Proton Authenticator — новое открытое приложение для безопасной двухфакторной аутентификации

Это у вас там что-то нарукожопили. Посмотри как это реализовано в том же Гитхабе, например.

Главная и единственная задача этого софта в том чтобы превратить двухфакторную авторизацию в безфакторную, что разумеется является усилением безопастности. Кроме того я не вижу доказательств отсутствия утечки инфы, и нет никакой другой политики кроме «считать уязвимым пока не доказано обратное».

Я что-то даже не могу себе представить, как работала бы 2FA, которая показывает QR код с секретом каждый раз при логине. На каком этапе там код от приложения аутентификатора нужно вводить? Каждый раз при логине надо новую запись в аутентификаторе создавать? Столько вопросов, и абсолютно ноль идей.

Каким образом в твою резонансную полость, где у других людей обычно расположен моск, проникло данное подобие мысли в контексте этой новости?

Ну, мы уже знаем про «швейцарские» «непревздойденные» шифровальные машины, которые, по сути, были сливными бачками АНБ.

У меня стойкая уверенность, что и вся эта Proton* движуха - из того же разряда.

Я что-то даже не могу себе представить, как работала бы 2FA, которая показывает QR код с секретом каждый раз при логине.

Три поля ввода - логин, пароль, код. Рядышком - QR для тех, кто ещё не.

Ни на каком. Сканируешь QR-код, приложение отправляет на сервер, к примеру, sha256(secret | qr). Сервер получает, сверяет и на исходной странице пускает дальше. Вроде у яндекса так (конечно с другим алгоритмом). К классическому алгоритму TOTP это отношения не имеет, конечно.

Это ты про другое - наверно про логин через QR.

Ну по сути тоже одноразовый код, просто вводишь не ты руками, а приложение само вводит.

Это у вас там что-то нарукожопили.

Да. Но мой хрустальный шар мне говорит, что если так нарукожопили у нас, то и в других местах нарукожопят примерно так же.

Посмотри как это реализовано в том же Гитхабе, например.

В больших компаниях с большими бюджетами где безопасность влияет на бизнес-показатели всё сделают как надо - будут генерировать отдельный секрет на каждого пользователя и проверять, не сгенерирован ли он раньше.

Шарашки уровнем поменьше сломаются, как только к ним пойдёт поток обращений от пользователей, которые не могут войти, потому что сменили / обнулили / забыли телефон. Чё с ними делать? Хорошо, если есть резервный второй фактор в виде смс. А если нет? Сажать человека вручную сбрасывать / отключать?

Шарашки уровнем поменьше сломаются, как только к ним пойдёт поток обращений от пользователей, которые не могут войти, потому что сменили / обнулили / забыли телефон. Чё с ними делать?

На этот случай должен существовать протокол восстановления доступа, который применяется если, к примеру, был забыт основной пароль. К реализации второго фактора это особого отношения не имеет.

Главная и единственная задача этого софта в том чтобы превратить двухфакторную авторизацию в безфакторную

Поясни механику этого процесса plz.

Тут как в том анекдоте про теорию и практику. Вот я прям щас уже в другой компании имел сомнительное щастье лицезреть пришествие второго фактора. Компания маленькая, меньше полутысячи людей. Запросы про отключение второго фактора летят почти ежедневно по несколько штук. Проецируем это на штат в 3К+ сотрудников и отдел техподдержки по утрам первый час будет решать только этот вопрос.

А теперь натягиваем на эту картину внедрение ТОТР в конторе как первую реализацию второго фактора. Люди привыкли к тому, что QR-коды должны быть развешены на всех столбах. Никакой логики в сокрытии QR-кода они вообще не видят. "Безопасность" они связывают с непонятной операцией в мобильном, которая одни и те же квадратики из QR превращает каждый раз в разные цифры. В итоге это заканчивается тем, что я описал выше.

протокол восстановления доступа, который применяется если, к примеру, был забыт основной пароль.

Нет, для людей это совершенно разные сценарии. Основной пароль у людей записан и приклеен стикитом к экрану. Он не меняется сам и они его запоминают через неделю - две работы намертво.

Почему?

ты про какие-то странные вещи рассказываешь, слабо связанные с TOTP. Секрет (в виде QR или иным образом) передаётся пользователю однократно (и потом обычно не меняется).

