#21
|
|||
|
|||
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 12:55:39 по местному времени:
Нello Alex! Monday May 16 2016 19:07, Alex Korchmar wrote to Valentin Davydov: >>> Близким к идеалу мне представляется механизм а-ля генератор банковских >>> паролей имени vtb24. VD>> По SMS которые? Так они ж через опсоса проходят. AK> нет. Для неумеющих пользоваться гуглем: AK> http://tinyurl.com/zlfadca Судя по картинкам и описанию, тоже самое легко сделать с любым НSM (например, токеном или смарткартой), который умеет pkcs11. На устройстве лежит ключ от сервера, а дальше приложение делает стандартные функции типа хэширования по ключу. Если есть комп - легко реализуется продаваемыми в широком доступе устройствами. Умельцы говорят, что цепляли токены и к смартфонам. Но это IMНO извращение. Естественно, пин прийдется вводить, и его у тебя могут стырить, а потом стырить и устройство. Так-же как и с втб24. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#22
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 17:37:13 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: AK>> http://tinyurl.com/zlfadca AK> Судя по картинкам и описанию, тоже самое легко сделать с любым НSM я полагаю, в этот генератор можно затолкать любую смарткарту - во всяком случае, от карт других банков он ни разу не отказывается. Это просто клавиатура и дисплей, никакого своего мозга там нет. AK> токеном или смарткартой), который умеет pkcs11. На устройстве лежит ключ от AK> сервера, а дальше приложение делает стандартные функции типа хэширования по думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с номером карты (надеюсь, не через визовскую коробочку-пинохранилище). Раздавать пользователям какие-то ключи сервера, даже в неизвлекаемом формате - вряд ли одобрила бы банковская секьюрить. Вот эту бы детальку и научиться воспроизводить у себя. Если оно не через коробочку - то, скорее всего, воспроизводимо, понять бы, как. AK> Естественно, пин прийдется вводить, и его у тебя могут стырить могут, но это две разные вещи надо стырить - код и физическое устройство. Причем этот самый код и сменить недолго, ему незачем быть суперсекьюрным и неудобозапоминаемым, сам по себе он тоже ничего не дает, поэтому даже в этом случае не будет гарантии что стырен нужный код. А если не сделать все очень быстро - я просто блокирую карту, и она превращается в тыкву вместе с кодами. > Alex --- ifmail v.2.15dev5.4 |
#23
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 17:40:13 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: AK> Только для того, чтоб им воспользоваться, ты должен обладать AK> комплектом для персонализации смарткарт, ну и заказать на заводе AK> собственно пластик с чипом, и теоретически, и этот вариант годится, наверняка китайцы радостно продадут десять штук, если найти, где. Но что-то мне подсказывает, что там даже не спецприложение, а какой-то штатный базовый функционал. AK> взаимодействующее с тем, что на карте. Фигня-вопрос :) дьявол в деталях - где взять их для этой фигни. > Alex --- ifmail v.2.15dev5.4 |
#24
|
|||
|
|||
адекватная замена s/key
Andrey Ostanovsky написал(а) к Alex Korchmar в May 16 22:58:42 по местному времени:
Нello Alex! 17 May 16 09:10, you wrote to Andrew Kant: AK> Идея с токенами, не зависящими от внешних сервисов, мне нравится AK> гораздо больше. Разумеется, если оно сделано "как у ВТБ24", а не как у AK> рукожопых китайцев из убиквити. Неужели нельзя получить примерно то же AK> самое в частные руки? Поделка-то сама по себе примитивнейшая, и явно AK> использует стандартные свойства смарткарты. Ну так и воспользуйся штатной ssl авторизацией через токен. :) Andrey --- GoldED+/BSD 1.1.5-b20070503 |
#25
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrey Ostanovsky в May 16 23:22:22 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote: AK>> самое в частные руки? Поделка-то сама по себе примитивнейшая, и явно AK>> использует стандартные свойства смарткарты. AO> Ну так и воспользуйся штатной ssl авторизацией через токен. :) ну и где у нас работает штатная ssl-авторизация через токен? А то я вот знаю только штатную ssh (не ssl ни в каком месте) авторизацию через сертификаты, которая нахрен никому не нужна. > Alex --- ifmail v.2.15dev5.4 |
#26
|
|||
|
|||
адекватная замена s/key
Andrey Ostanovsky написал(а) к Alex Korchmar в May 16 14:57:22 по местному времени:
Нello Alex! 17 May 16 23:22, you wrote to me: AK>>> самое в частные руки? Поделка-то сама по себе примитивнейшая, и AK>>> явно использует стандартные свойства смарткарты. AO>> Ну так и воспользуйся штатной ssl авторизацией через токен. :) AK> ну и где у нас работает штатная ssl-авторизация через токен? AK> А то я вот знаю только штатную ssh (не ssl ни в каком месте) AK> авторизацию через сертификаты, которая нахрен никому не нужна. В токен все равно что-то человеко-ориентированное класть придется. :) Впрочем, если оно тебе не надо - то нет смысла и распинаться... Andrey --- GoldED+/BSD 1.1.5-b20070503 |
#27
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrey Ostanovsky в May 16 15:29:17 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote: AK>> ну и где у нас работает штатная ssl-авторизация через токен? AO> В токен все равно что-то человеко-ориентированное класть придется. :) тогда это плохой токен. AO> Впрочем, если оно тебе не надо - то нет смысла и распинаться... я вроде бы достаточно понятно сформулировал, что именно надо. Даже забавно, что тут уже не осталось тех, кому понятно, зачем, и почему дальше жить с прежними методами нельзя уже совсем. видимо, проще искать концы в СБ втб* (главное, чтоб они не обосрались, на всякий случай, превентивно) > Alex P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для употребления. Опять таки - если кто-то знает способ изготовления таковых на дому. Тоже никого? --- ifmail v.2.15dev5.4 |
#28
|
|||
|
|||
Re: адекватная замена s/key
Sergey Poziturin написал(а) к Alex Korchmar в May 16 11:09:12 по местному времени:
Нello, Alex Korchmar. On 23.05.16 17:44 you wrote: AK>> А без доступа к технологическим ключам он бессмысленен - карта AK>> будет делать только то, на что она заточена. AK> мне и надо только то, на что она заточена. в общем, хорошие люди AK> послали на emvco.org спек читать. Боюсь, правда, это еще одну AK> жизнь надо одолжить. Именно так. Более того, за весь свой опыт работы в сфере (15 лет) я встретил только одного хорошего специалиста по теме. Что как бы намекает. -- Best regards! Posted using Нotdoged on Android --- Нotdoged/2.13/Android |