Preludio
Al giorno d'oggi, le password sono sempre più, sbrutforsit e facile password non è difficile, anche se è emergere di volta in volta CAPTCHA, la cui soluzione può essere caricata per gli indù attraverso servizi speciali, fornisce un'API per questo business. Generalmente, garantire la sicurezza dei più complessi. Anche con una selezione molto forte e lungo la password è possibile, e se nessuna selezione, то любой школьник в наше время может додуматься и написать собственный а-ля “троян” или кейлоггер или расширение в браузер, che traccia la pagina e tirare fuori le parole d'accesso dalle forme. Molto probabilmente, Ho appena rilasciato il programma non sarà intercettato da qualsiasi antivirus fino, fino a quando qualcuno non invia un binario dannoso per la revisione, e la sua firma non viene aggiunto al database.
СМС – не панацея?
Torniamo alle password. Сложные пароли придумывать — это дело непростое, per non parlare di ricordare a tutti i costi di rimanere in silenzio. C'è una soluzione, detto autenticazione a due fattori (2FA), è, che, al fine di accedere al tuo conto dopo aver inserito la solita coppia di login / password richiesto ulteriori azioni, наиболее популярно в наши дни — ввод кода с СМС, perché questo metodo di verifica viene utilizzato nella banca-cliente. Cosa c'è di sbagliato con questo metodo? sembrerebbe, tutti hanno un telefono cellulare, ed è uno strumento personale, quindi dovrebbe essere al sicuro. tuttavia, se si ottiene catturati truffatori professionali, troveranno un modo per ottenere l'accesso al telefono ed è molto facile essere in grado di salire sui servizi, su cui il tuo account è collegato al telefono, ma anche la corrispondenza telegramma vskroyut (nota: Telegramma memorizza tutta la corrispondenza con riferimento ad un numero di telefono. senza verrà salvata solo la corrispondenza segreta, se si crede i creatori). Leggi tutto sul pericolo si possono trovare in questo articolo su хабрхабрхабрхабрхабрхабахаб….блабла. E, a proposito, su smartphone Android, alcune applicazioni possono leggere i messaggi SMS, in modo che possano essere facilmente intercettati, se si effettua la vittima di installare un'applicazione speciale e dare l'accesso a SMS.
2FA Software
D'altronde, SMS è piuttosto un metodo di autenticazione buona fede, ma se conviene? E per quanto riguarda, Se il telefono viene perso, e l'accesso al tuo account per ottenere un urgente bisogno di? o, per esempio, per confermare di accesso dalla cantina, dove né una rete cellulare non prende? Molti servizi sono introdotti domanda di autorizzazione di supporto, per esempio, Google Authentificator, o Duo. tuttavia, entrambe le applicazioni non sono particolarmente confortevole, perché non fa i backup e non può essere utilizzato su più dispositivi, e non chiedere il codice PIN quando si entra, per cui v'è un grande decisione per 2FA software. Ma non dimenticate la master password! Ed essere sicuri di memorizzare i codici di backup dal servizio da qualche parte in forma stampata su carta in un armadio o di sicurezza (tutto dipende dal livello di paranoia). Bene o da qualche altra parte in un luogo sicuro, ma nel caso in cui per voi questo posto era disponibile. autenticazione a due fattori Software conveniente, È possibile utilizzare qualsiasi piaciuto l'applicazione, а также есть возможность использовать аппаратные OTP токены — брелки с USB и/или дисплеем, che visualizza la password ( in caso di, если дисплея нет — эмулируется USB клавиатура и по нажатию на кнопку брелок сам вводит одноразовый пин-код в поле).
autenticazione hardware FIDO U2F
A FIDO Alliance, composto da membri dell'organizzazione Google, Paypal, Mastercard e altri marchi ben noti, Abbiamo deciso di semplificare l'all'autorizzazione di autenticazione universale U2F. Come funziona?
- L'utente viene autenticato tramite il solito login e password
- Il server invia una richiesta speciale al browser
- Il browser invia anche una richiesta a un token FIDO U2F USB-enabled
- Che a sua volta è in attesa di un pulsante o cliccando sul sensore ( può essere, inserimento del codice PIN, se non v'è, di codice PIN somministrato) e invia un browser riconoscimento, un server basato su browser, dopo di che il server permette l'ingresso
Comprare e configurare facilmente un gettone. vale la pena di 20 precedente a 50 US $. Самый популярный из них — это Yubico, ma in Russia, tutte le apparenze, non è più in vendita (sanzioni?). Questi gettoni ammucchiati, anche a bordo avere generatori OTP, supporto per Bluetooth e NFC, che permette di lavorare anche su tavolette e smartphone. In Russia, l'azienda Aladdin-RD produce un prodotto Jacarta U2F, che funziona bene su questo protocollo. Mi sono comprato questo e subito affrontato il problema del lavoro in ambiente Linux ( Ubuntu 14.04, nel mio caso ). Su Windows, tutto ha funzionato alla perfezione. Si scopre, si tratta di un problema di diritti di accesso a Linux: utente root ha solo il diritto di utilizzare i dispositivi, Riconosciuto come FIDO gettone.
Risolviamo il problema è abbastanza semplice:
- Scarica il presente file
- Abbiamo messo in /etc / udev / rules.d /
- forse, dovrebbe essere aggiunto specificamente alla tua lista ProductID. per questo
sudo lsusb -l
Otteniamo l'elenco dei dispositivi USB in forma idVendor:idProduct. Stiamo cercando per il vostro dispositivo dalla lista e inserire il appropriata idVendor idProduct e nell'ultima riga del file, copiato da qualsiasi disponibili. Dopo il riavvio del computer, a destra entrerà in vigore e sarà possibile utilizzare un token in Google Chrome (e altri programmi, lavorare sul conto dell'utente).
istruzioni dettagliate là.
Dove e come applicare
- A due fattori: Plugin per WordPress (supporto OTP, Codici di backup, FIDO U2F) | GitHub progetto
- Google Accounts (aggiungere un token hardware)
- Dropbox (aggiungere le chiavi)
- GitHub (impostazione akkaunta->Sicurezza)
Link correlati
- la verifica in due fasi in un browser utilizzando il U2F USB-token
- FIDO U2F - universale autenticazione a due fattori. introduzione
- servizi supportati
- JAKARTA U2F