Блог P1ratRuleZZZ

рұқсат аппараттық. FIDO U2F кездеседі

Prelude

В наше время паролей становится все больше, және оңай парольді бұзу оңай, егер кейде капоталар пайда болса, шешімін арнайы қызметтер арқылы үндістерге сеніп тапсыруға болады, бұл жағдайда API қамтамасыз ету. Тұтастай, безопасность гарантировать сложнее. Даже с очень сильным и длинным паролем подбор возможен, а уж если не подбор, то любой школьник в наше время может додуматься и написать собственный а-ля “троян” или кейлоггер или расширение в браузер, которое будет отслеживать страницу и вытаскивать пароли из форм. мүмкін, только что вышедшая программа не будет перехвачена никаким антивирусом до тех пор, пока кто-то не отправит вредоносный бинарник на проверку, и его сигнатура не будет добавлена в базу.

СМС – не панацея?

АҚШ құпия сөздер оралайық. Сложные пароли придумывать — это дело непростое, а уж про их запоминание вообще стоит промолчать. Существует решение, называемое екі факторлы түпнұсқалық растама (2FA), заключается оно в том, что для входа в аккаунт после ввода обычной пары логин/пароль запрашивается дополнительное действие, наиболее популярно в наши дни — ввод кода с СМС, поскольку именно этот способ подтверждения используется в банк-клиентах. Бұл әдістің Қандай қате? Казалось бы, у каждого есть телефон, и он является личным средством, поэтому должно быть безопасным. Алайда,, если же вы попадетесь профессиональным мошенникам, те найдут способ получить доступ к вашему телефону и крайне легко смогут полазить по сервисам, на которых ваш аккаунт привязан к телефону, а еще и переписку Telegram вскроют (нота: телефон нөмірі сілтеме жасай отырып жеделхатын жолдады сақтайды барлық хат-хабарларды. Только секретные переписки не сохраняются, если верить создателям). зияны туралы Толығырақ туралы мақалада табуға болады хабрхабрхабрхабрхабрхабахаб….блабла. Мен, Айтпақшы, на смартфонах Android некоторые приложения могут читать смс сообщения, поэтому их можно легко перехватить, если заставить жертву установить специальное приложение и дать ему доступ к СМС.

Бағдарламалық қамтамасыз ету 2FA

С другой стороны, SMS является довольно надеждным способом авторизации, но вот удобен ли он? И как же быть, если телефон утерян, а доступ к аккаунту получить нужно срочно? Или, мысалы, нужно подтвердить вход в аккаунт из подвала, где ни одна сотовая сеть не ловит? Многие сервисы вводят поддержку приложений авторизации, мысалы, Google Authentificator, или Duo. Алайда,, оба приложения не особо удобны, поскольку не делают бэкапов и невозможно использовать на нескольких устройствах, и не просят пинкода при входе, поэтому есть отличное шешім бағдарламалық қамтамасыз ету үшін 2FA. Бірақ басты құпия сөзді ұмытып емес! Ал кабинетте қағазда бір жерде баспа түрінде қызметінен сақтық көшірме кодтары сақтаңыз немесе қауіпсіз болуы (ол барлық паранойи деңгейіне байланысты). Ну либо еще где-то в надежном месте, но чтобы в случае чего для вас это место было доступно. Программная двухфакторная аутентификация удобна, можно использовать любое понравившееся приложение, а также есть возможность использовать аппаратные OTP токены — брелки с USB и/или дисплеем, на котором отображается пароль ( в случае, если дисплея нет — эмулируется USB клавиатура и по нажатию на кнопку брелок сам вводит одноразовый пин-код в поле).

Аппараттық аутентификация FIDO U2F

Некий альянс FIDO, состоящий из членов организаций Google, Paypal, Mastercard и других известных брендов, решили упростить авторизацию посредством универсальной аутентификации U2F. Бұл қалай жұмыс істейді?

  1. пайдаланушы кәдімгі логин және пароль арқылы куәландырылған деп есептеледі
  2. сервер браузер арнайы сауал жолдап
  3. браузер сондай-ақ USB-қосылған белгісі FIDO U2F сұрау жібереді
  4. өз кезегінде бұл сенсор туралы түйменің немесе басу күтіп тұр ( мүмкін, ввод пинкода, если там есть, чем вводить пинкод) и отправляет подтверждение браузеру, а браузер серверу, после чего сервер разрешает вход

оңай токен сатып алу және конфигурациялау. құны 20 бұрын 50 АҚШ $. Самый популярный из них — это yubico, однако в России, болатын сияқты, больше не продается (санкциялар?). Эти токены навороченные, также на борту имеют OTP генераторы, поддержку Bluetooth и NFC, что дает возможность работать также на планшетах и смартфонах. Ресей, компанияның Aladdin-RD производит продукт JaCarta U2F, который отлично работает по этому протоколу. Мен бұл өзім сатып алып дереу Linux ортада жұмыс проблемасына тап ( Ubuntu 14.04, менің жағдайда ). Windows, барлығы өте жақсы жұмыс істеді. Ол шықты, это проблема прав доступа в линукс: только рут пользователь имеет право пользоваться устройствами, определившимися как FIDO token.

Біз мәселе өте қарапайым шешу:

  1. Бұл қотару файл
  2. Біз оны салып /және т.б. / Udev / rules.d /
  3. мүмкін, стоит добавить конкретно ваш ProductID в список. Осыған
     sudo lsusb -l
    

    Біз түрінде USB құрылғылар тізімін алу idVendor:idProduct. Ищем свой девайс в списке и вставляем соответствующие idVendor и idProduct в тот файл последней строкой, скопированной из любой имеющейся. Компьютерді қосқаннан кейін, оң күшіне енеді және ол Google Chrome бойынша токен пайдалануға болады (и в других программах, работающих от имени пользователя).

    Толық нұсқаулар ана жерде.

Қайда және қалай қолдануға

  • Екі факторлы: WordPress арналған плагин (поддерживает OTP, Backup Codes, FIDO U2F) | GitHub жоба
  • Google Есеп (аппараттық таңбалауыш қосу)
  • Dropbox (пернелерін қосу)
  • GitHub (akkaunta- орнату>қауіпсіздік)

Сілтемелер

Exit mobile version