адекватная замена s/key
Alex Korchmar написал(а) к All в May 16 12:14:25 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Вопрос, конечно, для секьюрити, но она, небось, мертвая давно. Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp? Адекватность заключается в том, что в мире, где из каждой дырки торчит видеокамера, никакие пароли вводить нельзя даже на trusted устройстве. Близким к идеалу мне представляется механизм а-ля генератор банковских паролей имени vtb24. Абсолютно непригодными - любые "облачные" технологии, равно как и любые другие, хранящие пароль или его эквивалент в непонятном неверифицируемом софте имени неведомых дибилов. Я правильно понимаю, что первое получить в собственные руки нереально ни за какие деньги, а доступно только второе, причем в наихудших вариантах? > Alex P.S. я уже даже не ставлю условия работы этой технологии в каких-то конкретных операционных системах, не говоря уже о совместимости с распространенными протоколами и софтом. Как нибудь, хотя бы для интерактивного доступа на trusted host под любой операционкой. Можно не free. --- ifmail v.2.15dev5.4 |
Re: адекватная замена s/key
Valentin Davydov написал(а) к Alex Korchmar в May 16 15:28:03 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alex Korchmar <noreply@linux.e-moe.ru> > Date: Mon, 16 May 2016 09:14:25 +0000 (UTC) > >Вопрос, конечно, для секьюрити, но она, небось, мертвая давно. > >Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp? А чем конкретно тебя штатная opie не удовлетворяет (ну, кроме работы через pam, дырявый by design)? >Адекватность заключается в том, что в мире, где из каждой дырки >торчит видеокамера, никакие пароли вводить нельзя даже на trusted устройстве. > >Близким к идеалу мне представляется механизм а-ля генератор банковских паролей >имени vtb24. По SMS которые? Так они ж через опсоса проходят. >Абсолютно непригодными - любые "облачные" технологии, равно как и любые другие, >хранящие пароль или его эквивалент в непонятном неверифицируемом софте имени >неведомых дибилов. Допускается ли передача через облако одноразовых паролей ограниченного срока действия? Вал. Дав. --- ifmail v.2.15dev5.4 |
адекватная замена s/key
Andrew Kolchoogin написал(а) к Alex Korchmar в May 16 16:04:02 по местному времени:
Нello Alex. 16 May 16 12:14, you wrote to all: AK> Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для AK> otp? Нет таких альтернатив. Лучшая альтернатива OTP -- это OTP. В качестве "полухардварного" OTP можно взять смартфон с Google Authenticator'ом, и вкрутить его в PAM-стек -- дешево и сердито. Если же можно пожертвовать дешевизной для пущей сердитости -- тогда YubiKey. Andrew ... God made the people -- Colonel Colt made them equal --- Пером по пергаменту |
Re: адекватная замена s/key
Eugene Grosbein написал(а) к Valentin Davydov в May 16 21:12:35 по местному времени:
16 май 2016, понедельник, в 13:28 NOVT, Valentin Davydov написал(а): >>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей >>имени vtb24. VD> По SMS которые? Так они ж через опсоса проходят. У них одно время были аппаратные штуки. А нынче приложение [url]http://www.vtb24.ru/personal/service/remote/internet/security/token/Pages/default.aspx[/url] Eugene --- slrn/1.0.2 (FreeBSD) |
Re: адекватная замена s/key
Alex Korchmar написал(а) к Valentin Davydov в May 16 19:07:08 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Valentin Davydov <sp@m.davydov.spb.su> wrote: >>Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp? VD> А чем конкретно тебя штатная opie не удовлетворяет (ну, кроме работы то что надо вводить [b]пароль[/b]. И любой хер посмотревший видеозапись (на деле достаточно - прослушавший аудиозапись близко к клавиатуре), может это повторить в любое удобное ему время. >>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей >>имени vtb24. VD> По SMS которые? Так они ж через опсоса проходят. нет. Для неумеющих пользоваться гуглем: [url]http://tinyurl.com/zlfadca[/url] VD> Допускается ли передача через облако одноразовых паролей ограниченного VD> срока действия? [b]передача[/b] - да. Можно даже и через опсоса, кстати. Но я слабо представляю себе такую технологию, не храняющую где-то плейнтекстом пароли или их эквиваленты. Большинство говоноблачных решений (убикей в облачной ипостаси - тоже) вместо пароля присылает тупо подтверждение авторизации. То есть написаны принципиально %даками без капли мозга. Для таких же башковитых парней, которых заботит не безопасность, а как бы это попроще и без напряжения межушного хряща стотыщепервый вариант аутентификации к пустому месту прикрутить. > Alex --- ifmail v.2.15dev5.4 |
Re: адекватная замена s/key