В больших компаниях с большими бюджетами где безопасность влияет на бизнес-показатели всё сделают как надо - будут генерировать отдельный секрет на каждого пользователя и проверять, не сгенерирован ли он раньше.

Какова мотивация генерации одного секрета на всех пользователя? При чем тут бюджет?

Шарашки уровнем поменьше сломаются, как только к ним пойдёт поток обращений от пользователей, которые не могут войти, потому что сменили / обнулили / забыли телефон. Чё с ними делать?

Ну передать им заново секрет.
А ещё можно использовать аппаратный токен брелок. Тогда вообще проблема с телефоном снимается.

Значит, тебе это вообще не нужно, не забивай голову бесполезным мусором.

Дожили. Раньше я писал в ЛОР про программу, что она не нужна. Теперь ЛОР пишет в меня что программа мне не нужна :)

стим, дискорд, телеграм

стим

Там похожая идея, тоже коды генерируются в зависимости от времени. Но там нельзя взять и использовать какой-то другой аутентификатор.

QR код, который Steam показывает при входе, не содержит секрет для TOTP.

телеграм

Тоже своя проприетарная реализация. Не TOTP в смысле rfc 6238.

дискорд

Не уверен, но скорее всего аналогично.

Steam

С рутом можно выдернуть из их приложения секрет и подсунуть в Aegis или Bitwarden те же, после чего приложение стима удалить спокойно.

да, кстати. у меня стим коды в обычном keepassxc (и не надо было никакого рута)

не надо было никакого рута

А как ещё выдернуть код, который хранится в данных приложения стима?

я не помню как я это делал, наверно нагуглить не трудно, но смысл в том что после того как перенес в keepassxc, на телефоне генерировалка перестала работать (то есть можно генерировать только одним устройством)

вроде вот это использовал https://github.com/dyc3/steamguard-cli

В общем, в Aegis есть встроенный импорт из данных других приложений, в том числе и стима, для этого и нужен рут. После импорта сам стимгард тоже продолжает работать.

Ну, ты прекращаешь самостоятельно аутентифицироваться по 2-м каналам, разнесённым на 2 устройства, ты сливаешь 2 канала на одно устройство в 1 софтину (отличный вектор для атаки! инфографика в заголовке показывает, что у хакеров не так уж много работы), перестаёшь личо контролировать процесс «что и когда аутентифицировалось», ну и сваливаешь кучу аккаунтов в одну свалку чтобы видимо потерять их все вместе.

задача этого софта в том чтобы превратить двухфакторную авторизацию в безфакторную

То есть в ИБ ты разбираешься даже хуже чем в линуксе? Удивительно, я думал что хуже просто невозможно :-D :-D :-D

Приложение может вообще без сети работать. Всякие синхронизации с облаком и прочая мишура необязательна для работы.

Не упущу возможность подушнить - только при наличии стабильных часов там, где это приложение работает. Всё же первое Т это Time.

Секрет (в виде QR или иным образом) передаётся пользователю однократно

И ВНЕЗАПНО выясняется, что это не работает. У телефонов пользователей какая-то своя движуха, отличная от их владельцев, - они теряются, забываются, отдаются детям на "поиграть" и ещё бох знает что - я не знаю, я чужой на этом празднике смартфонной жизни. Но в сухом остатке "один раз" - не работает. Надо ещё раз, и ещё раз, и ещё много много раз.

Какова мотивация генерации одного секрета на всех пользователя?

Как только ты делаешь сложным получение QR’а, люди тут же копируют себе этот QR в виде фото на телефон, а потом радостно делятся этим с коллегами и соседями по рабочему месту. В итоге к тебе отдел приходит 100500 заявок, что люди не могут войти в систему, и через час - два мозгосношения с каждым ты узнаешь, что они взяли QR у соседа.

При чем тут бюджет?

При том, что 2FA не бесплатен - он стоит денег. Это простой сотрудников, это допнагрузка на техподдержку, это очередной срач на совещании "ваши программисты делают не правильный qr".

Ну передать им заново секрет.

ЭТО И ЕСТЬ ПОТЕРЯННЫЕ ВРЕМЯДЕНЬГИ. На масштабе одинокого кулхацкера васи этого не видно. На организации в тыс. чел людей это видно сразу.

А ещё можно использовать аппаратный токен брелок
При чем тут бюджет?

Да, действительно.

Само собой, но смартфоны нормально синхронизируют время. Тем более, протокол допускает возможность сравнить также с хешем для предыдущего или следующего интервала, а это даёт окно в 90 секунд.

