The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

04.05.2017 09:49  Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне

Представлен проект Kryptonite, предлагающий хранить закрытые ключи SSH на смартфоне, вместо размещения в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей - ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется в исходных текстах, но лицензия на код пока не определена.

Kryptonite может рассматриваться как подобие двухфакторной аутентификации для доступа к SSH-ключам. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая операция с ключом требует явного подтверждения на смартфоне.

Так как ключи хранятся отдельно, они не привязаны к локальным системам и один ключ можно использовать с разных компьютеров. С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС рабочей станции в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере). Весь обмен данными между ssh-агентом и мобильным приложением передаётся в зашифрованном виде, для шифрования и аутентификации используется библиотека libsodium.

Процесс работы с Kryptonite выглядит следующим образом: На локальных системах устанавливается пакет с ssh-агентом kr, а на смартфоны специальное приложение. Далее запускается процесс сопряжения мобильного приложения и рабочих станций пользователя. Сопряжение сводится к выполнению в терминале на рабочей станции команды "kr pair", которая приводит к отображению QR-кода. Пользователь фотографирует мобильным приложением этот QR-код, после чего Kryptonite генерирует пару SSH-ключей, сессионные ключи для аутентификации рабочей станции и устанавливает канал связи с агентом. Обмен данными между агентом и смартфоном может производиться по Bluetooth или шифрованному каналу поверх TCP/IP (применяются сервисы AWS SQS и AWS SNS). Далее при каждом использовании SSH на сопряжённой рабочей станции на смартфоне выводится уведомление и требование подтвердить вход.

На смартфоне в iOS ключ хранится в iOS Keychain и генерируется на базе 4096-разрядных ключей RSA в реализации Apple iOS Security Framework или на базе Ed25519 в реализации libsodium. В Android ключи сохраняются в аппаратно изолированном хранилище ключей Android Keystore и генерируются в виде 3072-разрядных ключей RSA. Android Keystore выступает в роли чёрного ящика, из которого ключи не могут быть извлечены, в том числе самим Kryptonite. При поступлении запроса по SSH, Android Keystore генерирует цифровую подпись при помощи сохранённого ключа и возвращает результат. В случае утери или кражи смартфона достаточно удалить привязанные к нему открытые ключи из всех своих учётных записей и заменить на новые открытые ключи, сгенерированные на новом смартфоне.

  1. Главная ссылка к новости (https://blog.krypt.co/the-end-...)
  2. OpenNews: Выпуск Mosh 1.3, альтернативы SSH
  3. Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
  4. Двухфакторная аутентификация SSH с использованием YubiKey
  5. OpenNews: Реализация чата на основе SSH. Предложения по расширению области применения SSH
  6. OpenNews: Представлен новый защищённый SSH-сервер TinySSH
Лицензия: CC-BY
Тип: Программы
Ключевые слова: kryptonite, ssh, ssh-agent
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, ОлдФак (ok), 10:32, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +32 +/
    Ага, закрытые ключи на смартфоне. А смартфон их при любом удобном случае - дядям Сэмам.
    Молодцы!
     
     
  • 2.59, XXX (??), 14:06, 04/05/2017 [^] [ответить]    [к модератору]
  • +8 +/
    "Может им еще и ключи от сервера где деньги лежат?" (с)
     
     
  • 3.73, DmA (??), 15:40, 04/05/2017 [^] [ответить]    [к модератору]
  • –1 +/
    у вас есть способ передавать ключи со смартфона не размещая их там? Они всё равно будут у дяди Сэма!
     
     
  • 4.77, _ (??), 16:09, 04/05/2017 [^] [ответить]    [к модератору]
  • +4 +/
    Так и не размещай их _там_ Д,Б!
    Да сервера иногда ломают.
    Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то :)
     
     
  • 5.82, DmA (??), 16:25, 04/05/2017 [^] [ответить]     [к модератору]
  • –5 +/
    Мне кажется это фича TCP протокола, всегда есть возможность взломать систему ... весь текст скрыт [показать]
     
     
  • 6.119, Аноним (-), 21:16, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!

    Вы хотите поговорить о том, что Вам кажется?

     
     
  • 7.136, DmA (??), 08:24, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!
    > Вы хотите поговорить о том, что Вам кажется?

    а я всегда только об этом и говорю!

     
  • 5.158, Аноним (-), 15:11, 05/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Это всё Ротшыльды, сцу..
     
  • 1.2, Аноним (-), 10:33, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +18 +/
    >С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере).

