Адрес для входа в РФ: exler.bar
Как избавиться от паролей
19.11.2018 17:52
12792
Комментарии (72)
Любопытная статья о системе, которая должна позволить авторизоваться без логинов-паролей - с помощью токена: "Вы так и не научились пользоваться безопасными паролями"?
Токен — это компактное устройство, подключающееся к компьютеру или телефону через USB, NFC или Bluetooth. Он похож на обычную флешку, хранит зашифрованную информацию, защищен от взлома, например, пин-кодом.
В рамках проекта FIDO2 (Fast IDentity Online) одноименный альянс разработал специальный беспарольный протокол аутентификации интернет-пользователей. Вместо связки логина и пароля они предложили использовать секретный ключ, который хранится на аутентификаторе — на токене.
Первым делом пользователь должен привязать свой токен к учетной записи. При регистрации токена тот с помощью браузера общается с сайтом, отправляет на сервер публичный ключ и подписывает всю «переписку» своим секретным ключом. Сайт сохраняет публичный ключ и запоминает, что он связан с конкретной учетной записью. В будущем сайт с помощью этого публичного ключа будет проверять подписи, сделанные секретным ключом, и понимать, к какой учетной записи давать доступ пользователю.
Перед использованием токен попросит пользователя пройти дополнительную проверку. Например, ввести пин-код или дотронуться до встроенного сканера отпечатков пальцев. Это необходимо для защиты от кражи.
Интересная история. Схема закрытый и открытый ключ давно используется в различных видах шифрования. И я тоже задумывался над тем, почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно. Если в скором времени такое введут - будет здорово.
Там, конечно, возникают всякие вопросы из серии "А если я потерял токен? А если я в поездке потерял токен?" и так далее, но это все решаемо.
Войдите, чтобы оставить комментарий.
RSA на этом весь бизнес построили в свое время - их токены (сначала физические, потом виртуальные в виде приложения для телефона) были везде, во всех крупных компаниях. А потом их сеть сломали и украли алгоритм...
Не совсем понятно, а зачем нужен физически отделяемый от компьютера токен. Можно же сделать (и у некоторых больших фирм так и сделано) виртуальный токен на лаптопе/телефоне.
Виртуальный токен на лаптопе от пароля по большому счету не отличается.
Не совсем понятно, а зачем нужен физически отделяемый от компьютера токен.
И я тоже задумывался над тем, почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно.
2. Давным-давно используют. Любая аутентификация по персональному сертификату - это как раз она и есть.
При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее. С точки зрения надежности работоспообности Юсб-флешки. Кто восстанавливал из 0, тот поймет.
По отпечатку пальца - рулеж 😄
По отпечатку пальца - рулеж 😄
При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернеечто за чушь вы несёте?
При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее. С точки зрения надежности работоспообности Юсб-флешки. Кто восстанавливал из 0, тот поймет.По отпечатку пальца - рулеж 😄
При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее
Пользовался Token, пока банк Связной был жив. Не понравилось. На мой взгляд, дополнительная авторизация по СМС лучше.
Я в оригинальной статье комментить не стал (ибо нужен вход через соцсети), но здесь, извините, плюхну ложку дегтя. Не умаляя полезности, ценности, актуальности токенов...
У Троя Ханта (не последний человек в ИБ) есть статья на эту тему:
Here's Why [Insert Thing Here] Is Not a Password Killer
У Троя Ханта (не последний человек в ИБ) есть статья на эту тему:
Here's Why [Insert Thing Here] Is Not a Password Killer
почему сразу не угодили, основная мысль статьи была уже озвучена выше:
"Без нормально организованной структуры безопасности схема авторизации не играет роли."
ну и еще второй его пункт - без изменения привычек пользователей тоже ничего не заработает
"Без нормально организованной структуры безопасности схема авторизации не играет роли."
ну и еще второй его пункт - без изменения привычек пользователей тоже ничего не заработает
интересно, спасибо
Много букв, и я почти со всеми не согласен. Свими словами не обьяснишь, чем товарищу токены не угодили?
Интенесно, а помнит ли кто-нибудь такой ресурс как enum ?
