адекватная замена s/key

Andrew Kant написал(а) к Alex Korchmar в May 16 12:55:39 по местному времени:

Нello Alex!

Monday May 16 2016 19:07, Alex Korchmar wrote to Valentin Davydov:

>>> Близким к идеалу мне представляется механизм а-ля генератор банковских
>>> паролей имени vtb24.
VD>> По SMS которые? Так они ж через опсоса проходят.
AK> нет. Для неумеющих пользоваться гуглем:
AK> http://tinyurl.com/zlfadca

Судя по картинкам и описанию, тоже самое легко сделать с любым НSM (например, токеном или смарткартой), который умеет pkcs11. На устройстве лежит ключ от сервера, а дальше приложение делает стандартные функции типа хэширования по ключу. Если есть комп - легко реализуется продаваемыми в широком доступе устройствами. Умельцы говорят, что цепляли токены и к смартфонам. Но это IMНO извращение.

Естественно, пин прийдется вводить, и его у тебя могут стырить, а потом стырить и устройство. Так-же как и с втб24.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Alex Korchmar написал(а) к Andrew Kant в May 16 17:37:13 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:

AK>> http://tinyurl.com/zlfadca
AK> Судя по картинкам и описанию, тоже самое легко сделать с любым НSM
я полагаю, в этот генератор можно затолкать любую смарткарту - во
всяком случае, от карт других банков он ни разу не отказывается. Это просто
клавиатура и дисплей, никакого своего мозга там нет.

AK> токеном или смарткартой), который умеет pkcs11. На устройстве лежит ключ от
AK> сервера, а дальше приложение делает стандартные функции типа хэширования по
думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с номером
карты (надеюсь, не через визовскую коробочку-пинохранилище). Раздавать
пользователям какие-то ключи сервера, даже в неизвлекаемом формате - вряд
ли одобрила бы банковская секьюрить.
Вот эту бы детальку и научиться воспроизводить у себя. Если оно не через
коробочку - то, скорее всего, воспроизводимо, понять бы, как.

AK> Естественно, пин прийдется вводить, и его у тебя могут стырить
могут, но это две разные вещи надо стырить - код и физическое устройство.
Причем этот самый код и сменить недолго, ему незачем быть суперсекьюрным и
неудобозапоминаемым, сам по себе он тоже ничего не дает, поэтому
даже в этом случае не будет гарантии что стырен нужный код. А если не сделать
все очень быстро - я просто блокирую карту, и она превращается в тыкву вместе
с кодами.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Andrew Kant в May 16 17:40:13 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:

AK> Только для того, чтоб им воспользоваться, ты должен обладать
AK> комплектом для персонализации смарткарт, ну и заказать на заводе
AK> собственно пластик с чипом, и
теоретически, и этот вариант годится, наверняка китайцы радостно продадут
десять штук, если найти, где.

Но что-то мне подсказывает, что там даже не спецприложение, а какой-то
штатный базовый функционал.

AK> взаимодействующее с тем, что на карте. Фигня-вопрос :)
дьявол в деталях - где взять их для этой фигни.

> Alex

--- ifmail v.2.15dev5.4

Andrey Ostanovsky написал(а) к Alex Korchmar в May 16 22:58:42 по местному времени:

Нello Alex!

17 May 16 09:10, you wrote to Andrew Kant:

AK> Идея с токенами, не зависящими от внешних сервисов, мне нравится
AK> гораздо больше. Разумеется, если оно сделано "как у ВТБ24", а не как у
AK> рукожопых китайцев из убиквити. Неужели нельзя получить примерно то же
AK> самое в частные руки? Поделка-то сама по себе примитивнейшая, и явно
AK> использует стандартные свойства смарткарты.

Ну так и воспользуйся штатной ssl авторизацией через токен. :)

Andrey

--- GoldED+/BSD 1.1.5-b20070503

Alex Korchmar написал(а) к Andrey Ostanovsky в May 16 23:22:22 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote:

AK>> самое в частные руки? Поделка-то сама по себе примитивнейшая, и явно
AK>> использует стандартные свойства смарткарты.
AO> Ну так и воспользуйся штатной ssl авторизацией через токен. :)
ну и где у нас работает штатная ssl-авторизация через токен?

А то я вот знаю только штатную ssh (не ssl ни в каком месте) авторизацию
через сертификаты, которая нахрен никому не нужна.


> Alex

--- ifmail v.2.15dev5.4

Andrey Ostanovsky написал(а) к Alex Korchmar в May 16 14:57:22 по местному времени:

Нello Alex!

17 May 16 23:22, you wrote to me:

AK>>> самое в частные руки? Поделка-то сама по себе примитивнейшая, и
AK>>> явно использует стандартные свойства смарткарты.
AO>> Ну так и воспользуйся штатной ssl авторизацией через токен. :)
AK> ну и где у нас работает штатная ssl-авторизация через токен?
AK> А то я вот знаю только штатную ssh (не ssl ни в каком месте)
AK> авторизацию через сертификаты, которая нахрен никому не нужна.

В токен все равно что-то человеко-ориентированное класть придется. :)
Впрочем, если оно тебе не надо - то нет смысла и распинаться...

Andrey

--- GoldED+/BSD 1.1.5-b20070503

Alex Korchmar написал(а) к Andrey Ostanovsky в May 16 15:29:17 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote:

AK>> ну и где у нас работает штатная ssl-авторизация через токен?
AO> В токен все равно что-то человеко-ориентированное класть придется. :)
тогда это плохой токен.

AO> Впрочем, если оно тебе не надо - то нет смысла и распинаться...
я вроде бы достаточно понятно сформулировал, что именно надо.
Даже забавно, что тут уже не осталось тех, кому понятно, зачем, и почему
дальше жить с прежними методами нельзя уже совсем.

видимо, проще искать концы в СБ втб* (главное, чтоб они не обосрались,
на всякий случай, превентивно)


> Alex
P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для
употребления. Опять таки - если кто-то знает способ изготовления таковых на
дому. Тоже никого?


--- ifmail v.2.15dev5.4

Sergey Poziturin написал(а) к Alex Korchmar в May 16 11:09:12 по местному времени:

Нello, Alex Korchmar.
On 23.05.16 17:44 you wrote:

AK>> А без доступа к технологическим ключам он бессмысленен - карта
AK>> будет делать только то, на что она заточена.
AK> мне и надо только то, на что она заточена. в общем, хорошие люди
AK> послали на emvco.org спек читать. Боюсь, правда, это еще одну
AK> жизнь надо одолжить.

Именно так. Более того, за весь свой опыт работы в сфере (15 лет) я встретил только одного хорошего специалиста по теме. Что как бы намекает.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13/Android