адекватная замена s/key

Alex Korchmar написал(а) к All в May 16 12:14:25 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>


Вопрос, конечно, для секьюрити, но она, небось, мертвая давно.

Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp?
Адекватность заключается в том, что в мире, где из каждой дырки
торчит видеокамера, никакие пароли вводить нельзя даже на trusted устройстве.

Близким к идеалу мне представляется механизм а-ля генератор банковских паролей
имени vtb24.

Абсолютно непригодными - любые "облачные" технологии, равно как и любые другие,
хранящие пароль или его эквивалент в непонятном неверифицируемом софте имени
неведомых дибилов.

Я правильно понимаю, что первое получить в собственные руки нереально ни за
какие деньги, а доступно только второе, причем в наихудших вариантах?

> Alex
P.S. я уже даже не ставлю условия работы этой технологии в каких-то конкретных
операционных системах, не говоря уже о совместимости с распространенными
протоколами и софтом. Как нибудь, хотя бы для интерактивного доступа на
trusted host под любой операционкой. Можно не free.

--- ifmail v.2.15dev5.4

Valentin Davydov написал(а) к Alex Korchmar в May 16 15:28:03 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alex Korchmar <noreply@linux.e-moe.ru>
> Date: Mon, 16 May 2016 09:14:25 +0000 (UTC)
>
>Вопрос, конечно, для секьюрити, но она, небось, мертвая давно.
>
>Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp?

А чем конкретно тебя штатная opie не удовлетворяет (ну, кроме работы
через pam, дырявый by design)?

>Адекватность заключается в том, что в мире, где из каждой дырки
>торчит видеокамера, никакие пароли вводить нельзя даже на trusted устройстве.
>
>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей
>имени vtb24.

По SMS которые? Так они ж через опсоса проходят.

>Абсолютно непригодными - любые "облачные" технологии, равно как и любые другие,
>хранящие пароль или его эквивалент в непонятном неверифицируемом софте имени
>неведомых дибилов.

Допускается ли передача через облако одноразовых паролей ограниченного
срока действия?

Вал. Дав.

--- ifmail v.2.15dev5.4

Andrew Kolchoogin написал(а) к Alex Korchmar в May 16 16:04:02 по местному времени:

Нello Alex.

16 May 16 12:14, you wrote to all:

AK> Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для
AK> otp?
Нет таких альтернатив. Лучшая альтернатива OTP -- это OTP.

В качестве "полухардварного" OTP можно взять смартфон с Google Authenticator'ом, и вкрутить его в PAM-стек -- дешево и сердито. Если же можно пожертвовать дешевизной для пущей сердитости -- тогда YubiKey.

Andrew

... God made the people -- Colonel Colt made them equal
--- Пером по пергаменту

Eugene Grosbein написал(а) к Valentin Davydov в May 16 21:12:35 по местному времени:

16 май 2016, понедельник, в 13:28 NOVT, Valentin Davydov написал(а):

>>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей
>>имени vtb24.
VD> По SMS которые? Так они ж через опсоса проходят.

У них одно время были аппаратные штуки.
А нынче приложение
http://www.vtb24.ru/personal/service...s/default.aspx

Eugene
--- slrn/1.0.2 (FreeBSD)

Alex Korchmar написал(а) к Valentin Davydov в May 16 19:07:08 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Valentin Davydov <sp@m.davydov.spb.su> wrote:

>>Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для otp?
VD> А чем конкретно тебя штатная opie не удовлетворяет (ну, кроме работы
то что надо вводить пароль. И любой хер посмотревший видеозапись (на деле
достаточно - прослушавший аудиозапись близко к клавиатуре), может это
повторить в любое удобное ему время.

>>Близким к идеалу мне представляется механизм а-ля генератор банковских паролей
>>имени vtb24.
VD> По SMS которые? Так они ж через опсоса проходят.
нет. Для неумеющих пользоваться гуглем:
http://tinyurl.com/zlfadca

VD> Допускается ли передача через облако одноразовых паролей ограниченного
VD> срока действия?
передача - да. Можно даже и через опсоса, кстати.
Но я слабо представляю себе такую технологию, не храняющую где-то плейнтекстом
пароли или их эквиваленты.
Большинство говоноблачных решений (убикей в облачной ипостаси - тоже) вместо
пароля присылает тупо подтверждение авторизации.
То есть написаны принципиально %даками без капли мозга. Для таких же башковитых
парней, которых заботит не безопасность, а как бы это попроще и без напряжения
межушного хряща стотыщепервый вариант аутентификации к пустому месту
прикрутить.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Eugene Grosbein в May 16 19:08:09 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> У них одно время были аппаратные штуки.
и остались. Но они стоят денег, поэтому крайне непопулярны.