Интересно, я не открою гос тайну если сообщу, что физическая флешка ( это точно относится к тем что используются для Vipnet/гослуг ) попавшая в руки к злоумышленнику вполне ломается (убедить ее что пин код не перебирают, а каждый ввод - первый дело примерно часа, если у тебя под рукой нет нормального стенда).
99% что тут выплывет что-то похожее
99% что тут выплывет что-то похожее
Что значит нельзя если это постоянно и много где делается? Пропускная система, электрнонные замки вот это все. В случае пожара все подобные системы автоматически обязаны переводится в разблокированное состояние. В случае сбоя системы вы вызываете службу поддержки точно так же, как вы это делаете, если скажем застрял лиф. А еще некоторые люби просто любят запираться на ключ. А некоторым это положено делать по должностным инструкциям.
Системы, "которые обязаны автоматически разблокироваться", имеют свойство неожиданно отказывать, особенно, в случаях, когда их работоспособность не проверяется регулярно. А при пожаре, как показывает практика, служба поддержки, которую мне нужно вызывать, побежит из здания первой.
Для тех, кто любит запираться на ключ, или должен это делать по инструкциям, есть специальные замки, которые открываются без ключа изнутри помещения.
Случиться может что угодно - пожар, несчастный случай, приступ заболевания, сбой системы, блокирующей выход, и т.д, и т.п.
А еще некоторые люби просто любят запираться на ключ. А некоторым это положено делать по должностным инструкциям.
Не вынув токен и не заблокировав этим комп, человек не может выйти из помещения, что уже повышает уровень безопасности
В целом, согласен. Без нормально организованной структуры безопасности схема авторизации не играет роли. Но хотя бы при минимальных усилиях все может выглядеть примерно так: без токена человек не может не только авторизоваться на компе, но и войти в здание, войти в кабинет. Не вынув токен и не заблокировав этим комп, человек не может выйти из помещения, что уже повышает уровень безопасности. Отзыв или смена ключа/сертификата/пароля происходит незаметно для пользователя и он никак не может повлиять на это...
В случае токена это не всегда так. ПИН локальный и на сервер на посылается.
Если укажешь на источник буду очень благодарен.
Есть довод и с другой стороны: обычно отзыв любого ключа или сертификата - минутное дело. Но все зависит от раздолбайства конкретного человека.
просто еще раз - все это громкие крики ни о чем 😄 - секретность и гигиена паролей ( пары логин/пароль) + нормальное слежение за системой никуда не денутся из практики безопасности, что с токенами, что без них. И все это не лучше нормальной OPIE схемы паролей, с передачей нового в сенсе.
Есть довод и с другой стороны: обычно отзыв любого ключа или сертификата - минутное дело. Но все зависит от раздолбайства конкретного человека.
Ну, если не брать именно сайты - авторизация по токену уже не один год работает успешно. Воткнул токен в USB - залогинился на компе с доменной учеткой. Вытащил токен - комп заблокировался. 10 минут на настройку всей системы...
В отношении сайтов все то же самое, только ключи другого типа.
В отношении сайтов все то же самое, только ключи другого типа.
Чаще всего eToken PRO, ибо кучка завалялась. А так можно использовать любую пару токена с соответствующим ПО.
А вы какие девайсы используете?
Да давно уже активно пользуется и для оганизаций и для отдельных пользователей. Вот вендор где сделано по ПИН-коду www.yubico.com
Прочитал статью. Удивился. Юбико NFC, FIDO2 уже как минимум 3-4 года поддерживают.
Прочитал статью. Удивился. Юбико NFC, FIDO2 уже как минимум 3-4 года поддерживают.
Проблема с такой схемой заключается в том, что она аутентифицирует устройство, а не человека.
Зачем тогда менять шило на мыло? 😉
Зачем тогда менять шило на мыло? 😉
С паролем таже проблема
читал-читал, пытался врубиться, потом:
если все равно пинкод или отпечаток, то заморачиваться еще...
Перед использованием токен попросит пользователя пройти дополнительную проверку. Например, ввести пин-код или дотронуться до встроенного сканера отпечатков пальцев.
Пароли - те что хранятся на сервера убивают. Вместо что бы запоминать 20 различных паролей к каждому веб сайту, нужно запомнить один пин-код
Это немножко не так.
На сервере будет храниться только публичный токен. Ну крадите его, дальше-то что? Без физического доступа к носителю этот токен бесполезен.
На сервере будет храниться только публичный токен. Ну крадите его, дальше-то что? Без физического доступа к носителю этот токен бесполезен.
пин только у тебя в голове.
нет, просто пароль ввести
Принципиальная разница. Пароль (или его хаш) храниться на сервере и его могут украсть. А пин только у тебя в голове.
А что, надо, чтобы по потерянному ключу можно было сразу получить доступ ко всем аккам?
А если у меня 50 аккаунтов в фейсбуке, мне придется покупать 50 токенов/брелков? Я чисто теоретически размышляю...
Так вы кремлевский тролль!!!
Так вы кремлевский тролль!!!
Про FIDO2 не знаю, а вот первую версию крупные сайты поддерживают — гугл, дропбокс, гитхаб..
Если б токены Yubico ещё стоили подешевле и в Россию продавались, было бы совсем хорошо. А так есть только кошмарики вроде U2F Zero.
К слову, их и для логина в систему использовать можно — в винде через Windows Hello, в остальных через pam-модуль.
Если б токены Yubico ещё стоили подешевле и в Россию продавались, было бы совсем хорошо. А так есть только кошмарики вроде U2F Zero.
К слову, их и для логина в систему использовать можно — в винде через Windows Hello, в остальных через pam-модуль.
Barracuda SSL VPN. 100 лет как используется. Только это жутко неудобно.
Если серьёзно то проблема не в токене а в его интеграции с существующей инфраструктурой
Безпарольная система идентификации ползователеей уже встроена в наши телефоны в виде apple/android платежей И nfc поддерживает и Bluetooth
Ее вполне можно было бы сделать более универсальной
Безпарольная система идентификации ползователеей уже встроена в наши телефоны в виде apple/android платежей И nfc поддерживает и Bluetooth
Ее вполне можно было бы сделать более универсальной
Такая схема уже давно используется в банковских клиентах, при электронном декларировании и вообще много где, где нужна даже не суперсекретная, а просто хоть сколько-нибудь серьёзная авторизация, не позволяющая пользователю вбубенить пароль "12345" или записать сложный (сгенерированный системой) пароль на висящем на мониторе стикере.
А не требуется такое устройство повсеместно по одной простой причине - оно не бесплатное. Хотя купить просто ключик, который будет хранить все ваши пароли внутри себя и выдавать по мере надобности, "узнавая" хозяина по какой-угодно-из-существующих-ныне-технологий, от отпечатка пальца до запаха подмышек, полагаю, не такая большая проблема.
А не требуется такое устройство повсеместно по одной простой причине - оно не бесплатное. Хотя купить просто ключик, который будет хранить все ваши пароли внутри себя и выдавать по мере надобности, "узнавая" хозяина по какой-угодно-из-существующих-ныне-технологий, от отпечатка пальца до запаха подмышек, полагаю, не такая большая проблема.
Что такое "брелок"? Это приспособление, позволяющее потерять все ключи разом. (с) Старая шутка.
На самом деле видимо придется как-то этот ключ бакапить, а бакап хранить в яйце/утке/зайце. Но еще должен быть и механизм отзыва/замены ключа.
На самом деле видимо придется как-то этот ключ бакапить, а бакап хранить в яйце/утке/зайце. Но еще должен быть и механизм отзыва/замены ключа.
Я недавно узнал, что одно из названий сумочки для документов и прочих важных мелочей - инфарктница (инфарктник). Потому что когда продалбывается всё и сразу - опаньки 😄)).
Останется только сделать токен обязательным и вшить его в паспорт - проблема анонимности в Интернете будет решена раз и навсегда
Логично )
Зачем в паспорт ? Сразу в голову 😄. И разъём коаксиальный в затылок, для устойчивого считывания сигнала в условиях сильных электромагнитных помех, а также для подзарядки батареи.
Нафига тогда пароли?
Нафига тогда пароли?