Alex Korchmar написал(а) к Eugene Grosbein в May 16 19:08:09 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: EG> У них одно время были аппаратные штуки. и остались. Но они стоят денег, поэтому крайне непопулярны. EG> А нынче приложение а это для лохов у которых много лишних бабок. > Alex --- ifmail v.2.15dev5.4 |
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 14:15:30 по местному времени:
Нello Alex! Monday May 16 2016 12:14, Alex Korchmar wrote to All: AK> Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для AK> otp? Адекватность заключается в том, что в мире, где из каждой AK> дырки торчит видеокамера, никакие пароли вводить нельзя даже на trusted AK> устройстве. AK> Близким к идеалу мне представляется механизм а-ля генератор банковских AK> паролей имени vtb24. AK> Абсолютно непригодными - любые "облачные" технологии, равно как и любые AK> другие, хранящие пароль или его эквивалент в непонятном неверифицируемом AK> софте имени неведомых дибилов. AK> Как нибудь, хотя бы для AK> интерактивного доступа на trusted host под любой операционкой. AK> Можно не AK> free. Ну есть довольно доступные технологии проверки через "обратный дозвон", например, отправкой одноразового (и короткодействующего) пароля по какому-то только тебе известному каналу, на почту или смс. Или публиковать в колонке новостей рекламное объявление типа "Юстас сегодня принимает по адресу ....". Дальше только твоя фантазия ограничивает, что делать с тем, что, как и куда отправляют - слать в чистом виде, предварительно закодировать твоим сертификатом или каким-то суперсекретным шифром. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 09:10:30 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: AK> Ну есть довольно доступные технологии проверки через "обратный дозвон", есть технологии или "ну можно на коленке что-то такое попытаться наклепать"? На коленке проще всего наклепать otp-генератор для мобилы - хранящий пароль внутри мобилы и спрашивающий пин для разблокировки. Поскольку все детали для него есть, а безопасность такого решения на порядок выше существующих готовых. AK> например, отправкой одноразового (и короткодействующего) пароля AK> по какому-то только тебе известному каналу, на почту или смс. проблема, помимо чудовищного неудобства, еще и в том, что этот канал вообще должен работать в нужный момент. А не "оппа, а в этой стране у МТС нет роуминга ВООБЩЕ". Ага, так бывает. Идея с токенами, не зависящими от внешних сервисов, мне нравится гораздо больше. Разумеется, если оно сделано "как у ВТБ24", а не как у рукожопых китайцев из убиквити. Неужели нельзя получить примерно то же самое в частные руки? Поделка-то сама по себе примитивнейшая, и явно использует стандартные свойства смарткарты. > Alex --- ifmail v.2.15dev5.4 |
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 12:45:00 по местному времени:
Нello Alex! Tuesday May 17 2016 09:10, Alex Korchmar wrote to Andrew Kant: AK> Идея с токенами, не зависящими от внешних сервисов, мне нравится гораздо AK> больше. Разумеется, если оно сделано "как у ВТБ24", а не как у рукожопых AK> китайцев из убиквити. AK> Неужели нельзя получить примерно то же самое в частные руки? Поделка-то AK> сама по себе примитивнейшая, и явно использует стандартные свойства AK> смарткарты. Ага, стандартное свойство - на неё при заказе можно записать своё приложение. Только для того, чтоб им воспользоваться, ты должен обладать комплектом для персонализации смарткарт, ну и заказать на заводе собственно пластик с чипом, и тогда тебе завод привезет карты и ключи для заливки. А дальше станднартный (ну или оформленный в виде пароль-генератора) карт-ридер и приложение, взаимодействующее с тем, что на карте. Фигня-вопрос :) Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 12:55:39 по местному времени:
Нello Alex! Monday May 16 2016 19:07, Alex Korchmar wrote to Valentin Davydov: >>> Близким к идеалу мне представляется механизм а-ля генератор банковских >>> паролей имени vtb24. VD>> По SMS которые? Так они ж через опсоса проходят. AK> нет. Для неумеющих пользоваться гуглем: AK> [url]http://tinyurl.com/zlfadca[/url] Судя по картинкам и описанию, тоже самое легко сделать с любым НSM (например, токеном или смарткартой), который умеет pkcs11. На устройстве лежит ключ от сервера, а дальше приложение делает стандартные функции типа хэширования по ключу. Если есть комп - легко реализуется продаваемыми в широком доступе устройствами. Умельцы говорят, что цепляли токены и к смартфонам. Но это IMНO извращение. Естественно, пин прийдется вводить, и его у тебя могут стырить, а потом стырить и устройство. Так-же как и с втб24. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
Текущее время: 20:06. Часовой пояс GMT +4. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot