аўтарызуемся апаратна. Знаёмімся з FIDO U2F

Posted on 01.03.2017 by P1ratRuleZZZ

Прэлюдыя

У наш час пароляў становіцца ўсё больш, а сбрутфорсить лёгкі пароль не складае працы, нават калі будзе ўсплываць час ад часу капчу, рашэнне якой можна даручыць індусам праз адмысловыя сэрвісы, якія прадстаўляюць API для гэтай справы. Увогуле, бяспека гарантаваць складаней. Нават з вельмі моцным і доўгім паролем падбор магчымы, а ўжо калі не падбор, то любы школьнік ў наш час можа дадумацца і напісаць уласны а-ля “траян” або кейлоггер або пашырэнне ў браўзэр, якое будзе адсочваць старонку і выцягваць паролі з формаў. Хутчэй за ўсё, толькі што якая выйшла праграма не будзе перахопленая ніякім антывірусам датуль, пакуль хто-то не адправіць шкоднасны бінарнік на праверку, і яго сігнатура не будзе дададзеная ў базу.

СМС – не панацэя?

Вернемся зноў да пароляў. Складаныя паролі прыдумляць — гэта справа няпростая, а ўжо пра іх запамінанне наогул варта прамаўчаць. існуе рашэнне, званаедвухфакторную аўтэнтыфікацыяй (2FA), заключаецца яно ў тым, што для ўваходу ў рахунак пасля ўводу звычайнай пары лагін / пароль запытваецца дадатковае дзеянне, найбольш папулярнае ў нашы дні — ўвод кода з СМС, паколькі менавіта гэты спосаб пацверджання выкарыстоўваецца ў банк-кліентах. Чым дрэнны гэты метад? здавалася б, у кожнага ёсць тэлефон, і ён з'яўляецца асабістым сродкам, таму павінна быць бяспечным. аднак, калі ж вы трапіце прафесійным ашуканцам, тыя знойдуць спосаб атрымаць доступ да вашага тэлефоне і вельмі лёгка змогуць палазіць па сэрвісаў, на якіх ваш рахунак прывязаны да тэлефона, а яшчэ і перапіску Telegram ўскрыюць (нататка: телеграм захоўвае ўсё перапіскі з прывязкай да нумара тэлефона. Толькі сакрэтныя перапіскі не захоўваюцца, калі верыць стваральнікам). Больш падрабязна на тэму небяспекі можна будзе пачытаць у артыкуле на xaʙrxaʙrxaʙrxaʙrxaʙrxaʙaxaʙ….блабла. І, дарэчы кажучы, на смартфонах Android некаторыя праграмы могуць чытаць смс паведамленні, таму іх можна лёгка перахапіць, калі прымусіць ахвяру ўсталяваць спецыяльны дадатак і даць яму доступ да СМС.

праграмная 2FA

З другога боку, SMS з'яўляецца даволі надеждным спосабам аўтарызацыі, але вось зручны Ці ён? І як жа быць, калі тэлефон згублены, а доступ да акаўнта атрымаць трэба тэрмінова? або, напрыклад, трэба пацвердзіць ўваход у рахунак з склепа, дзе ні адна сотавая сетка не ловіць? Многія сэрвісы ўводзяць падтрымку прыкладанняў аўтарызацыі, напрыклад, Google Authentificator, або Duo. аднак, абодва прыкладання не асабліва зручныя, паколькі не робяць бэкапаў і немагчыма выкарыстоўваць на некалькіх прыладах, і не просяць пинкода пры ўваходзе, таму ёсць выдатнае рашэнне для праграмнага 2FA. Але не варта забываць майстар пароль! І абавязкова захоўваеце рэзервовыя коды ад сэрвісаў дзесьці ў раздрукаваным выглядзе на паперы ў шафе або сейфе (усё залежыць ад узроўню памятаем). Ну альбо яшчэ дзе-то ў надзейным месцы, але каб у выпадку чаго для вас гэта месца было даступна. Праграмная двухфакторную аўтэнтыфікацыя зручная, можна выкарыстоўваць любы упадабанае прыкладанне, а таксама ёсць магчымасць выкарыстоўваць апаратныя OTP токены — брелка з USB і / або дысплеем, на якім адлюстроўваецца пароль ( у выпадку, калі дысплея няма — эмулюецца USB клавіятура і па націску на кнопку брелок сам ўводзіць аднаразовы пін-код у поле).

Апаратная аўтэнтыфікацыі FIDO U2F

Нейкі альянс FIDO, які складаецца з членаў арганізацый Google, Paypal, Mastercard і іншых вядомых брэндаў, вырашылі спрасціць аўтарызацыю дапамогай універсальнай аўтэнтыфікацыі U2F. Як жа яно працуе?

  1. Карыстальнік аўтарызуецца пасродкам звычайнага лагіна і пароля
  2. Сервер спецыяльны перадае запыт браўзэру
  3. Браўзэр ж перадае запыт на USB токен з падтрымкай FIDO U2F
  4. Той у сваю чаргу чакае націску на кнопку або на сэнсар ( можа быць, ўвод пинкода, калі там ёсць, чым уводзіць пинкод) і адпраўляе пацверджанне браўзэру, а браўзэр серверу, пасля чаго сервер дазваляе ўваход

Купіць і наладзіць такі токен лёгка. каштуе ад 20 да 50 даляраў ЗША. Самы папулярны з іх — гэтаyubico, аднак у Расіі, мяркуючы па ўсім, больш не прадаецца (санкцыі?). Гэтыя токены наварочаныя, таксама на борце маюць OTP генератары, падтрымку Bluetooth і NFC, што дае магчымасць працаваць таксама на планшэтах і смартфонах. У Расеі ж кампанія Аладзіна-РД proizvodit прадукт JaCarta u2f, які выдатна працуе па гэтым пратаколе. Я набыў сабе такі і адразу ж сутыкнуўся з праблемай працы ў асяроддзі Linux ( Ubuntu 14.04, у маім выпадку ). На Windows жа ўсё зарабіла выдатна. аказваецца, гэта праблема правоў доступу ў лінукс: толькі рут карыстальнік мае права карыстацца прыладамі, вызначыць як FIDO token.

Вырашаецца праблема даволі проста:

  1. спампоўваем гэты файл
  2. Змяшчаем яго ў/і г.д. / Udev / rules.d /
  3. Магчыма, варта дадаць канкрэтна ваш ProductID ў спіс. Для гэтага
     sudo lsusb -l

    Атрымліваем спіс USB девайсов ў выглядзе idVendor:idProduct. Шукаем свой девайс ў спісе і вставляем адпаведныя idVendor і idProduct ў той файл апошнім радком, скапіяваным з любой наяўнай.  Пасля перазагрузкі кампутара правы ўступяць у сілу і стане магчымым выкарыстоўваць токен ў браўзэры Google Chrome (і ў іншых праграмах, якія працуюць ад імя карыстальніка).

    падрабязная інструкцыя тут.

Дзе і як прымяняць

Спасылкі па тэме

Загрузка

Падобныя тэмы:

  1. Bitcoin Майнер steam.exe ў Крак да цацкі
  2. Ўзлом стагоддзя: з яблычнага аблокі iCloud выцяклі ў сетку пікантныя фота знакамітасцяў
  3. YOTA – Поўная свабода па Расіі ў адной симкарте
  4. Налада выдзеленай сеткі KVM Ubuntu Host c 2 IP адрасамі на Hetzner
  5. Windows 7: Бясконцы пошук абнаўленняў
  6. Ubuntu не бачыць сетку на Haswell (Intel Corporation Device [8086:153b])
Гэтая запіс была апублікаваная ў Абарона дадзеных, Інтэрнэт, Інфармацыйная бяспека, Кампутары, Прылады, шыфраванне і адзначаных , , , , , , , , , , , , , . Закладка Пастаянная спасылка. | Кароткая спасылка:  http://p1rat.ru/lezzz/1NaRT

Пакінуць каментар