно, а банковские операции - нельзя.
> Кража/отжим - это всегда кража/отжим
нет. Вы нечитатель УК. Для кражи должен быть умысел, смена владения, и должна быть материальная ценность. Цифирки материальной ценностью не являются. К тому же я уже отдал тебе листок.
> но если не отжал включённым - сам пин хрен подберёшь
зачем его подбирать если есть волшебная последовательность, позволяющая сделать еще десять таких же с любым пином?
> Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера.
и? Ключ открытый - известен кому попало. А расшифровывать нам и не надо, у нас есть сид.
> Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.
чтобы гарантированно не восстанавливалось есть только один способ - выкинуть завязанную на волшебном числе криптографию в помойку.
Если токен и вынужден использовать какие-то волшебные числа больше одного раза - они никогда и ни при каких обстоятельствах не должны покидать шифрованной памяти, и, разумеется, быть разными для разных сайтов, чтобы даже в случае маловероятной утечки - не получать дубликат всех ключей от всех замков в руках любого васяна.
Это, батенька - азы. А ваше чудо - прожект горе-майнеров, которые больше всего боятся потерять свои платежные суррогаты насовсем. К безопасности не имеет никакого отношения вообще.
> и наверняка где-то такое есть.
ну вот у ныне покойного vtb24 - было. Тут все, вроде, честно (пока они следовали правилам visa, многие банки этого, как ни смешно, не делают). Почему аналогичная технология не сделана общедоступной - у меня только одно соображение: кое-кому категорически не хочется, чтобы это произошло. Поэтому изо всех сил форсятся хипстаподелки недоучек-майнеров, дырявые by design.

Ответить | Правка | Наверх | Cообщить модератору

49. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +/–

Сообщение от Аномномномнимус (?), 04-Ноя-19, 19:00

И как сделать эту "ещё одну железку", если в первой железке вроде как ключи не извлекаемые, а разные токены на одну учётку - часто не протолкнуть?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

68. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..." +/–

Сообщение от пох. (?), 06-Ноя-19, 12:57

обратитесь к системному администратору, не?
В случае sshd - администратор я, и у меня может быть столько независимых токенов, сколько я хочу.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	30. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	–1 +/–
	Сообщение от пох. (?), 03-Ноя-19, 22:09
	> Сильно интересно, как правильно бекапить всякие штуки прибитые гвоздями ко всяким гугловым 2FA > и железкам, Если делать правильно - никак. В смысле - единственный "бэкап" - это _еще_ одна железка, хранящаяся в сейфе где-то на другой планете - со своим, отдельным, ключом. Ну или технология сброса/enrollment'а другой железки - с предъявлением жопы, унитаза, скана паспорта и снимков сетчатки глаза тому, у кого есть физический доступ к сервису. Весь смысл _правильной_ токенной защиты - что при утере токена он быстро, эффективно и необратимо превращается в тыкву, и уж тем более - никаких способов обхода его использования быть не должно. А если твои данные ничего не стоят - зачем же ипстись? Пароль 123#e45 ни разу не подводил!
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	33. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+1 +/–
	Сообщение от Crazy Alex (ok), 03-Ноя-19, 22:45
	Ты не догоняешь (как и с SSL, впрочем). Это не о "супер-безопасности". Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения жизни юзера. Поэтому компромисс "безопасность/удобство" совсем другой - одна железка на все сайты (на сайт - ключику), автоматизированное взаимодействие по API, механизм восстановления. Никто в здравом уме не будет менять то, что уже есть (и более-менее работает) на менее удобные средства. А вот заменить ввод пароля на тычок на токене - это да, и проще и от "PasswordPassword" избавляемся (угу, оно и как единственный фактор работать может). А как второй фактор - это лучше, чем SMS? Всяко лучше. Лучше, чем TOTP и подобное? Лучше: а) сид никогда не ходит по сети, б) вводить ничего руками не надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	–1 +/–
	Сообщение от пох. (?), 03-Ноя-19, 23:30
	> Это об удобной замене для обычных юзерских паролей на что-то более безопасное без усложнения > жизни юзера. необходимость таскать за собой ненужно, каждый раз тыкать в usb-слот (мало флэшек погорело или порты пожгли от неаккуратного втыкания или просто из-за дешевой китайчатины внутри?) и ждать пока прочихается мега-супер-ненужно драйвер - это "без усложнения" ? А при ее потере и использовании в режиме "руками ничего вводить не надо" - васян получает все твои пароли и явки (а ты остаешься без). месье понимает толк в извращениях. Я, пожалуй, останусь при своем 123e#45 - он хотя бы точно не сдохнет и не останется в других штанах в неподходящий момент. А "секьюрить" тут тыквенная. > А как второй фактор - это лучше, чем SMS? удобнее, пожалуй, да - sms надо читать глазами и набирать руками. В остальном - похоже, еще большая дрянь. Подделка симки - это все же криминал, поймают - могут и закрыть. Кража/мягкий или жесткий отжим бессмысленной последовательности цифирок или подделка токена вместе с цифирками - детская игра в крысу. > Лучше: а) сид никогда не ходит по сети, значит ходит его эквивалент, чудес-то не бывает, где-то что-то обязано упираться в shared secret Однозначно из этого сида генерящийся, что характерно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+1 +/–
	Сообщение от Аноним (45), 04-Ноя-19, 14:09
	для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc. Насчёт "прочихается драйвер" - не понял, обычно даже на винде после первой вставки девайса в следующие разы всякая usb-хрен опознаётся мгновенно, на тех же usb-наушниках это очень заметно. При потере - ну вот через сид и восстановишь. Если ключи от квартиры теряешь или смартфон - тоже неудобно, не больше и не меньше. Но в принципе удобно или нет - тут юзеру решать, конечно. Полагаю, что закончится всё, как обычно, смартфоном, что уже и по моим понятия несекьюрно, но для среднего юзера, полагаю, нормально, у него и так всё на том смартфоне. Забыть - ну можно, поэтому нормальные сайты будут держать какие-то резервные варианты входа, делов-то. Подделка симки - криминал, угу :-) насмешил. Теоретически, конечно, закрыто могут, а на практике - проблема роно в том, что симки наконец сделали более-менее неподделываемыми. Кража/отжим - это всегда кража/отжим прлюс претензии по тем последствиям, что оно повлекло (несанкционированное использование/модификация компьютерных систем, или как там оно) - как бы не те же статьи были. Вынося за скобки "постсоветское правосудие" - ну так технологии не для постсовка и прочих диких мест разрабатываются. Опять же, где как, но конкретно для трезора это выглядит так: ты воткнул его в комп, ввёл пин, дальше для авторизаии можно просто кнопку подтверждения жать, но если не отжал включённым - сам пин хрен подберёшь, и это опять же хорошо проверено, особенно с учётом сумм, которые на трезорах бывают. Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера. Генерящийся не "из этого сида" (в тотп сид задаётся сервером) а просто как производное из сида на токене и ключа сервера (там что-то ещё, не помню деталей). И, опять же, базовый сид, из которого всё генерится - это особенность реализации именно трезора. Которому я склонен верить (у них в криптовалютах сильно не первый год полёта без особых факапов), но он не единственный. Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+/–
	Сообщение от пох. (?), 04-Ноя-19, 17:09
	> для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc то есть совсем глючные и насквозь дырявые технологии, спасибо Я спрашивал - а нормальных-то, что, нет? > При потере - ну вот через сид и восстановишь. спасибо, не надо. А то кто-то "восстановит" до потери. Еще раз: нормальный токен должен теряться необратимо. Потому что именно владение им (а не удобно делаемой копией) подтверждает право доступа. Иначе это г-нецо, придуманное хипстамайнерами, а не безопасниками. > Подделка симки - криминал, угу :-) насмешил. статья имеется. Впрочем там еще целый ворох прицепных будет - поскольку ее нельзя подделать без нарушения целой пачки законов. Соответственно, васяну это недоступно. Организованному криминалу в нашей стране - да, поэтому акаунт ненужно-гитхапа так защищать можно, а банковские операции - нельзя. > Кража/отжим - это всегда кража/отжим нет. Вы нечитатель УК. Для кражи должен быть умысел, смена владения, и должна быть материальная ценность. Цифирки материальной ценностью не являются. К тому же я уже отдал тебе листок. > но если не отжал включённым - сам пин хрен подберёшь зачем его подбирать если есть волшебная последовательность, позволяющая сделать еще десять таких же с любым пином? > Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера. и? Ключ открытый - известен кому попало. А расшифровывать нам и не надо, у нас есть сид. > Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть. чтобы гарантированно не восстанавливалось есть только один способ - выкинуть завязанную на волшебном числе криптографию в помойку. Если токен и вынужден использовать какие-то волшебные числа больше одного раза - они никогда и ни при каких обстоятельствах не должны покидать шифрованной памяти, и, разумеется, быть разными для разных сайтов, чтобы даже в случае маловероятной утечки - не получать дубликат всех ключей от всех замков в руках любого васяна. Это, батенька - азы. А ваше чудо - прожект горе-майнеров, которые больше всего боятся потерять свои платежные суррогаты насовсем. К безопасности не имеет никакого отношения вообще. > и наверняка где-то такое есть. ну вот у ныне покойного vtb24 - было. Тут все, вроде, честно (пока они следовали правилам visa, многие банки этого, как ни смешно, не делают). Почему аналогичная технология не сделана общедоступной - у меня только одно соображение: кое-кому категорически не хочется, чтобы это произошло. Поэтому изо всех сил форсятся хипстаподелки недоучек-майнеров, дырявые by design.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+/–
	Сообщение от Аномномномнимус (?), 04-Ноя-19, 19:00
	И как сделать эту "ещё одну железку", если в первой железке вроде как ключи не извлекаемые, а разные токены на одну учётку - часто не протолкнуть?
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	68. "В OpenSSH добавлена поддержка универсальной двухфакторной ау..."	+/–
	Сообщение от пох. (?), 06-Ноя-19, 12:57
	обратитесь к системному администратору, не? В случае sshd - администратор я, и у меня может быть столько независимых токенов, сколько я хочу.
	Ответить \| Правка \| Наверх \| Cообщить модератору