Prelude
В наше время паролей становится все больше, және оңай парольді бұзу оңай, егер кейде капоталар пайда болса, шешімін арнайы қызметтер арқылы үндістерге сеніп тапсыруға болады, бұл жағдайда API қамтамасыз ету. Тұтастай, безопасность гарантировать сложнее. Даже с очень сильным и длинным паролем подбор возможен, а уж если не подбор, то любой школьник в наше время может додуматься и написать собственный а-ля “Троян” или кейлоггер или расширение в браузер, которое будет отслеживать страницу и вытаскивать пароли из форм. мүмкін, только что вышедшая программа не будет перехвачена никаким антивирусом до тех пор, пока кто-то не отправит вредоносный бинарник на проверку, и его сигнатура не будет добавлена в базу.
SMS – емес панацея?
АҚШ құпия сөздер оралайық. ойлап кешенді парольдер — это дело непростое, а уж про их запоминание вообще стоит промолчать. Существует решение, называемоеекі факторлы түпнұсқалық растама (2FA), заключается оно в том, что для входа в аккаунт после ввода обычной пары логин/пароль запрашивается дополнительное действие, наиболее популярно в наши дни — ввод кода с СМС, поскольку именно этот способ подтверждения используется в банк-клиентах. Бұл әдістің Қандай қате? Казалось бы, у каждого есть телефон, и он является личным средством, поэтому должно быть безопасным. Алайда,, если же вы попадетесь профессиональным мошенникам, те найдут способ получить доступ к вашему телефону и крайне легко смогут полазить по сервисам, на которых ваш аккаунт привязан к телефону, а еще и переписку Telegram вскроют (нота: телефон нөмірі сілтеме жасай отырып жеделхатын жолдады сақтайды барлық хат-хабарларды. Только секретные переписки не сохраняются, если верить создателям). зияны туралы Толығырақ туралы мақалада табуға болады xaʙrxaʙrxaʙrxaʙrxaʙrxaʙaxaʙ….BLABLA. Мен, Айтпақшы, на смартфонах Android некоторые приложения могут читать смс сообщения, поэтому их можно легко перехватить, если заставить жертву установить специальное приложение и дать ему доступ к СМС.
Бағдарламалық қамтамасыз ету 2FA
С другой стороны, SMS является довольно надеждным способом авторизации, но вот удобен ли он? И как же быть, если телефон утерян, а доступ к аккаунту получить нужно срочно? Или, мысалы, нужно подтвердить вход в аккаунт из подвала, где ни одна сотовая сеть не ловит? Многие сервисы вводят поддержку приложений авторизации, мысалы, Google Authentificator, или Duo. Алайда,, оба приложения не особо удобны, поскольку не делают бэкапов и невозможно использовать на нескольких устройствах, и не просят пинкода при входе, поэтому есть отличное шешім бағдарламалық қамтамасыз ету үшін 2FA. Бірақ басты құпия сөзді ұмытып емес! Ал кабинетте қағазда бір жерде баспа түрінде қызметінен сақтық көшірме кодтары сақтаңыз немесе қауіпсіз болуы (ол барлық паранойи деңгейіне байланысты). Ну либо еще где-то в надежном месте, но чтобы в случае чего для вас это место было доступно. Программная двухфакторная аутентификация удобна, можно использовать любое понравившееся приложение, а также есть возможность использовать аппаратные OTP токены — брелки с USB и/или дисплеем, на котором отображается пароль ( в случае, если дисплея нет — USB пернетақтасын эмуляции және батырмасы негізгі брелок өзі басу саласындағы бір реттік PIN кодын енгізеді).
Аппараттық аутентификация FIDO U2F
Некий альянс FIDO, состоящий из членов организаций Google, Paypal, Mastercard и других известных брендов, решили упростить авторизацию посредством универсальной аутентификации U2F. Бұл қалай жұмыс істейді?
- пайдаланушы кәдімгі логин және пароль арқылы куәландырылған деп есептеледі
- сервер браузер арнайы сауал жолдап
- браузер сондай-ақ USB-қосылған белгісі FIDO U2F сұрау жібереді
- өз кезегінде бұл сенсор туралы түйменің немесе басу күтіп тұр ( мүмкін, ввод пинкода, если там есть, чем вводить пинкод) и отправляет подтверждение браузеру, а браузер серверу, после чего сервер разрешает вход
оңай токен сатып алу және конфигурациялау. құны 20 бұрын 50 АҚШ $. Олардың ең танымал — бұларyubico, однако в России, болатын сияқты, больше не продается (санкциялар?). Эти токены навороченные, также на борту имеют OTP генераторы, поддержку Bluetooth и NFC, что дает возможность работать также на планшетах и смартфонах. Ресей, компанияның Aladdin-RD производит продукт JaCarta U2F, который отлично работает по этому протоколу. Мен бұл өзім сатып алып дереу Linux ортада жұмыс проблемасына тап ( Ubuntu 14.04, менің жағдайда ). Windows, барлығы өте жақсы жұмыс істеді. Ол шықты, это проблема прав доступа в линукс: только рут пользователь имеет право пользоваться устройствами, определившимися как FIDO token.
Біз мәселе өте қарапайым шешу:
- Бұл қотару файл
- Біз оны салып/және т.б. / Udev / rules.d /
- мүмкін, стоит добавить конкретно ваш ProductID в список. Осыған
sudo lsusb -l
Біз түрінде USB құрылғылар тізімін алу idVendor:idProduct. Ищем свой девайс в списке и вставляем соответствующие idVendor и idProduct в тот файл последней строкой, скопированной из любой имеющейся. Компьютерді қосқаннан кейін, оң күшіне енеді және ол Google Chrome бойынша токен пайдалануға болады (и в других программах, работающих от имени пользователя).
Толық нұсқаулар ана жерде.
Қайда және қалай қолдануға
- Екі факторлы: WordPress арналған плагин (поддерживает OTP, Backup Codes, FIDO U2F) | GitHub жоба
- Google Есеп (аппараттық таңбалауыш қосу)
- Dropbox (пернелерін қосу)
- GitHub (akkaunta- орнату>қауіпсіздік)
Сілтемелер
- USB-токен U2F пайдаланып шолғышта екі қадамдық тексеру
- FIDO U2F - әмбебап екі факторлы түпнұсқалық растама. кіріспе
- Қолдау қызметтер
- ДЖАКАРТА U2F