LINUX.ORG.RU

В OpenSSH добавлена двухфакторная аутентификация

 


6

3

Новая возможность пока имеет статус «экспериментальная». Она позволяет использовать для аутентификации очень дешевые аппаратные ключи, подключаемые через USB, Bluetooth и NFC. Например YubiKey Security Key или Thetis FIDO U2F Security Key with Bluetooth стоят около 100 евро.

Руководство по включению данной аутентификации по ссылке.

>>> Подробности

Неплохо, учитывая что клон юбика делается на восьмой атмеге за два вечера.

ncrmnt ★★★★★ ()
Ответ на: комментарий от ncrmnt

А это как сделать?

«уникальный защищенный чип, который, по прикосновению к кнопке, выполняет криптографические функции. Данное устройство не является биометрическим. Ключ использует емкостной сенсор, который активируется малыми электрическими зарядами вырабатываемыми человеческим телом.»

anonymous ()
Ответ на: комментарий от mittorn

FIDO

Это не тот FIDO. Это Fast IDentity Online – альянс, вырабатывающий протоколы для аутентификации.

Но да, на хабре про это три года назад уже шутили. И по неоднородности аббревиатуры есть подозрение, что кто-то из создателей альянса её подгонял специально. :)

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от anonymous

Перевожу с маркетинго-буллшитского на инженерный: Микроконтроллер с зашитыми от ридбэка прошивки фьюзами, который шифрует таймстемп и номер сессии AES’ом при нажатии на кнопку и выплёвывает результат в комп прикидываясь клавиатурой.

ncrmnt ★★★★★ ()
Ответ на: комментарий от anonymous

Элементарно. Там два таймера в еепром. Номер сессии (инкремент, когда подали очередной раз питание) и сколько оно уже включено в рамках данной сессии. Номер сессии в еепром сохраняется.

ncrmnt ★★★★★ ()
Ответ на: комментарий от anonymous

Интересно. Там же кстати и версию nfc продают за 2600руп.

AVL2 ★★★★★ ()
Ответ на: комментарий от mittorn

Это не то фидо, на которое ты возбудился, кек

aol ★★★★★ ()
Ответ на: комментарий от ncrmnt

От твоего поста где-то в горах плачет Эдик (известный avr-ненавистник).

anonymous ()
Ответ на: комментарий от ncrmnt

случаем ссылкой не поделишься? как вариант для вечернего рукоблудия весьма интересно

anonymous ()

Стоп. SSH это разве не удаленка ? Или это про то чтобы опен-кей с флешки читать ?

mx__ ★★★★★ ()

ОК. А это по итогу будет более безопасно, чем двухфакторная аутентификация, реализованная в приложении?

Bagrov ★★★★ ()
Ответ на: комментарий от Bagrov

В прмложении двухфакторная нужна чтобы узнать номер телефона и продать его спамщикам. Там не про безопасность.

kostyarin_ ()
Последнее исправление: kostyarin_ (всего исправлений: 1)

очень дешевые 100 евро.

?

я понимаю 1 евро, ну 5. Вот это очень дешевые. Может ТС двумя нулями ошибся?

anonymous ()
Ответ на: комментарий от Bagrov

В принципе да, с TOTP у тебя один ключ на всех девайсах и тебе его ещё надо передать по защищенному каналу.

С U2F у тебя несколько ключей, при утере ключа момжно просто его разрегистрировать.

Gary ★★★★★ ()
Ответ на: комментарий от anonymous

Ошибка перевода. В оригинале имелось в виду, что это одно из самых простых и дешевых средств из существующих. А не просто очень дешевое.

Ну и 100 евро тоже перебор, в РФ он стоит около 30 евро. Хотя и это не назовешь очень дешевым…

AVL2 ★★★★★ ()

Не прошло и недели, как отрелизилась KeePassXC с такой же фичей. Неспроста?

Infra_HDC ★★★★★ ()
Ответ на: комментарий от ncrmnt

да, вот сразу возник такой же вопрос. зачем люди платят столько денег за аппаратные ключи?

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

Потому что сделать устройство, которое носишь в кармане и оно не ломается и выглядит не как груда элементов на куске макетной платы не так то просто?

А еще потому что это ответственность. Банку безопаснее и дешевле продать лицензию на криптопро и рутокен, чем ваять тоже самое на колене…

AVL2 ★★★★★ ()

в системах с PAM она есть уже много лет, в том числе для OpenSSH.

anonymous ()

Security Key with Bluetooth

Выглядит очень безопасно, надо брать.

bdfy ★★★★★ ()
Ответ на: комментарий от AVL2

да, но оно, по сути, ничего не стоит. потому что кто-то другой может сделать аналог твоего ключа на макетной плате. и в чём тогда смысл?

