#1
|
|||
|
|||
адекватная замена s/key
Alex Korchmar написал(а) к All в May 16 12:14:25 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Вопрос, конечно, для секьюрити, но она, небось, мертвая давно. Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp? Адекватность заключается в том, что в мире, где из каждой дырки торчит видеокамера, никакие пароли вводить нельзя даже на trusted устройстве. Близким к идеалу мне представляется механизм а-ля генератор банковских паролей имени vtb24. Абсолютно непригодными - любые "облачные" технологии, равно как и любые другие, хранящие пароль или его эквивалент в непонятном неверифицируемом софте имени неведомых дибилов. Я правильно понимаю, что первое получить в собственные руки нереально ни за какие деньги, а доступно только второе, причем в наихудших вариантах? > Alex P.S. я уже даже не ставлю условия работы этой технологии в каких-то конкретных операционных системах, не говоря уже о совместимости с распространенными протоколами и софтом. Как нибудь, хотя бы для интерактивного доступа на trusted host под любой операционкой. Можно не free. --- ifmail v.2.15dev5.4 |
#2
|
|||
|
|||
Re: адекватная замена s/key
Valentin Davydov написал(а) к Alex Korchmar в May 16 15:28:03 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alex Korchmar <noreply@linux.e-moe.ru> > Date: Mon, 16 May 2016 09:14:25 +0000 (UTC) > >Вопрос, конечно, для секьюрити, но она, небось, мертвая давно. > >Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp? А чем конкретно тебя штатная opie не удовлетворяет (ну, кроме работы через pam, дырявый by design)? >Адекватность заключается в том, что в мире, где из каждой дырки >торчит видеокамера, никакие пароли вводить нельзя даже на trusted устройстве. > >Близким к идеалу мне представляется механизм а-ля генератор банковских паролей >имени vtb24. По SMS которые? Так они ж через опсоса проходят. >Абсолютно непригодными - любые "облачные" технологии, равно как и любые другие, >хранящие пароль или его эквивалент в непонятном неверифицируемом софте имени >неведомых дибилов. Допускается ли передача через облако одноразовых паролей ограниченного срока действия? Вал. Дав. --- ifmail v.2.15dev5.4 |
#3
|
|||
|
|||
адекватная замена s/key
Andrew Kolchoogin написал(а) к Alex Korchmar в May 16 16:04:02 по местному времени:
Нello Alex. 16 May 16 12:14, you wrote to all: AK> Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для AK> otp? Нет таких альтернатив. Лучшая альтернатива OTP -- это OTP. В качестве "полухардварного" OTP можно взять смартфон с Google Authenticator'ом, и вкрутить его в PAM-стек -- дешево и сердито. Если же можно пожертвовать дешевизной для пущей сердитости -- тогда YubiKey. Andrew ... God made the people -- Colonel Colt made them equal --- Пером по пергаменту |
#4
|
|||
|
|||
Re: адекватная замена s/key
Eugene Grosbein написал(а) к Valentin Davydov в May 16 21:12:35 по местному времени:
16 май 2016, понедельник, в 13:28 NOVT, Valentin Davydov написал(а): >>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей >>имени vtb24. VD> По SMS которые? Так они ж через опсоса проходят. У них одно время были аппаратные штуки. А нынче приложение http://www.vtb24.ru/personal/service...s/default.aspx Eugene --- slrn/1.0.2 (FreeBSD) |
#5
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Valentin Davydov в May 16 19:07:08 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Valentin Davydov <sp@m.davydov.spb.su> wrote: >>Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp? VD> А чем конкретно тебя штатная opie не удовлетворяет (ну, кроме работы то что надо вводить пароль. И любой хер посмотревший видеозапись (на деле достаточно - прослушавший аудиозапись близко к клавиатуре), может это повторить в любое удобное ему время. >>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей >>имени vtb24. VD> По SMS которые? Так они ж через опсоса проходят. нет. Для неумеющих пользоваться гуглем: http://tinyurl.com/zlfadca VD> Допускается ли передача через облако одноразовых паролей ограниченного VD> срока действия? передача - да. Можно даже и через опсоса, кстати. Но я слабо представляю себе такую технологию, не храняющую где-то плейнтекстом пароли или их эквиваленты. Большинство говоноблачных решений (убикей в облачной ипостаси - тоже) вместо пароля присылает тупо подтверждение авторизации. То есть написаны принципиально %даками без капли мозга. Для таких же башковитых парней, которых заботит не безопасность, а как бы это попроще и без напряжения межушного хряща стотыщепервый вариант аутентификации к пустому месту прикрутить. > Alex --- ifmail v.2.15dev5.4 |