    По-моему, хипстота снова пытается всех обмануть.
    Не кажется ли вам, что подобный trade-off не в пользу мобильного приложения?

     
     
  • 2.95, Аноним (-), 17:52, 04/05/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    > хипстота

    Ещё какая!
    https://avatars3.githubusercontent.com/u/1348691
    https://avatars2.githubusercontent.com/u/356333

     
  • 1.3, Аноним (-), 10:37, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +11 +/
    В этой новости не хватает ссылок на тестирование безопасности android приложений...
     
     
  • 2.8, Аноним (-), 10:57, 04/05/2017 [^] [ответить]     [к модератору]  
  • –11 +/
    Технологии защиты в Android на порядок лучше SELinux, sandbox-изоляция, идентиф... весь текст скрыт [показать]
     
     
  • 3.9, tstalker (ok), 11:20, 04/05/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Подавляющее большинство целевой аудитории пользователей смартфонов разбираются в... весь текст скрыт [показать]
     
  • 3.11, rob pike (?), 11:26, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.
     
     
  • 4.23, Аноним (-), 12:20, 04/05/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    > В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.

    Это не так, последние 10 лет cpu без подобного модуля не запускаются, см.
    https://libreboot.org/faq.html#intel
    https://libreboot.org/faq.html#amd

     
     
  • 5.56, Ivan_83 (ok), 13:56, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Только разница в том, что для работы МЕ нужна её встроенная сетевушка.
    АМД же своим псп вообще с сетью работать не умеет.
     
     
  • 6.68, Аноним (-), 15:13, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Спорное утверждение. Кто там выдаёт разрешения на продажу сетевух? А где заводы?
     
  • 4.76, Аноним (-), 16:08, 04/05/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    >В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему.

    Ко всему он доступа не имеетпри наличии IOMMU в девайсе.

     
     
  • 5.139, фф (?), 09:48, 05/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет. iommu это не про то. Это только виртуальное адресное пространство io. Вся мякотка в контроле DMA. А DMA контролируется через pcie ACS расширение. Которое реализовано в основном на серверах.
     
  • 3.14, Аноним (-), 11:42, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    >  Технологии защиты в Android на порядок лучше

    Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!

     
     
  • 4.18, Аноним (-), 11:51, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Пруф какой-нибудь что ли.
     
     
  • 5.24, Аноним (-), 12:21, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    https www cnet com news malware-from-china-infects-over-10-million-android-use... весь текст скрыт [показать]
     
     
  • 6.138, DmA (??), 09:17, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    точно снёс Может она только делает вид, что удалилась ... весь текст скрыт [показать]
     
     
  • 7.143, Аноним (-), 11:15, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Лол, она как системная была. Я ещё заодно всякие гуглофремворки и прочее снёс. А потом плюнул на всё и накатил AOSP.
     
  • 6.160, Аноним (-), 15:23, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Этот весёлый мир китайского андроида.


     
  • 4.25, Аноним (-), 12:24, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Эти вирусы атакуют пользовательскую ОС, к Android Keystore они доступа не имеют ... весь текст скрыт [показать]
     
     
  • 5.57, Аноним (-), 14:03, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Есть куча уязвимостей помогающих получить рут на девайсах Не веришь Погугли Т... весь текст скрыт [показать]
     
     
  • 6.121, Аноним (-), 23:50, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Причём тут root Android Keystore недоступен для чтения, у него нет такой функци... весь текст скрыт [показать]
     
     
  • 7.144, Аноним (-), 11:16, 05/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты очень наивный падаван. Через ядро можно прочитать всё что угодно. А эксплойтов в блобах дохера на ведре.
     
     
  • 8.151, пох (?), 13:32, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    ну ставься на ипхон - там не все в андроиде keystore - _программный_ механизм, ... весь текст скрыт [показать]
     
  • 6.154, Аноним (-), 13:54, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Да, kingroot называется Но я буду вам признателен, если вы поделитесь ссылкой н... весь текст скрыт [показать]
     
  • 4.51, Аноним (-), 13:46, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Какие вирусы? Фонарик, которые запришивает пермишен на отправку смс? Самая основная уязвимость андроида держит его в руках. И тут никакие песочницы, selinux не помогут
     
     
  • 5.61, Аноним (-), 14:07, 04/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Огоспаде, да окуда вы такие берётесь Тролль или правда не понимаешь Ты доверяе... весь текст скрыт [показать]
     
     
  • 6.72, Аноним (-), 15:26, 04/05/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Это если речь про ядерные блобы На практике на многих девайсах уже активирован ... весь текст скрыт [показать]
     
     
  • 7.75, Аноним (-), 15:54, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну анон выше писал, что рут можно легко получить на почти всех девайсах Так что... весь текст скрыт [показать]
     
  • 6.123, Аноним (-), 00:00, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Почему тебе лень кликнуть на ссылку в новости и узнать наконец что такое Android... весь текст скрыт [показать]
     
     
  • 7.145, Аноним (-), 11:19, 05/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Слушай, ты наивный Доступ ядра есть Есть Всё Можно прочитать Кстати, судя ... весь текст скрыт [показать]
     
     
  • 8.152, пох (?), 13:40, 05/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    в случае чипа с tpm - нету Только через апи и только на чтение Сами ключи не ч... весь текст скрыт [показать]
     
  • 6.161, Аноним (-), 15:28, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.

    От СОРМ он поможет?


     
  • 3.26, Аноним (-), 12:25, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >урезайте права доступа, которые требует приложение

    Научи без получение рута на девайсе.
    Почему то при всех этих технологиях зашиты приложения имеют Андройд как хотят

     
  • 3.40, wins proxy (?), 13:20, 04/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    В типичном Android-смартфоне куча уязвимостей, закрывать которые вендор и не собирается.
     
  • 3.55, Ivan_83 (ok), 13:56, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Только вот доверия вендорам нет, да и дырок много.
     
  • 3.137, DmA (??), 09:14, 05/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    и да и нет Частично Selinux изоляция всё это давно есть в Линукс на десктопе ... весь текст скрыт [показать]
     
     
  • 4.162, Аноним (-), 15:32, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    На винде Это ты сам придумал Нет, конечно технически это можно, но Ну ладно,... весь текст скрыт [показать]
     
     ....нить скрыта, показать (33)

  • 1.4, YetAnotherOnanym (ok), 10:43, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.
     
     
  • 2.27, Аноним (-), 12:26, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    А если недалеко от вышки? Антенна даже не понадобится. Как минимум, выпаять радиомодуль.
     
     
  • 3.89, Аноним (-), 17:34, 04/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Угу, выпилить из чипа лобзиком.
     
  • 3.120, Аноним (-), 22:43, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Смарт в шапочке из фольги!
     
  • 2.163, Аноним (-), 15:36, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    А также вынуть батарею и забросить её в пруд с утятами Для 100 гарантии надёжн... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 10:47, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    >которая приводит к отображению QR-кода

    Как узнать хипстоту...

     
  • 1.6, annonim (?), 10:50, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > систему хранения закрытых ключей SSH на смартфоне

    /0

     
  • 1.7, Анончик (?), 10:56, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Я конечно хипстота, но это уже перебор.
     
     
  • 2.13, Аноним (-), 11:38, 04/05/2017 [^] [ответить]    [к модератору]  
  • +14 +/
    Ты не хипстота. Быть хипстотой - это мейнстрим, а хипстер никогда не признает себя мейнстримщиком. Позер!
     
     
  • 3.132, Анони (?), 02:02, 05/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Как там дела в 2012ом?
     
     
  • 4.164, Аноним (-), 15:37, 05/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > в 2012ом?

    2k12 - так пиши.


     
  • 3.141, Аноним (-), 10:37, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    так эти челки носили, те что сейчас про бритвы не знают
     
     
  • 4.165, Аноним (-), 15:38, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > так эти челки носили, те что сейчас про бритвы не знают

    Резали чёлки бритвами? Себе или окружающим?


     
  • 1.12, rob pike (?), 11:28, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Обмен данными между агентом и смартфоном может производиться по Bluetooth

    Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже похоже на что-то полезное.

     
     
  • 2.17, anonimus (?), 11:48, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    в виде наручных часов, не имеющих портов, пожалуй было бы самое оно
     
     
  • 3.21, Crazy Alex (ok), 12:00, 04/05/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    это уже явно перебор. учитывая неизбежную маргинальность такой железки - порты не проблема, целенаправленно атаковать никто не станет, а от остального спасёт экзотичность
     
  • 2.166, Аноним (-), 15:41, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Согласен http herocollector com Content ArticleImages communicator jpg ... весь текст скрыт [показать]
     
  • 1.16, Аноним (-), 11:45, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Чем это лучше ключа на зашифрованной флэшке?
     