Iron_Bug ★★★★ ()
Ответ на: комментарий от bdfy

главное же, чтобы было красиво и в кармане таскать удобно. а не какая-то макетная плата :)

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

Трудно сказать. Я бы некроманта позвал. Сам в этой технологии плаваю, как они добиваются уникальности каждого стика и насколько легко его перехватить и подделать.

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

Только для юр. лиц и ИП

Удалите этот маркетоидный спам.

Удалите это 4.2

Продают и физлицам. На этапе оформления заказа есть вкладка и для юрлиц и вкладка для физлиц.

AVL2 ★★★★★ ()
Ответ на: комментарий от ncrmnt

А изначальные данные какие (дефолтное значение счётчика, AES ключ) и откуда они берутся?

Harald ★★★★★ ()
Ответ на: комментарий от AVL2

Это второй фактор, а не первый.

Ну хорошо другой пример, берем ssh делаем проверку по ключу и если прошел то требуем пароль, сколько факторов ?

Я про то что усб и 2х факторная ни каким боком не связано.

mx__ ★★★★★ ()
Ответ на: комментарий от kostyarin_

В прмложении двухфакторная нужна чтобы узнать номер телефона и продать его спамщикам. Там не про безопасность.

Ты о мобильных приложениях? Они и без того прекрасно выуживают номер телефона. Что до банков и прочих финансовых организаций, сомневаюсь, что им это нужно. Зачем Яндекс.Деньгам шквариться, сливая данные уездному таксопарку или убогой языковой школе? Если бы рыбешке покрупнее — там, где анализ больших данных, таргетированная реклама, шпионаж, наконец — я бы еще понял.

Я имел в виду веб-приложения, где второй фактор нужно руками вводить (SMS — в топку, но есть еще генерация по закрытому ключу и пуш). Чуть выше некто @Gary объяснил, что к чему, за что ему спасибо.

P.S. Лично меня спамеры начинают задалбывать после публикации номера в открытых источниках. Обычно их парсят по соцсетям и доскам объявлений. Возможно, еще и на сайтах для поиска работы.

Bagrov ★★★★ ()
Последнее исправление: Bagrov (всего исправлений: 1)
Ответ на: комментарий от mx__

да более чем связано. один фактор это ключ. А второй аппаратный ключ. Каналы разные. В чем проблема?

AVL2 ★★★★★ ()
Ответ на: комментарий от mx__

Формально, ключ на диске - тоже второй фактор, ведь его нельзя запомнить как пароль. Но это довольно плохая его реализация, потому что он легко поддается копированию.

Gary ★★★★★ ()
Ответ на: комментарий от Bagrov

Что до банков и прочих финансовых организаций, сомневаюсь, что им это нужно.

Ах-ха-ха. Очень смешно.

kostyarin_ ()
Ответ на: комментарий от Gary

Согласен. Просто это упоминание про усб мне напоминает распознавание лиц в телефоне которое срабатывает от фотки ;)

Написали бы проще сделали поддержку таких то ключей а уж для одинарной или двойной это уже про другое.

P.S. А ключ и утащить могут ;)

mx__ ★★★★★ ()
Ответ на: комментарий от kostyarin_

кстати про банки и т.д. Насколько я помню всякие банки онлайн и типа госулуги давно юзают усб-кей для одинарной автоверификации.

mx__ ★★★★★ ()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

В прмложении двухфакторная нужна чтобы узнать номер телефона и продать его спамщикам. Там не про безопасность.

Я думаю, имелось в виду TOTP, там нет номеров телефона.

theNamelessOne ★★★★★ ()
Ответ на: комментарий от kostyarin_

Там про небезопасность, потому что много откуда этот номер телефона можно сопоставить с аккаунтами. Как и почту.

anonymous ()
Ответ на: комментарий от theNamelessOne

Я думаю, имелось в виду Ты живёшь на сайтике с обширной сектой свидетелей безопасного телеграма, так что так думать не надо.

anonymous ()

а почему это openssh должен уметь, а не агент связки ключей?

anonymous ()
Ответ на: комментарий от anonymous

Потому что это новый тип ключа. называется ecdsa+sk

Поэттому и клиент и сервер должны о нем знать. И агент тоже, если он используется. По ссылке из новости все это объясняется.

AVL2 ★★★★★ ()
Последнее исправление: AVL2 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.