#6
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Eugene Grosbein в May 16 19:08:09 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: EG> У них одно время были аппаратные штуки. и остались. Но они стоят денег, поэтому крайне непопулярны. EG> А нынче приложение а это для лохов у которых много лишних бабок. > Alex --- ifmail v.2.15dev5.4 |
#7
|
|||
|
|||
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 14:15:30 по местному времени:
Нello Alex! Monday May 16 2016 12:14, Alex Korchmar wrote to All: AK> Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для AK> otp? Адекватность заключается в том, что в мире, где из каждой AK> дырки торчит видеокамера, никакие пароли вводить нельзя даже на trusted AK> устройстве. AK> Близким к идеалу мне представляется механизм а-ля генератор банковских AK> паролей имени vtb24. AK> Абсолютно непригодными - любые "облачные" технологии, равно как и любые AK> другие, хранящие пароль или его эквивалент в непонятном неверифицируемом AK> софте имени неведомых дибилов. AK> Как нибудь, хотя бы для AK> интерактивного доступа на trusted host под любой операционкой. AK> Можно не AK> free. Ну есть довольно доступные технологии проверки через "обратный дозвон", например, отправкой одноразового (и короткодействующего) пароля по какому-то только тебе известному каналу, на почту или смс. Или публиковать в колонке новостей рекламное объявление типа "Юстас сегодня принимает по адресу ....". Дальше только твоя фантазия ограничивает, что делать с тем, что, как и куда отправляют - слать в чистом виде, предварительно закодировать твоим сертификатом или каким-то суперсекретным шифром. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#8
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 09:10:30 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: AK> Ну есть довольно доступные технологии проверки через "обратный дозвон", есть технологии или "ну можно на коленке что-то такое попытаться наклепать"? На коленке проще всего наклепать otp-генератор для мобилы - хранящий пароль внутри мобилы и спрашивающий пин для разблокировки. Поскольку все детали для него есть, а безопасность такого решения на порядок выше существующих готовых. AK> например, отправкой одноразового (и короткодействующего) пароля AK> по какому-то только тебе известному каналу, на почту или смс. проблема, помимо чудовищного неудобства, еще и в том, что этот канал вообще должен работать в нужный момент. А не "оппа, а в этой стране у МТС нет роуминга ВООБЩЕ". Ага, так бывает. Идея с токенами, не зависящими от внешних сервисов, мне нравится гораздо больше. Разумеется, если оно сделано "как у ВТБ24", а не как у рукожопых китайцев из убиквити. Неужели нельзя получить примерно то же самое в частные руки? Поделка-то сама по себе примитивнейшая, и явно использует стандартные свойства смарткарты. > Alex --- ifmail v.2.15dev5.4 |
#9
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Valentin Davydov в May 16 15:03:47 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Valentin Davydov <sp@m.davydov.spb.su> wrote: >> >>P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для >>употребления. Опять таки - если кто-то знает способ изготовления таковых на >>дому. Тоже никого? VD> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши) а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает пачками забесплатно. Понятно, я у него не один, ну так может есть менее мощные и более дешевые принтеры? Или готовый сервис по печатанию. Без явно видимого любопытного мальчика с камерой и блокнотиком. > Alex --- ifmail v.2.15dev5.4 |
#10
|
|||
|
|||
Re: адекватная замена s/key
Valentin Davydov написал(а) к Alex Korchmar в May 16 15:36:48 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alex Korchmar <noreply@linux.e-moe.ru> > Date: Fri, 20 May 2016 12:03:47 +0000 (UTC) > >>>P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для >>>употребления. Опять таки - если кто-то знает способ изготовления таковых на >>>дому. Тоже никого? > >VD> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши) >а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает пачками >забесплатно. Так банк их пачками и печатает, а не по одной. >Понятно, я у него не один, ну так может есть менее мощные и более дешевые >принтеры? Есть, но расходники дорогие. >Или готовый сервис по печатанию. Без явно видимого любопытного мальчика с >камерой и блокнотиком. Да даже и у персонального принтера на сотню карточек в месяц - и то драйвер сугубо виндовый, и Б.-Г. весть, кому он твои пароли отправит. Вал. Дав. --- ifmail v.2.15dev5.4 |