     
  • 2.19, пох (?), 11:55, 04/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    тем что с флэшки его могут спереть плохие ребята, когда ты этой флэшкой воспольз... весь текст скрыт [показать]
     
     
  • 3.28, music (?), 12:26, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    а смартфон можно уронить, утопить, как от этого спастись? а, ну да синхронизация на гугл драйв и дропбокс ;-)
     
     
  • 4.49, пох (?), 13:43, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    здесь это трейдоф, понятный - можно остаться без ключей, но их не сопрет просто ... весь текст скрыт [показать]
     
  • 2.33, Аноним (-), 12:44, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Тем, что слямзить можно дистанционно, пользователь даже не догадаетя. А расшифровывать придётся хоть со смартфона, хоть с флешки.
     
  • 1.20, Аноним (-), 11:58, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Чем он лучше езопасных тайм ключей QR от Google Authenticator?
     
     
  • 2.32, Crazy Alex (ok), 12:43, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?
     
     
  • 3.53, пох (?), 13:51, 04/05/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    и где она, нормальная -то _нормальная_ - self hosted, а не в гугле Желательно ... весь текст скрыт [показать]
     
     
  • 4.66, Ergil (ok), 14:48, 04/05/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Чувак, я тебе открою тайну, никому не говори Google Authenticator нигде не хост... весь текст скрыт [показать]
     
     
  • 5.86, пох (?), 17:17, 04/05/2017 [^] [ответить]     [к модератору]  
  • –6 +/
    чувак, я тебе открою другую тайну это тред об аутентификации на собственные сер... весь текст скрыт [показать]
     
     
  • 6.97, Crazy Alex (ok), 17:58, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Ёк. Ты вообще что такое TOTP знаешь или со скуки влез туда, о чём вообще не в курсе?
     
     
  • 7.98, пох (?), 18:08, 04/05/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    что такое - знаю Как реализовано - не знаю и знать не хочу Вот эта чудесная хн... весь текст скрыт [показать]
     
     
  • 8.103, Crazy Alex (ok), 18:28, 04/05/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну вот залезь в описание и в исходники при желании и не неси чушь Стандарты о... весь текст скрыт [показать]
     
     
  • 9.107, пох (?), 18:45, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    желания нет - поверю на слово Это, мягко говоря, не та технология, которой я хо... весь текст скрыт [показать]
     
  • 8.113, Аноним (-), 19:13, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Возьми исходники и посмотри. Не хочешь ковыряться в ведроид-помойке — хотя бы на это глянь: http://www.nongnu.org/oath-toolkit/
    Про RFC тут уже кто-то писал, но чукча ж не читатель...
     
  • 2.36, Аноним (-), 12:53, 04/05/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > Чем он лучше езопасных тайм ключей QR от Google Authenticator?

    Ты продумал защиту от брутфорса? Шесть цифр легко подобрать.

     
     
  • 3.39, КЭП (?), 13:08, 04/05/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Ты подумал об ограничении на количество неверных вводов, умник?
     
     
  • 4.43, Аноним (-), 13:25, 04/05/2017 [^] [ответить]     [к модератору]  
  • –5 +/
    Умник - это попытка оскарбить - Без защиты от брутфорса требуется три дня чт... весь текст скрыт [показать]
     
     
  • 5.91, Аноним (-), 17:38, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.

    Кому нужны твои шесть цифр через три дня, если они меняются каждые 30 секунд?

     
     
  • 6.124, Аноним (-), 00:38, 05/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Более того, как ты собрался проверять пароль трёх дневной давности Подбирают те... весь текст скрыт [показать]
     
  • 5.133, Аноним (-), 04:11, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    "Оскарбить" - наделить, снабдить скарбом, каким-л. имуществом, то же, что одарить.
     
     
  • 6.157, Аноним (-), 15:06, 05/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    У тебя кавычки не верные, в русском языке используют «ёлочки» или „лапки“.
     
     
  • 7.186, Аноним (-), 02:37, 09/05/2017 [^] [ответить]    [к модератору]  
  • +/
    «французские так-то»
     
  • 3.42, Аноним (-), 13:24, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    sshguard и плюс защита самой rate-limit в google PAM
     
     
  • 4.45, Аноним (-), 13:33, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним IP... весь текст скрыт [показать]
     
     
  • 5.50, Аноним (-), 13:46, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    В последнем OpenSSHd уже встроен rate-limit на уровне ip ... весь текст скрыт [показать]
     
     
  • 6.63, Аноним (-), 14:17, 04/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    А чем он лучше sshguard Он так же заблокирует и админа, если он в одной подсети... весь текст скрыт [показать]
     
  • 3.46, Аноним (-), 13:33, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Удачно вам перебрать брутфорсом Time-based One Time Password.
     