EG> А нынче приложение
а это для лохов у которых много лишних бабок.


> Alex

--- ifmail v.2.15dev5.4

Andrew Kant написал(а) к Alex Korchmar в May 16 14:15:30 по местному времени:

Нello Alex!

Monday May 16 2016 12:14, Alex Korchmar wrote to All:

AK> Нет ли у кого мыслей об адекватных сегодняшнему дню альтернативах для
AK> otp? Адекватность заключается в том, что в мире, где из каждой
AK> дырки торчит видеокамера, никакие пароли вводить нельзя даже на trusted
AK> устройстве.

AK> Близким к идеалу мне представляется механизм а-ля генератор банковских
AK> паролей имени vtb24.

AK> Абсолютно непригодными - любые "облачные" технологии, равно как и любые
AK> другие, хранящие пароль или его эквивалент в непонятном неверифицируемом
AK> софте имени неведомых дибилов.

AK> Как нибудь, хотя бы для
AK> интерактивного доступа на trusted host под любой операционкой.
AK> Можно не
AK> free.

Ну есть довольно доступные технологии проверки через "обратный дозвон", например, отправкой одноразового (и короткодействующего) пароля по какому-то только тебе известному каналу, на почту или смс. Или публиковать в колонке новостей рекламное объявление типа "Юстас сегодня принимает по адресу ....". Дальше только твоя фантазия ограничивает, что делать с тем, что, как и куда отправляют - слать в чистом виде, предварительно закодировать твоим сертификатом или каким-то суперсекретным шифром.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Alex Korchmar написал(а) к Andrew Kant в May 16 09:10:30 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:

AK> Ну есть довольно доступные технологии проверки через "обратный дозвон",
есть технологии или "ну можно на коленке что-то такое попытаться наклепать"?
На коленке проще всего наклепать otp-генератор для мобилы - хранящий пароль
внутри мобилы и спрашивающий пин для разблокировки. Поскольку все детали для
него есть, а безопасность такого решения на порядок выше существующих готовых.

AK> например, отправкой одноразового (и короткодействующего) пароля
AK> по какому-то только тебе известному каналу, на почту или смс.
проблема, помимо чудовищного неудобства, еще и в том, что этот канал
вообще должен работать в нужный момент. А не "оппа, а в этой стране у МТС
нет роуминга ВООБЩЕ". Ага, так бывает.

Идея с токенами, не зависящими от внешних сервисов, мне нравится гораздо
больше. Разумеется, если оно сделано "как у ВТБ24", а не как у рукожопых
китайцев из убиквити.
Неужели нельзя получить примерно то же самое в частные руки? Поделка-то сама
по себе примитивнейшая, и явно использует стандартные свойства смарткарты.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Valentin Davydov в May 16 15:03:47 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Valentin Davydov <sp@m.davydov.spb.su> wrote:
>>
>>P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для
>>употребления. Опять таки - если кто-то знает способ изготовления таковых на
>>дому. Тоже никого?

VD> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши)
а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает пачками
забесплатно.
Понятно, я у него не один, ну так может есть менее мощные и более дешевые
принтеры?
Или готовый сервис по печатанию. Без явно видимого любопытного мальчика с
камерой и блокнотиком.


> Alex

--- ifmail v.2.15dev5.4

Valentin Davydov написал(а) к Alex Korchmar в May 16 15:36:48 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alex Korchmar <noreply@linux.e-moe.ru>
> Date: Fri, 20 May 2016 12:03:47 +0000 (UTC)
>
>>>P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для
>>>употребления. Опять таки - если кто-то знает способ изготовления таковых на
>>>дому. Тоже никого?
>
>VD> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши)
>а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает пачками
>забесплатно.

Так банк их пачками и печатает, а не по одной.

>Понятно, я у него не один, ну так может есть менее мощные и более дешевые
>принтеры?

Есть, но расходники дорогие.

>Или готовый сервис по печатанию. Без явно видимого любопытного мальчика с
>камерой и блокнотиком.

Да даже и у персонального принтера на сотню карточек в месяц - и то драйвер
сугубо виндовый, и Б.-Г. весть, кому он твои пароли отправит.

Вал. Дав.
--- ifmail v.2.15dev5.4