LINUX.ORG.RU

В OpenSSH добавлена двухфакторная аутентификация

 


6

3

Новая возможность пока имеет статус «экспериментальная». Она позволяет использовать для аутентификации очень дешевые аппаратные ключи, подключаемые через USB, Bluetooth и NFC. Например YubiKey Security Key или Thetis FIDO U2F Security Key with Bluetooth стоят около 100 евро.

Руководство по включению данной аутентификации по ссылке.

>>> Подробности



Проверено: a1batross ()
Последнее исправление: cetjs2 (всего исправлений: 5)

Ответ на: комментарий от Iron_Bug

копию карты сделать недорого

И ты снова обделалась публично. Сделать копию чиповой карты практически невозможно.

anonymous
()
Ответ на: комментарий от AVL2

OpenSSH НЕ разрабатывается в рамках OpenBSD. Тебя обманули. Есть два OpenSSH, один разрабатывается для макак с OpenBSD, второй для людей, у людей есть PAM и 2FA давным давно возможна через PAM.

Эти два OpenSSH разделяются как OpenSSH и OpenSSH Portable. В данном случае «Portable» это «для людей».

anonymous
()
Ответ на: комментарий от anonymous

Обычно это показатель тупости или русскости. У нормальных людей такой ассоциации нет и никогда не было. Раньше были кодовые таблицы натурально бумажные, потом пришел TOTP который никак с SMS не связан.

anonymous
()
Ответ на: комментарий от AVL2

Ну первая часто на костылях прыгает, что уж тут поделать. А так через PAM давно был TOTP, гуглится по «totp ssh» и находятся статьи на английском, китайском и даже русском моментально.

Я какое-то время даже использовал, но потом осознал, что это перебор, так как при запароленном ключе это уже 3FA какое-то, надо не только у меня приватный ключ украсть, но еще и паролей из головы вытащить(это 2FA явный), а потом еще добыть мое устройство на котором стоит TOTPовая прога. Решил, что если кому-то настолько будет все нужно, что из моей головы смогут получить пароль, то все равно уже все потярено и мне уже все пофигу.

anonymous
()
Ответ на: комментарий от Iron_Bug

всё, что как-либо втыкается в комп и передаёт данные, можно отсканировать

и че что ты ее отсканируешь? запрос каждый раз разный и ответ каждый раз разный и второй раз не подойдет — хоть засканируйся. Банковские терминалы транзакцию вообще по радиоканалу обрабатывают. И авторизацию и аутентификацию. Поставь рядом приемник, отсканируй, создай копию моей карты и забери всю мою зарплату, если такая «умная»

и если кому-то сильно надо, он это сделает.

если кому-то сильно надо, он и до Луны допрыгнет, отличный аргумент

и зачем тогда «двухфакторная» аутентификация? от чего она спасёт? простой ключ с паролем куда надёжнее выходит.

ну наверное потому что все вокруг тупые, а ты умная: других объяснений нет

ну банковские карты наверное много кому хотелось бы взломать, а чет не взламывают

бугога! добавить нечего. блажен, кто верует. копию карты сделать недорого

сама ты — блаженная. Ты как, веруешь что до Луны нельзя допрыгнуть?

Сделай копию моей карты, недорого, тогда уверую что это возможно, а иначе — говорить можно все что угодно.

pihter ★★★★★
()
Ответ на: комментарий от AVL2

Да нет, суть как раз разная. Два фактора, это два независимых канала.

Да нет, суть как раз в определении: ты утверждаешь что два фактора — это два независимых канала (кстати, с чего ты это взял?), а я — что два фактора — это два разных доказательства того что ты — это ты, при этом не важно по одному каналу они переданы или по разным.

https://ru.wikipedia.org/wiki/Многофакторная_аутентификация

pihter ★★★★★
()
Ответ на: комментарий от DonkeyHot

ну так покажите, давай ссылку на конкретный пример, будем разбираться как они там копию карты делают

pihter ★★★★★
()

очень дешевые аппаратные ключи стоят около 100 евро

Хрена у вас там понятия о цене.