QR тебе один раз выводят

Более того, это сделано исключительно для удобства - то же самое можно ввести руками в конфиг TOTP.

Я говорю про тот ТОТР, который (почти) везде используется

Я прям щас с ходу - тоже не могу ничего такого вспомнить

То есть ты даже не отрицаешь что ты обычное трепло?

Я пользовался ТОТР на двух работах для доступа к VPN. На обоих qr-код был свободно доступен без всяких приседаний. Если ты безработный фрилансер, работающий с ТОТР только в гугле и гитхабе раз в неделю / месяц - твой пробег будет другим.

О, с возвращением)

Прямо сейчас работаю в компании, где TOTP используется правильно. ЧЯДНТ?

ЭТО И ЕСТЬ ПОТЕРЯННЫЕ ВРЕМЯДЕНЬГИ.

Это перекладывание с больной головы на здоровую. Есть TOTP для людей, которые хотят двухфакторку, у меня в гугл аутентификаторе уже 3 штуки набралось, везде qr один раз показывается. Если это слишком затратно для конторы - можно не внедрять. А то, что ты описал в конторе - маразм же. Инициативу кабинетных умников саботировали на местах - да, такое бывает)

Если это слишком затратно для конторы - можно не внедрять.

Нельзя. Есть разнарядка сверху, что должна быть для любого входа двухфакторка.

где TOTP используется правильно. ЧЯДНТ?

Не отдаёшь свой телефон на поиграть детям по дороге в детсад / школу и вспоминаешь, что отдал, только когда включаешь рабочий компьютер?

Лучше расскажи, как ты войдешь в систему, если в один прекрасный момент телебон не включится.

Лучше расскажи, как ты войдешь в систему, если в один прекрасный момент телебон не включится.

Я использую TOTP в приложении Keepassxc/Keepassdx и он один и тот же есть на любом моем компьютере/телефоне.

И руками синхронизируешь?

как ты войдешь в систему, если в один прекрасный момент телебон не включится

Я пользовался ТОТР на двух работах для доступа к VPN

Брехло бездарное. Если бы реально пользовался - знал бы как.

инфографика в заголовке показывает, что у хакеров не так уж много работы

Раньше мне казалось что тупые это те, кто маны не читают, но рассуждают про архитектуру линукса. Но оказалось что это не предел идиотизма - есть те, кто ИБ по рекламным картинкам изучает.

Мне прям интересно стало - кем ты работаешь? В какой профессии можно получать деньги с настолько низким IQ?

Есть разнарядка сверху, что должна быть для любого входа двухфакторка.

Интересно что будет, когда сверху узнают, что по факту ее нет)

Syncthing.

Могу посоветовать тебе привязать все свои деньги к бесфакторному программному аутентификатору. Что тут ещё можно сказать?

Давай, покажи свои глубокие знания про 100500 реализаций различных алгоритмов гуглоаутентификатора, в каждом из которых надо искать уязвимости по отдельности? Или ты как всегда ни на что не способе нкроме набросов?

100500 реализаций различных алгоритмов гуглоаутентификатора

Кто-нибудь может перевести с соевого - что этот невменяемый имеет в виду?

к бесфакторному программному аутентификатору

Интересно, а есть какая-то область человеческого знания, в которой ты ещё не выставил себя беспросветно-безграмотным идиотом? Ну должен же ты суметь хоть в чём-то разобраться не позорясь публично. Ты картины по номерам пробовал рисовать?

Не отдаёшь свой телефон на поиграть детям по дороге в детсад / школу и вспоминаешь, что отдал, только когда включаешь рабочий компьютер?

Нет. Как и 7500 моих коллег, по всей видимости.

Лучше расскажи, как ты войдешь в систему, если в один прекрасный момент телебон не включится.

По альтернативному фактору.

Да. Твоя очевидная неспособность привести хоть какой нибудь аргумент например.

Все кроме тебя поняли.

привести хоть какой нибудь аргумент

Аргумент для чего? Бред в треде несёшь только ты - с какого перепугу мне подбирать под него аргументы?

с какого перепугу мне подбирать под него аргументы?

Например для того чтобы показать где и почему я несу бред. Ты ведь не имам чтобы верить тебе на слово. Вдруг кто то кроме меня тебе не верит? Или, о ужас, тоже решит что ты не способен приводить хоть какие то аргументы?