     
  • 4.62, Аноним (-), 14:13, 04/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Удачно вам перебрать брутфорсом Time-based One Time Password.

    На угадывание шести цифр TOTP требуется три дня.

     
     
  • 5.83, Crazy Alex (ok), 17:06, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Как считали?
     
     
  • 6.125, Аноним (-), 00:40, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Как считали?

    https://sakurity.com/otp

     
     
  • 7.148, Аноним (-), 12:54, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Там же описано лекарство: Simply lock the account after 10 failed attempts and ask the user to change his password.
     
     
  • 8.159, Аноним (-), 15:12, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Ага, автор предложивший Google Authenticator об этом не упомянул, поэтому я уточ... весь текст скрыт [показать]
     
  • 5.84, Crazy Alex (ok), 17:08, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Хотя в любом случае - если что-то лупит попытками входа с верным ключом и кривым кодом - на это должна быть реакция, в виде письма как минимум
     
     
  • 6.87, пох (?), 17:21, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    ну и что мне делать с этим письмом - распечатать и на йолку повесить К тому же... весь текст скрыт [показать]
     
     
  • 7.96, Crazy Alex (ok), 17:56, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    с десяток попыток с верным ключом. Соответственно, что делать - понятно - дёргаться, менять ключи, аудитить безопасность и так далее.
     
     
  • 8.99, пох (?), 18:11, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    ну и - я под елкой, интернет где-то далеко, ключ утек - то ли через поломанную м... весь текст скрыт [показать]
     
     
  • 9.102, Crazy Alex (ok), 18:23, 04/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну у вас же есть какая-то тактика на случай, если ключи утекли - по какой-либо п... весь текст скрыт [показать]
     
     
  • 10.106, пох (?), 18:42, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    нету Ну в смысле, я не храню и не использую ключи там, где они могут утечь или... весь текст скрыт [показать]
     
     
  • 11.108, Crazy Alex (ok), 18:51, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну так 2FA как раз и есть для случая я не храню и не использую ключи там, где о... весь текст скрыт [показать]
     
     
  • 12.111, пох (?), 19:04, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    так в оригинале было не про 2FA, а про просто замену гуглем этой вот чудо-хрени ... весь текст скрыт [показать]
     
     
  • 13.130, Crazy Alex (ok), 01:11, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Э... я не думаю, что кто-то в здравом уме будет это использовать как единственный метод. А насчёт принуждения беспокоиться - пустое дело, в любом случае всё вытащат
     
  • 3.69, Ergil (ok), 15:13, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Что ты брутфорсить собрался Шестизначное число меняющееся каждые 30 секунд Да ... весь текст скрыт [показать]
     
     
  • 4.126, Аноним (-), 00:48, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    fail2ban это хороший способ заблокировать вход администратору :-)
     
     
  • 5.128, Укпшд (?), 00:56, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Используя только ключи невозможно ошибиться в пароле или еще каким-то образом до... весь текст скрыт [показать]
     
     
  • 6.168, _ (??), 16:31, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну то есть то, что местные называют Jump-server Ок Детский вопрос - а с какого... весь текст скрыт [показать]
     
  • 6.178, пох (?), 00:48, 06/05/2017 [^] [ответить]     [к модератору]  
  • +/
    только ключи - да, но тут же ж их объявили ненадежными и жаждут гугле-отп, он вп... весь текст скрыт [показать]
     
     ....нить скрыта, показать (41)

  • 1.22, Аноним (-), 12:02, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Улыбка с утра.)
    Однако, и ведь попрёт в "массы".
     
     
  • 2.29, gogo (?), 12:29, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это - бред.
     
     
  • 3.90, пох (?), 17:34, 04/05/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это
    > - бред.

    это такой телнет, только модный, да?

     
  • 1.30, evkogan (?), 12:33, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Идея носить всегда с собой закрытые ключи и контролировать каждое их использование хороша. Но использовать для этого смартфон...
    Вот если это отдельное устройство, да еще и вообще без блобов, в том числе в прошивках, а еще лучще openHW. Но еще и дешевое для массового потребителя и хоть минимально симпатичное (все же все время с собой таскать), то да идея интересная.
     