Radjah ★★★★★
()
Ответ на: комментарий от anonymous

Факт прикосновения всего лишь старт на генерацию последовательности. Замени на кнопку и ничего не поменяется.

h4tr3d ★★★★★
()

фича конечно любопытная, но полностью бесполезная. Испытывающие потребность хранить ключи на хардварных токенах уже давно это делают с помощью gpg, и с ssh оно прекрасно работает. Причем без генерации этих промежуточных ключей.

anonymous
()
Ответ на: комментарий от DonkeyHot

Зачем?! Они миллионами с конвейера вылазят => карта не существенна.

ты мне что пытаешься доказать? что возможно сделать копию банковской карты не обладая инсайдерской информацией банка или что-то другое?

pihter ★★★★★
()
Ответ на: комментарий от Radjah

Ну это в России 100 евро это почти вся месячная зарплаты в большинстве городов, а в ЕС это 1/35 зарплаты, а у меня по большинству проектов это 2.5 часа моей работы.

То есть для России это конечно бешеные бабки, а я для цивилизованного мира это очень немного.

anonymous
()
Ответ на: комментарий от ncrmnt

Тут весь вопрос что будет если ключ потеряется или украдется, сможет сторонний человек отладчиком память прочитать или чип нормально защищается. Плюс к этому даже если защита в чипе есть надо смотреть можно ли как нибудь ее обойти, к сожалению такие случаи тоже есть. Ну а если на все это покласть то смысла затеваться с такой балалайкой вообще не вижу.

A-234 ★★★★★
()
Ответ на: комментарий от A-234

То есть вот раньше вопроса не было и серьезные конторы используют указанные в тексте ключи для доступа к коммерческим вещам, а сейчас вопрос появился потому что пять фриков в LOR’а узнали о такой возможности :-D

anonymous
()
Ответ на: комментарий от anonymous

но еще и паролей из головы вытащить(это 2FA явный),

хватит путать факторы! Да, если ты положишь ключ на флешку, а флешку на пароль с отпечатком пальца, а потом в сейф, а к сейфу автоматчика, а на сам ключ на свой пароль, а компьбтер в бункер, а флешку через fuse, чтоб другие пользователи нини и других пользователей на расстрел, то все равно это будет один большой фактор! Один!

Ты свой пароль вводишь через клавиатуру в тот же комп. Перехватили ключ, перехватят и пароль!

AVL2 ★★★★★
()
Ответ на: комментарий от pihter

Ну так два доказательства, это два НЕЗАВИСИМЫХ доказательства. А не одно на другое. А каналы независимые, это потому что если ты сел на канал и оба доказательства заграбастал, это одно доказательство.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Это не ты тут недавно рассказывал, что любой провайдер может перехватить мой трафик и знает все что внутри? А то был тут такой клоун. Я ему еще предлагал полный дамп моего трафика за сутки, что бы он оттуда вытащил хотя бы логин используемый мной для ssh’а хотя бы на один сервер :-D

Как ты перехватишь ключ, васья? Ключ на зашифрованной флешке, у флешки свой пароль. Как ты перехватишь пароли мной вводимые? Рассказывай давай, так, чисто поржать.

Какие же все же васьи смешные животные. Все же странно, что вас в зоопарке не показывают, но думаю после нового Нюрнберга будут.

anonymous
()
Ответ на: комментарий от anonymous

Ага, понаделают разные умники самобытных токенов на ардуинах потом удивлению нет конца. Вы бы хоть понимать на что отвечаете научились, для начала.

A-234 ★★★★★
()
Ответ на: комментарий от pihter

Да нет, суть как раз в определении: ты утверждаешь что два фактора — это два независимых канала (кстати, с чего ты это взял?), а я — что два фактора — это два разных доказательства того что ты — это ты, при этом не важно по одному каналу они переданы или по разным.

Ты сам то читал?

Двухфакторная аутентификация (ДФА, англ. two-factor authentication, также известна как двухэтапная верификация), является типом многофакторной аутентификации. ДФА — представляет собой технологию, обеспечивающую идентификацию пользователей с помощью комбинации двух различных компонентов.

