авторізуемся апаратно. Знайомимося з FIDO U2F

Прелюдія

У наш час паролів стає все більше, а сбрутфорсіть легкий пароль не складає труднощів, навіть якщо буде спливати час від часу капча, рішення якої можна доручити індусам через спеціальні сервіси, надають API для цієї справи. У загальному, безпеку гарантувати складніше. Навіть з дуже сильним і довгим паролем підбір можливий, а вже якщо не підбір, то будь-який школяр в наш час може додуматися і написати власний а-ля “троян” або кейлоггер або розширення в браузер, який відстежуватиме сторінку і витягувати паролі з форм. Швидше за все, тільки що вийшла програма не перехоплена ніяким антивірусом до тих пір, поки хтось не відправить шкідливий бінарник на перевірку, і його сигнатура не буде доданий до бази.

СМС – не панацея?

Повернемося знову до паролів. Складні паролі придумувати — це справа непроста, а вже про їх запам'ятовування взагалі варто промовчати. існує рішення, званедвухфакторной аутентификацией (2FA), полягає воно в тому, що для входу в обліковий запис після введення звичайної пари логін / пароль запитується додаткова дія, найпопулярніше в наші дні — введення коду з СМС, оскільки саме цей спосіб підтвердження використовується в банк-клієнтів. Чим поганий цей метод? Здавалося б, у кожного є телефон, і він є особистим засобом, тому має бути безпечним. Однак, якщо ж ви потрапите професійним шахраям, ті знайдуть спосіб отримати доступ до вашого телефону і вкрай легко зможуть полазити по сервісах, на яких ваш аккаунт прив'язаний до телефону, а ще й переписку Telegram розкриють (замітка: телеграм зберігає всі переписки з прив'язкою до номеру телефону. Тільки секретні листування не зберігаються, якщо вірити творцям). Детальніше на тему небезпеки можна буде почитати в статті на xaʙrxaʙrxaʙrxaʙrxaʙrxaʙaxaʙ….блабла. І, до речі, на смартфонах Android деякі додатки можуть читати смс повідомлення, тому їх можна легко перехопити, якщо змусити жертву встановити спеціальний додаток і дати йому доступ до СМС.

програмна 2FA

З іншого боку, SMS є досить надеждним способом авторизації, але ось чи зручний він? І як же бути, якщо телефон загублений, а доступ до аккаунту отримати потрібно терміново? або, наприклад, потрібно підтвердити вхід в аккаунт з підвалу, де жодна мережа не ловить? Багато сервісів вводять підтримку додатків авторизації, наприклад, Google Authentificator, або Duo. Однак, обидва додатки не особливо зручні, оскільки не роблять резервних копій і неможливо використовувати на декількох пристроях, і не просять пінкод при вході, тому є відмінне Рішення для програмного 2FA. Але не варто забувати майстер пароль! І обов'язково зберігайте резервні коди від сервісів десь в роздрукованому вигляді на папері в шафі або сейфі (все залежить від рівня параної). Ну або ще десь в надійному місці, але щоб в разі чого для вас це місце було доступно. Програмна двухфакторная аутентифікація зручна, можна використовувати будь-яку вподобану додаток, а також є можливість використовувати апаратні OTP токени — Брелоки з USB і / або дисплеєм, на якому відображається пароль ( в разі, якщо дисплея немає — емулюється USB клавіатура і після натискання на кнопку брелок сам вводить одноразовий пін-код в поле).

Апаратна аутентифікації FIDO U2F

Якийсь альянс FIDO, що складається з членів організацій Google, Paypal, Mastercard та інших відомих брендів, вирішили спростити авторизацію за допомогою універсальної аутентифікації U2F. Як же воно працює?

  1. Користувач авторизується допомогою звичайного логіна і пароля
  2. Сервер спеціальний передає запит браузеру
  3. Браузер же передає запит на USB токен з підтримкою FIDO U2F
  4. Той в свою чергу чекає натискання на кнопку або на сенсор ( може бути, введення пінкод, якщо там є, ніж вводити пінкод) і відправляє підтвердження браузеру, сервер на основі браузера, після чого сервер дозволяє вхід

Купити і налаштувати такий токен легко. коштує від 20 до 50 доларів США. Найпопулярніший з них — цеyubico, проте в Росії, судячи з усього, більше не продається (санкції?). Ці маркери наворочені, також на борту мають OTP генератори, підтримку Bluetooth і NFC, що дає можливість працювати також на планшетах і смартфонах. У Росії ж компанія Аладдін-РД виробляє продукт JaCarta U2F, який відмінно працює по цьому протоколу. Я придбав собі такий і відразу ж зіткнувся з проблемою роботи в середовищі Linux ( Ubuntu 14.04, в моєму випадку ). На Windows же все запрацювало відмінно. виявляється, це проблема прав доступу в лінукс: тільки рут користувач має право користуватися пристроями, визначилися як FIDO token.

Вирішується проблема досить просто:

  1. викачуємо цей файл
  2. Розміщуємо його в/і т.д. / Udev / rules.d /
  3. Можливо, варто додати конкретно ваш ProductID в список. Для цього
     sudo lsusb -l
    

    Отримуємо список USB девайсів в вигляді idVendor:idProduct. Шукаємо свій девайс в списку і вставляємо відповідні idVendor і idProduct в той файл останнім рядком, скопійованої з будь-якої наявної.  Після перезавантаження комп'ютера права вступлять в силу і стане можливим використовувати токен в браузері Google Chrome (і в інших програмах, працюючих від імені користувача).

    докладна інструкція тут.

Де і як застосовувати

Посилання по темі

Завантаження

This entry was posted in Захист даних, Інтернет, Інформаційна безпека, Комп'ютери, Пристрої, шифрування and tagged , , , , , , , , , , , , , . Bookmark the permalink. | Коротке посилання:  http://p1rat.ru/lezzz/1NaRT

Залиште відповідь