     
  • 2.34, Crazy Alex (ok), 12:46, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    ну, смотря на сколько нужно open, но на современных мк должно быть крайне дёшево. если выкаблучиваться и FPGA брать - конечно, вряд ли выйдет
     
     
  • 3.100, пох (?), 18:15, 04/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    ну, товарищу, вероятно, не нравится gpu-загрузка модных одноплаток и странные вы... весь текст скрыт [показать]
     
     
  • 4.105, Crazy Alex (ok), 18:35, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    https://www.seeedstudio.com/FST-01-without-Enclosure-p-1276.html или https://www.seeedstudio.com/maple-mini-p-861.html допилить, добавив экран и клаву - не сложно и недорого
     
     
  • 5.109, пох (?), 18:55, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    э ну и кто допилит Раз недорого - это,кстати, сколько - я может в очередь з... весь текст скрыт [показать]
     
     
  • 6.131, Crazy Alex (ok), 01:57, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну, я подумываю потихоньку, но торговать бы пытаться не стал, вот на гитхаб выва... весь текст скрыт [показать]
     
     
  • 7.155, пох (?), 14:02, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    разные, да - зачем мне еще одна убиквити, только не умещающаяся на кольце с ключ... весь текст скрыт [показать]
     
     
  • 8.170, Crazy Alex (ok), 16:55, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Защита от физического доступа - это та песня, которую я петь не умею, а делать п... весь текст скрыт [показать]
     
     
  • 9.179, пох (?), 01:02, 06/05/2017 [^] [ответить]     [к модератору]  
  • +/
    так это логический доступ - тупо шифруем пином что-то ценное, и после третьей не... весь текст скрыт [показать]
     
     
  • 10.184, Crazy Alex (ok), 13:54, 06/05/2017 [^] [ответить]     [к модератору]  
  • +/
    С моей точки зрения - уж больно невелика разница между взять и пин потыкать и ... весь текст скрыт [показать]
     
  • 5.110, Аноним (-), 18:56, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    еще как дорого, такую штуку можно продать за 15-25 потолок, если больше то уже ... весь текст скрыт [показать]
     
     
  • 6.112, пох (?), 19:07, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    за штуку, которая на фотке выше за полную реализацию, а не за сами кнопки - ... весь текст скрыт [показать]
     
     
  • 7.115, Аноним (-), 20:15, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    вас таких которые по 500$ готовы заплатить тысяча ну может две три на всей земле, да и то что ты готов не факт что заплатишь как показывает практика.
     
     
  • 8.116, пох (?), 20:41, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    ну, во-первых больше - если оно вдруг хорошее, то корпоративные заказы подтянутс... весь текст скрыт [показать]
     
  • 6.185, Crazy Alex (ok), 14:16, 06/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Если нет уж настолько денег на железку - значит, защищать нечего. Хотя если не брать смарткарты, то вложиться можно.
     
     ....нить скрыта, показать (14)

  • 1.31, Аноним (-), 12:36, 04/05/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Нет, спасибо, не надо Дураков нет PS Хипстеры, запилите хранение ключей в обла... весь текст скрыт [показать]
     
     
  • 2.35, Crazy Alex (ok), 12:47, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    уже было, вроде
     
  • 2.81, Аноним84701 (ok), 16:24, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Типа https privacy microsoft com en-us privacystatement ... весь текст скрыт [показать]
     
  • 2.92, Аноним (-), 17:43, 04/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > PS Хипстеры, запилите хранение ключей в облаках.

    По ссылкам не ходил? Они это и предлагают, только уже за бабло.

     
  • 1.37, Нанобот (ok), 13:00, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    тю, хорошая идея же
    непонятно, чего нытики/параноики так возбудились
     
     
  • 2.44, Аноним (-), 13:27, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.
     
     
  • 3.64, Аноним (-), 14:21, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.

    Вирус не имеет доступа к Android Keystore.

     
     
  • 4.80, _ (??), 16:24, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Он и к ядру шиндафс доступа не имеет, а вот поди ж ты :)
     
     
  • 5.127, Аноним (-), 00:52, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Он и к ядру шиндафс доступа не имеет, а вот поди ж
    > ты :)

    Ядро это программное решение, а keystore — аппаратное, но зависит от реализации, да.

     
  • 1.41, Аноним (-), 13:21, 04/05/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Сначала надо убедиться, что этот самый смартфон имеет большую защиту Сейчас поч... весь текст скрыт [показать]
     
     
  • 2.47, Аноним (-), 13:35, 04/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    >А сколько смартфонов со старыми прошивками?

    Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без гугл сервисов.

     
     
  • 3.74, Анониим (?), 15:43, 04/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > fdroid

    Это ещё под вопросом

     
     
  • 4.85, Crazy Alex (ok), 17:11, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Чем именно он не устроил?
     
  • 3.149, Аноним (-), 12:56, 05/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без
    > гугл сервисов.

    И без ГСМ-модуля, ага.

     
  • 1.48, Anonplus (?), 13:42, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.

    Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/), которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

    Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно зашифрована и синхронизируется через любое облачное хранилище.

     
     
  • 2.65, Аноним (-), 14:27, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

    По какому протоколу?

     
  • 2.93, Аноним (-), 17:46, 04/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Это ж сколько костылей вместо родного шифрования ключей и ssh-agent ... весь текст скрыт [показать]
     
     
  • 3.104, пох (?), 18:32, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    это не костыли, разумная предосторожность - родное шифрование ключей упирается... весь текст скрыт [показать]
     
     
  • 4.122, Аноним (-), 23:58, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Использую длинный Набираю раз в день Попробуй, дотянись Не знаю, расшифровыва... весь текст скрыт [показать]
     
     
  • 5.156, пох (?), 14:14, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    один на все ключи разом, или ключ один на все сервера По-моему, так себе идея ... весь текст скрыт [показать]
     
     
  • 6.169, _ (??), 16:53, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Точно также как в твоём сохранижопие Один на все ключи ... весь текст скрыт [показать]
     
     
  • 7.175, пох (?), 22:07, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    ну и вот чем тогда оно лучше, кроме того что в памяти все ключи разом и в раскры... весь текст скрыт [показать]
     
  • 6.182, Аноним (-), 11:12, 06/05/2017 [^] [ответить]     [к модератору]  
  • +/
    У тебя для каждого сервера отдельный ключ со своим паролем Ты админишь два серв... весь текст скрыт [показать]
     
  • 4.129, Аноним (-), 00:59, 05/05/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен рут и доступ... весь текст скрыт [показать]
     
     
  • 5.153, пох (?), 13:48, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    если у тебя есть доступ к сокету - тебе не очень нужен ключ, агент за тебя проде... весь текст скрыт [показать]
     
     
  • 6.171, _ (??), 16:57, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    1*
    >> рут и доступ к памяти процесса.
    >в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.

    Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.
    goto 1**
    :)

     
     
  • 7.176, пох (?), 22:10, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    зачем тебе его ключ, мы ж локальную сторону хакаем Предположим, уже Тырить фай... весь текст скрыт [показать]
     
     ....нить скрыта, показать (12)

  • 1.52, Аноним (-), 13:51, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Кто-нибудь, научите их записывать ключи на бумажке
     
     
  • 2.54, пох (?), 13:53, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Кто-нибудь, научите их записывать ключи на бумажке

    сперва верните мне мой монитор, с приклеенными бумажками.

     
     
  • 3.60, Майор Домушник (?), 14:07, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Выпиленную дверь уже вернули?
     
     
  • 4.88, пох (?), 17:23, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Выпиленную дверь уже вернули?

    кто писал на ней пароли - сам виноват
    все нормальные люди делают ЭТО на монитор.

     
     
  • 5.167, Аноним (-), 15:55, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    А у вас ещё какие-то маленькие куколки есть же Вы на них это тоже ведь делаете ... весь текст скрыт [показать]
     
  • 1.58, F (?), 14:06, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А если телефон надо сменить? А в том числе с IOS на Android или наоборот?
     
     
  • 2.94, Аноним (-), 17:48, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > А если телефон надо сменить? А в том числе с IOS на
    > Android или наоборот?

    Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.

     
     
  • 3.101, пох (?), 18:22, 04/05/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    д лы, б Учиться им у ms еще сто лет, и так ничему и не научиться Надо было - ... весь текст скрыт [показать]
     
  • 1.67, vitalif (ok), 14:48, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Не надо мне этих чудес DRM для хранения моих ключей... сам потом не достанешь, а гугл достанет.
     
  • 1.79, CHERTS (??), 16:21, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Идея интересная, но ничерта не работает на Debian 8.4
     
  • 1.114, IZh. (?), 19:50, 04/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю больше, чем телефону на андроиде. Даже банально потому, что у андроида кодовая база больше. Если на компе не иметь открытых портов (ну или по минимуму), то какие способы проникновения на комп остаются? По ssh вряд ли. Если только в почтовом клиенте баг или в браузере.

    А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) -- больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к тому же, обожают лезть на свои серверы (https://www.opennet.ru/opennews/art.shtml?num=46472).Опять-таки, многие производители телефонов годами систему не обновляют при десятках известных CVE (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления выходят постоянно.

    И вот на этом вот предлагается хранить ключи?..