Подобные штуки давно используются там, где они нужны — во всяких суперсекретных конторах. И то, время от времени всплывают всякие истории — был случай, один тип нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почте. Сканера отпечатков там, видимо, не было.
А для болтовни на форумах не используется и использоваться не будет. Потому что забыл токен дома — на работе в фейсбучике не посидеть.
А для болтовни на форумах не используется и использоваться не будет. Потому что забыл токен дома — на работе в фейсбучике не посидеть.
нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почтераспилил на четыре части? Или они посменно круглосуточно работали?
Кстати, говорят, хорошо работали.
нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почте
на работе в фейсбучике не посидеть.
Учитывая что в процессе регистрации желаемый пароль почти всегда занят, я рад появлению токена и хочу его купить!
Учитывая что в процессе регистрации желаемый пароль почти всегда занят
Может имелось в виду "не принимают пароль"? Когда менял пароль на аську, перепробовал вариантов 50. После чего пароль, естественно, забыл. Потому что я делал вариацию старого с другими регистрами и циферками, а старый ни в коем случае не должен быть в новом (даже если меняется кейс отдельных символов), циферки ни в коем случае не могут повторяться или следовать друг за другом и прочее. Таких уродов убивать надо.
На фриноде (ИРЦ) может и действительно было "занят пароль". Перепробовал тоже много-много вариантов, пока не приняли русский матерный в lowercase и без циферок-спецзнаков.
Больше всего порадовал гнусмасакк - нигде не говорилось, какой длины должен быть пароль и приняли длинный. Но потом он не подходил. Пока опытным путем не подобрался нужной длины и сложности. То ли 8 символов, то ли как-то так. Сверхсекурно.
На фриноде (ИРЦ) может и действительно было "занят пароль". Перепробовал тоже много-много вариантов, пока не приняли русский матерный в lowercase и без циферок-спецзнаков.
Больше всего порадовал гнусмасакк - нигде не говорилось, какой длины должен быть пароль и приняли длинный. Но потом он не подходил. Пока опытным путем не подобрался нужной длины и сложности. То ли 8 символов, то ли как-то так. Сверхсекурно.
занят пароль? Зачем регистрироваться на таких затейливых ресурсах?
Но ведь само наличие такого ключа может человека скомпромитировать в определённой ситуации.
А когда пароль в голове - его снаружи не видно 😉
А когда пароль в голове - его снаружи не видно 😉
Пароль в голове открывается при помощи терморектального криптоанализатора.
почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно.
Поломать можно всё, что угодно, безусловно. Я видел так же и сертификаты с секретным ключом, валяющиеся на открытых network shares, и пароли, прописанные в коде.
Но я всё равно не понимаю, в чём Ваше возражение моему комментарию.
Но я всё равно не понимаю, в чём Ваше возражение моему комментарию.
В WCF (и его альтернативах) аутентификация и авторизация по сертификату используется, как правило, в соединениях сервис-сервис. Не для пользователей, т.к. очень сложно надёжно хранить сертификат с секретным ключом, и контролировать доступ к нему со стороны третьих приложений и третьих лиц. (Достоверный) сертификат сложно сгенерировать, его нужно обслуживать, его сложно отозвать. Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft. Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.
В WCF (и его альтернативах) аутентификация и авторизация по сертификату используется, как правило, в соединениях сервис-сервис. Не для пользователей, т.к. очень сложно надёжно хранить сертификат с секретным ключом, и контролировать доступ к нему со стороны третьих приложений и третьих лиц. (Достоверный) сертификат сложно сгенерировать, его нужно обслуживать, его сложно отозвать.
Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.
Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft.
Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.
Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.
Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft.
Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.
Ага. А если у меня - iPhone, как мне эту флешку вставить 😄
А iPhone это умеет? 😉
Рост, если в айфоне этого нет, значит пользователям айфонов это не надо. Почему - ну придумай сам, чай не маленький
А iPhone это умеет? 😉
Там написано, что оно умеет общаться с утройством по Блютусу или НФС.
Теги
Информация
Что ещё почитать
Скрепные половины картофельных ритуалов
19.01.2024
49
Призрачная башня
04.03.2024
55
