博客P1ratRuleZZZ

授权硬件. 满足FIDO U2F

序幕

如今,密码是越来越多, sbrutforsit易密码不工作, 哪怕是不时冒出来的时间CAPTCHA, 其解决方案可以与印第安人通过特殊服务委托, 可访问性API这种情况. 通常, 确保更复杂的安全性. 即使是一个非常强大和长密码的选择可能, 如果没有选择, то любой школьник в наше время может додуматься и написать собственный а-ля “троян” или кейлоггер или расширение в браузер, 这将跟踪页面,并从形式拉出密码. 最有可能的, 我刚才发布的程序不会被任何杀毒软件被截获,直到, 直到有人不发送审查恶意的二进制, 和签名不被添加到数据库中.

СМС – не панацея?

让我们回到密码. Сложные пароли придумывать — это дело непростое, 更不用说记住他们都沉默. 有一个解决方案, 叫 双因素认证 (2FA), 这是, ,为了进入平时对登录后才能访问您的帐户/密码要求的其他行动, наиболее популярно в наши дни — ввод кода с СМС, 因为验证这种方法在银行与客户的使用. 有什么不对的方法? 这似乎, 每个人都有手机, 它是一个个人工具, 因此它必须是安全的. 然而, 如果你抓到骗子专业, 他们会找到一个办法让你的手机连接,很容易就能爬到服务, 在您的帐户连接到您的手机, 同时也对应电报vskroyut (注意: 电报存储所有信件参考电话号码. 只有秘密通信将不会被保存, 根据本创). 了解更多关于危险可以在文章中找到 хабрхабрхабрхабрхабрхабахаб….блабла. 和, 顺便, Android智能手机,一些应用程序可以读取短信, 这样他们就可以很容易被截获, 如果你让受害者安装特殊的应用程序,并且给他访问短信.

软件2FA

另一方面, SMS是相当善意的身份验证方法, 但无论是便利? 又是怎么回事, 如果手机丢失, 并获得您的账户来接收迫切需要? 或, 例如, 从地下室确认登录, 在没有蜂窝网络不赶? 许多服务引入支持认定申请书, 例如, 谷歌Authentificator, или Duo. 然而, 这两个应用程序都特别不舒服, 因为它不进行备份,并且不能在多个设备上使用的, 不要在入口处pin码问, 所以有很大的 决定 软件2FA. 但是不要忘记主密码! 而且一定要在纸面上从服务备份代码存储印刷形式的地方在机柜或安全 (这一切都取决于偏执的程度). 好吧,或在安全的地方别处, 但倘若你这个地方可用. 该方案是方便的双因素身份验证, 你可以使用任何喜欢的应用程序, а также есть возможность использовать аппаратные OTP токены — брелки с USB и/или дисплеем, 其中显示了密码 ( 如果, если дисплея нет — эмулируется USB клавиатура и по нажатию на кнопку брелок сам вводит одноразовый пин-код в поле).

硬件认证FIDO U2F

某FIDO联盟, 由组织谷歌的成员, 贝宝, 万事达卡和其他知名品牌, 我们决定简化由U2F通用认证授权. 它是如何工作?

  1. 用户由通常的登录和密码的装置验证
  2. 服务器发送给浏览器的特殊要求
  3. 该浏览器还发送到USB接口的令牌FIDO U2F请求
  4. 这反过来正在等待一个按钮或点击传感器 ( 可, 进入pin码, 如果有, 你输入pin码) 并发送一个确认浏览器, 服务器和浏览器, 在此之后,服务器允许输入

卖地配置令牌. 价值 20 之前 50 US $. Самый популярный из них — это yubico, 然而,在俄, 悉数亮相, 不再销售 (制裁?). 这些令牌堆, 也在车上有发电机OTP, поддержкуиNFC蓝牙, 这使得它可以在平板电脑上和智能手机很好地工作. 在俄罗斯,该公司 阿拉丁-RD производитпродукт雅加达U2F, 效果很好关于该协议. 我自己买了这个,马上面临着工作在Linux环境问题 ( Ubuntu的 14.04, 在我的情况 ). 在Windows中,一切都完美. 原来,, 它是在Linux访问权限的问题: root用户只需要使用设备的权利, 检测为FIDO令牌.

我们解决这个问题很简单:

  1. 下载此 文件
  2. 我们把它放在 /etc / udev以/ rules.d /
  3. 也许, 应特别添加到您的产品ID列表. 此
     sudo lsusb -l
    

    我们得到的形式USB设备列表idVendor:idProduct. 我们从列表寻找装置和插入适当idVendor idProduct并在该文件的最后一行, 从任何可用复制. 计算机重新启动后,权利将生效,这将有可能使用谷歌浏览器令牌 (和其他程序, 工作代表用户的).

    详细说明 那里.

在哪里以及如何申请

相关链接

Exit mobile version