     
     
  • 2.117, Аноним (-), 20:42, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    спасибо, что чётко и понятно выразили 98% моих опасений по поводу сего поделия
    +100500
     
  • 2.118, пох (?), 20:54, 04/05/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    там как бе основная фишка - крипто-дивайс У тебя в обычном линуксном компе тако... весь текст скрыт [показать]
     
     
  • 3.146, IZh. (?), 11:33, 05/05/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Чем криптодевайс поможет при получении удалённого доступа к устройству, и аутент... весь текст скрыт [показать]
     
     
  • 4.150, пох (?), 13:11, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    тем что хотя бы работает только в это время А в случае получения удаленного ил... весь текст скрыт [показать]
     
     
  • 5.173, Аноним (-), 18:31, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    А что с ним не так Я серьёзно спрашиваю, может я не в курсе https access red... весь текст скрыт [показать]
     
     
  • 6.177, пох (?), 22:27, 05/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > А что с ним не так? Я серьёзно спрашиваю, может я не
    > https://access.redhat.com/security/cve/cve-2016-10229

    04-19 - мгм...
    баг всплыл в начале апреля (в смысле, о нем уже все узнали, а судя по cve некоторые знали сильно раньше), через пару недель осилили значить...
    Я к этому времени уже потерял интерес к вопросу, хотя и удивлен, почему это в рассылке тихо.

    Если "серьезно" - возьми да и приложи патч - если прилепится, будут вопросы к редхату. (мне интересно, с чего это они решили что неуязвимы, когда nvd считает иначе, но не настолько чтоб возиться - у меня, к счастью, нет редхатов в открытых сетях)

    А пока у меня полный мэйлбокс писем про hdlc и dccp - это уже сколько, пол-года исполнилось или еще рано поздравлять? По hdlc (local root прямо сразу) даже для семерки фикс пришел 12 апреля, что-ли... Original release date: 03/07/2017

     
  • 5.180, IZh. (?), 01:34, 06/05/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    А вы -- прекрасный образец задранного самомнения, любящий переходить на личности... весь текст скрыт [показать]
     
     
  • 6.181, пох (?), 03:22, 06/05/2017 [^] [ответить]     [к модератору]  
  • +/
    я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохр... весь текст скрыт [показать]
     
     
  • 7.183, IZh. (?), 12:39, 06/05/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Мне бы в идеале один телефон Мы про обновления ядра У меня, например, VPS есть... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.140, Аноним (-), 10:34, 05/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Уж лучше Yubikey или аналоги чем это.
     
     
  • 2.142, Майор Домушник (?), 11:10, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Yubikey нативно еще работает на macOS, Windows, Linux при логине.
     
  • 2.147, пох (?), 12:13, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Уж лучше Yubikey или аналоги чем это.

    не лучше.
    Во всяком случае, было пару лет назад, когда я его всерьез разглядывал.

    То есть, там не было единственно-правильного варианта, когда a) ключи не покидают устройство ни в каком случае - можно только показать ему _открытый_ ключик и попросить вердикт или, то что делает предложенная андроедоненужность - показать зашифрованный открытым ключиком server secret, получить в ответ расшифрованный (закрытый ключ _остается_внутри_токена_), зашифровать им ответ серверу "это я". (пункты 2-3 можно в принципе не выпускать наружу из токена, но это уже становится сильно protocol-specific).

    и b) все это делается локально без "облачков".

    Там, вместо этого, были совершенно ненужные варианты "что-то зашифровать block cipher" (это я могу и на основной системе) и "спросить у облачка подтверждение авторизации" - причем, поскольку индусы сэкономили три цента, вариант выбирается при инициализации ключа, если тебе нужен второй - купи два, а то индусу не хватает на краску для лба.

    Слегка утрировано, но суть сохранена - это феерическое ненужно за много денег и с неочевидным (в плане легальности) путем покупки - от рюйских дилеров не удалось даже ответ получить.

    А, ну и да - зашшшита в виде сенсорной кнопки, пинпад/сканер отпечатков индусы тоже не осилили. Любой, сперший у тебя флэшку, автоматически получает все твои пароли.

     
     
  • 3.172, _ (??), 17:41, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Ох, Ё! ... Дык ты из ЫкспЁрдов!
    А я балбес с тобой как с мужиком разговаривал :(

    Для остальных - да, не верьте ему, оно не в теме.
    Вот лучше _сами_ читайте, смотрите картинки и думайте:
    https://developers.yubico.com/U2F/Protocol_details/Overview.html

     
     
  • 4.174, нах (?), 20:44, 05/05/2017 [^] [ответить]     [к модератору]  
  • +/
    действительно не в теме - я изучал вопрос в том самом 2014 на деле в 15м, но ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor