LINUX.ORG.RU

В OpenSSH добавлена двухфакторная аутентификация

 


6

3

Новая возможность пока имеет статус «экспериментальная». Она позволяет использовать для аутентификации очень дешевые аппаратные ключи, подключаемые через USB, Bluetooth и NFC. Например YubiKey Security Key или Thetis FIDO U2F Security Key with Bluetooth стоят около 100 евро.

Руководство по включению данной аутентификации по ссылке.

>>> Подробности

Ответ на: комментарий от ncrmnt

А это как сделать?

«уникальный защищенный чип, который, по прикосновению к кнопке, выполняет криптографические функции. Данное устройство не является биометрическим. Ключ использует емкостной сенсор, который активируется малыми электрическими зарядами вырабатываемыми человеческим телом.»

anonymous ()
Ответ на: комментарий от mittorn

FIDO

Это не тот FIDO. Это Fast IDentity Online – альянс, вырабатывающий протоколы для аутентификации.

Но да, на хабре про это три года назад уже шутили. И по неоднородности аббревиатуры есть подозрение, что кто-то из создателей альянса её подгонял специально. :)

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от anonymous

Перевожу с маркетинго-буллшитского на инженерный: Микроконтроллер с зашитыми от ридбэка прошивки фьюзами, который шифрует таймстемп и номер сессии AES’ом при нажатии на кнопку и выплёвывает результат в комп прикидываясь клавиатурой.

ncrmnt ★★★★★ ()
Ответ на: комментарий от anonymous

Элементарно. Там два таймера в еепром. Номер сессии (инкремент, когда подали очередной раз питание) и сколько оно уже включено в рамках данной сессии. Номер сессии в еепром сохраняется.

ncrmnt ★★★★★ ()
Ответ на: комментарий от Bagrov

В принципе да, с TOTP у тебя один ключ на всех девайсах и тебе его ещё надо передать по защищенному каналу.

С U2F у тебя несколько ключей, при утере ключа момжно просто его разрегистрировать.

Gary ★★★★★ ()
Ответ на: комментарий от anonymous

Ошибка перевода. В оригинале имелось в виду, что это одно из самых простых и дешевых средств из существующих. А не просто очень дешевое.

Ну и 100 евро тоже перебор, в РФ он стоит около 30 евро. Хотя и это не назовешь очень дешевым…

AVL2 ★★★★★ ()
Ответ на: комментарий от Iron_Bug

Потому что сделать устройство, которое носишь в кармане и оно не ломается и выглядит не как груда элементов на куске макетной платы не так то просто?

А еще потому что это ответственность. Банку безопаснее и дешевле продать лицензию на криптопро и рутокен, чем ваять тоже самое на колене…

AVL2 ★★★★★ ()
Ответ на: комментарий от Iron_Bug

Трудно сказать. Я бы некроманта позвал. Сам в этой технологии плаваю, как они добиваются уникальности каждого стика и насколько легко его перехватить и подделать.

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

Только для юр. лиц и ИП

Удалите этот маркетоидный спам.

Удалите это 4.2

Продают и физлицам. На этапе оформления заказа есть вкладка и для юрлиц и вкладка для физлиц.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Это второй фактор, а не первый.

Ну хорошо другой пример, берем ssh делаем проверку по ключу и если прошел то требуем пароль, сколько факторов ?

Я про то что усб и 2х факторная ни каким боком не связано.

mx__ ★★★★★ ()
Ответ на: комментарий от kostyarin_

В прмложении двухфакторная нужна чтобы узнать номер телефона и продать его спамщикам. Там не про безопасность.

Ты о мобильных приложениях? Они и без того прекрасно выуживают номер телефона. Что до банков и прочих финансовых организаций, сомневаюсь, что им это нужно. Зачем Яндекс.Деньгам шквариться, сливая данные уездному таксопарку или убогой языковой школе? Если бы рыбешке покрупнее — там, где анализ больших данных, таргетированная реклама, шпионаж, наконец — я бы еще понял.

Я имел в виду веб-приложения, где второй фактор нужно руками вводить (SMS — в топку, но есть еще генерация по закрытому ключу и пуш). Чуть выше некто @Gary объяснил, что к чему, за что ему спасибо.

P.S. Лично меня спамеры начинают задалбывать после публикации номера в открытых источниках. Обычно их парсят по соцсетям и доскам объявлений. Возможно, еще и на сайтах для поиска работы.

Bagrov ★★★★ ()
Последнее исправление: Bagrov (всего исправлений: 1)
Ответ на: комментарий от mx__

Формально, ключ на диске - тоже второй фактор, ведь его нельзя запомнить как пароль. Но это довольно плохая его реализация, потому что он легко поддается копированию.

Gary ★★★★★ ()
Ответ на: комментарий от Gary

Согласен. Просто это упоминание про усб мне напоминает распознавание лиц в телефоне которое срабатывает от фотки ;)

Написали бы проще сделали поддержку таких то ключей а уж для одинарной или двойной это уже про другое.

P.S. А ключ и утащить могут ;)

mx__ ★★★★★ ()
Ответ на: комментарий от kostyarin_

кстати про банки и т.д. Насколько я помню всякие банки онлайн и типа госулуги давно юзают усб-кей для одинарной автоверификации.

mx__ ★★★★★ ()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

В прмложении двухфакторная нужна чтобы узнать номер телефона и продать его спамщикам. Там не про безопасность.

Я думаю, имелось в виду TOTP, там нет номеров телефона.

theNamelessOne ★★★★★ ()
Ответ на: комментарий от anonymous

Потому что это новый тип ключа. называется ecdsa+sk

Поэттому и клиент и сервер должны о нем знать. И агент тоже, если он используется. По ссылке из новости все это объясняется.

AVL2 ★★★★★ ()
Последнее исправление: AVL2 (всего исправлений: 1)