Примером двухфакторной аутентификации является авторизация Google и Microsoft. Когда пользователь заходит с нового устройства, помимо аутентификации по имени-паролю, его просят ввести шестизначный (Google) или восьмизначный (Microsoft) код подтверждения. Абонент может получить его по SMS, с помощью голосового звонка на его телефон, код подтверждения может быть взят из заранее составленного реестра разовых кодов или новый одноразовый пароль может быть сгенерирован приложением-аутентификатором за короткие промежутки времени. Выбор метода осуществляется в настройках аккаунта Google или Microsoft соответственно.

Зачем такие сложные примеры, если просто можно было написать, вход по двум паролям? Или паролю и пину?

Давай проще, ты сколько в этих примерах видишь каналов? Есть хоть один пример с одним каналом?

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Это не ты тут недавно рассказывал, что любой провайдер может перехватить мой трафик и знает все что внутри?

Вас тут по объявлению набрали? Вроде раньше были вменяемые…

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ну так два доказательства, это два НЕЗАВИСИМЫХ доказательства.

согласен. Ну вот пример с ключом и паролем к нему — это не независимые доказательства? Например, злоумышленник может похитить ключ у меня с компа, не похитив при этом пароль у меня из головы. Или наоборот, подглядеть как я ввожу 123 но не иметь ключа. Это разные факторы.

А каналы независимые, это потому что если ты сел на канал и оба доказательства заграбастал, это одно доказательство.

каналы не при чем. Сев на канал ты сегодня вообще мало что увидишь. Тем более пароль у меня из головы

pihter ★★★★★
()
Ответ на: комментарий от pihter

согласен. Ну вот пример с ключом и паролем к нему — это не независимые доказательства?

нет. Это один фактор. Просто более сложный для похищения. Еще более сложный, это пинкод и неизвлекаемый ключ на железном токене. но это все равно один фактор, а не три.

каналы не при чем. Сев на канал ты сегодня вообще мало что увидишь. Тем более пароль у меня из головы

ты слишком узко воспринимаешь слово канал.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

А можешь для наглядности привести пример реальной, с твоей точки зрения, двухфакторной аутентификации, которая более-менее широко используется на практике (то есть у меня, например, есть шанс с ней столкнуться)?

beresk_let ★★★★★
()
Ответ на: комментарий от AVL2

То есть это был ты Ну что, тебе дать 30 гигов дневного трафика? Ты только имей в виду, что он wireguardный на 100%, а внутри него ssh и прочие прелести. А ты покажешь как ты все на свете из него достанешь :-D

anonymous
()
Ответ на: комментарий от beresk_let

Вариант 1: Ключ(или логин-пароль) + одноразовый пароль (POTP)

Вариант2: Ключ(или логин-пароль) + одноразовый пароль из таблицы

Вариант3: Ключ(или логин-пароль) + пин из смс

Все три варианта использовал.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous
  1. Нет, это был не я. Я вообще не в курсе, о чем вы там говорили. И здесь хожу только под AVL2. Нафиг мне надо капчу вводить…

  2. Защита каналов шифрованием в данном контексте не при чем. Понятия не имею, что ты с ним вылез.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Погоди, но ведь пин из СМС я ввожу в тот же самый компьютер, что и логин-пароль. Насколько я понял, ты называешь это одним фактором, просто усложнённым. Или я понял неверно?

beresk_let ★★★★★
()
Ответ на: комментарий от beresk_let

Два фактора здесь потому что пин одноразовый. Поэтому второй канал (и второй фактор), это смс.

Просто поставь себя на место оператора ПК. Ты полностью контролируешь один канал.

Тебе хозяин дал логин-пароль. Это один фактор. Ты его передал на сервер и себе записал. Ок, перехвачено.

Тебе дали пин. Ты его передал и себе записал. Ок, перехвачено.

Теперь ты сам пытаешься залогиниться без пользователя. Вводишь логин-пароль. Прошел, это один фактор. Запросили пин, ввел пин, а тут обломинго. Нужен второй канал. Поэтому это второй фактор.

Представь что ты оператор телефона. Ты полностью контролируешь это канал. Хозяин зашел по логину и паролю, пришло смс. Ты его перехватил, записал и даже дальше сможешь получать смски. И все равно войти не сможешь, потому что логин и пароль через тебе неизвестен и смска к тебе просто не придет…

А вот если ты перехватишь оба канала - и телефон и интернет и в одном канале узнаешь логин и пароль, а затем в другом канале перехватишь смску, то тут ларец и откроется. Это и есть два фактора.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Представь что ты оператор телефона.

А злой Google отменил SMS в качестве возможного канала. Вот засада. Только TOTP в приложении работающем оффлайн, подтверждение на другом устройстве или запасные коды выданные пациенту при включении 2FA

anonymous
()
Ответ на: комментарий от AVL2

Всё, перечитал тред, понял твою позицию, противоречие ушло. Благодарю.

beresk_let ★★★★★
()
Ответ на: комментарий от anonymous

А злой Google отменил SMS в качестве возможного канала. Вот засада. Только TOTP в приложении работающем оффлайн, подтверждение на другом устройстве или запасные коды выданные пациенту при включении 2FA

И что это меняет? Ты оператор другого устройства, ты оператор TOTP или оператор таблицы паролей. Оператор второго канала, короче…

AVL2 ★★★★★
()
Ответ на: комментарий от A-234

А думаешь, внутри йубикея какая-то особенная защита? Встроенная в МК защита от ридбэка прошивки/данных обычно достаточно хорошая. Ну и я сомневаюсь, что кто-то в здравом уме и трезвой памяти будет реверсить скомунизженный токен.

ncrmnt ★★★★★
()
Ответ на: комментарий от A-234

Удобство же. Плюс все таки о том, что такой ключ клонируется на раз-два обычно становится известно.

А так если он утебя на ключах, то пропажу ты заметишь.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

делают, причём массово. не далее, чем пару месяцев назад копию карты моей преподавательницы пытались использовать за границей. в разборках с банком проканал факт, что она в это время никуда не выезжала. таких случаев - тьма. так что обделываются ламеры. а копии карт делаются без проблем.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anonymous

Достаточно вируса на твоём компьютере, который кейлоггером стащит пароль и стащит файл. Второй фактор должен быть на другом устройстве.

Legioner ★★★★★
()
Ответ на: комментарий от Iron_Bug

копию карты моей преподавательницы пытались использовать за границей

физическую копию или же данные карты (номер, cvc/cvv, имя/фамилия, дата окончания действия)?

таких случаев - тьма

пруфца бы

anonymous
()
Ответ на: комментарий от Iron_Bug

Ты где-то спалила данные карты, но виноваты триллиарды нелегально выпускаемых, да :-D

Случаев с доказательствами за последние годы НЕТ. Вот вообще нет. Твое вранье не доказательство.

anonymous
()
Ответ на: комментарий от anonymous

Если ты скептичен зачем вообще пароль поставил на файл?

Legioner ★★★★★
()
Ответ на: комментарий от pihter

что возможно сделать копию банковской карты не обладая инсайдерской информацией банка

Естественно. Большую часть процесса производства карты идентичны. Должно быть легко купить у китайских производителей вагон-другой. Та, что ты получил, отличается максимум ключом внутри чипа Последний должно быть сложно скопировать. Впрочем, это не обязательно – опять, доклад про только обнаруженные только некоторыми только «хорошими парнями» способами пролома в ютубах бесплатно.

DonkeyHot ★★★★★
()
Ответ на: комментарий от ncrmnt

Я не знаю на каком контроллере он построен но уверен, что до хранилища ключей вы доберетесь только послойным сканированием чипа.

A-234 ★★★★★
()
Ответ на: комментарий от DonkeyHot

отличается максимум ключом внутри чипа Последний должно быть сложно скопировать

ну блин. Разумеется я говорил не о сложности изготовления карты, а о сложности вытаскивания из готовой карты ключа

доклад про только обнаруженные только некоторыми только «хорошими парнями» способами пролома в ютубах бесплатно

в ютубе есть описание как извечь ключ из банковской карты, да не просто серийник, а КЛЮЧ, позволяющий сделать копию? ссылку в студию

pihter ★★★★★
()
Ответ на: комментарий от Iron_Bug

делают, причём массово

покажи, если массово — то не составит труда

не далее, чем пару месяцев назад копию карты моей преподавательницы пытались использовать за границей. в разборках с банком проканал факт, что она в это время никуда не выезжала. таких случаев - тьма

это копия карты или кто-то ее сфотал с двух сторон?

а копии карт делаются без проблем.

до луны допрыгивают — без проблем

pihter ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.