БЛОГ / КОММЕНТАРИИ

Как избавиться от паролей

Интернет технологии

19.11.2018 17:52

Комментарии 72

RSA на этом весь бизнес построили в свое время - их токены (сначала физические, потом виртуальные в виде приложения для телефона) были везде, во всех крупных компаниях. А потом их сеть сломали и украли алгоритм...

Paskin

20.11.18 23:23

0 0

Не совсем понятно, а зачем нужен физически отделяемый от компьютера токен. Можно же сделать (и у некоторых больших фирм так и сделано) виртуальный токен на лаптопе/телефоне.

igori-san°

20.11.18 03:13

0 0

Не совсем понятно, а зачем нужен физически отделяемый от компьютера токен.

чтобы злоумышленник не воспользовался вашим компьютером, когда вы вышли пописать?

Zapret

igori-san°

20.11.18 14:33

0 0

Виртуальный токен на лаптопе от пароля по большому счету не отличается.

Sas2

igori-san°

20.11.18 15:26

0 0

И я тоже задумывался над тем, почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно.

1. Не для авторизации, а для аутентификации. Это совершенно разные вещи. Удивлён.
2. Давным-давно используют. Любая аутентификация по персональному сертификату - это как раз она и есть.

Doctor Notes

20.11.18 00:50

0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее. С точки зрения надежности работоспообности Юсб-флешки. Кто восстанавливал из 0, тот поймет.
По отпечатку пальца - рулеж 😄

PiramiD

19.11.18 23:49

0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее

что за чушь вы несёте?

Zapret

PiramiD

20.11.18 01:04

0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее. С точки зрения надежности работоспообности Юсб-флешки. Кто восстанавливал из 0, тот поймет.По отпечатку пальца - рулеж 😄

Ну если оставить стандартные пин-коды 1..8/1..0 и 8..1, то да небезопасно, а так вполне надёжно. А так пользователи рутокены/етокены в стиральной машинке стирали и ничего, просохли и работают как прежде.

M73568

PiramiD

20.11.18 11:08

0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернеечто за чушь вы несёте?

Я так понимаю, он намекает на недолговечность USB накопителей. Но вот беда, еще ни один USB ключ на мой личной практике не умер. А ведь некоторым уже лет по 10. 😉

Khul

Zapret

20.11.18 11:12

0 0

Пользовался Token, пока банк Связной был жив. Не понравилось. На мой взгляд, дополнительная авторизация по СМС лучше.

Den

19.11.18 23:05

0 0

Я в оригинальной статье комментить не стал (ибо нужен вход через соцсети), но здесь, извините, плюхну ложку дегтя. Не умаляя полезности, ценности, актуальности токенов...
У Троя Ханта (не последний человек в ИБ) есть статья на эту тему:
Here's Why [Insert Thing Here] Is Not a Password Killer

yumashka

19.11.18 22:50

0 0

Много букв, и я почти со всеми не согласен. Свими словами не обьяснишь, чем товарищу токены не угодили?

Sas2

yumashka

19.11.18 23:06

0 0

интересно, спасибо

runcyclexcski

yumashka

19.11.18 23:52

0 0

почему сразу не угодили, основная мысль статьи была уже озвучена выше:
"Без нормально организованной структуры безопасности схема авторизации не играет роли."
ну и еще второй его пункт - без изменения привычек пользователей тоже ничего не заработает

sergeyk555

Sas2

20.11.18 10:43

0 1

Интенесно, а помнит ли кто-нибудь такой ресурс как enum ?

astroff

19.11.18 22:41

0 0

Интересно, я не открою гос тайну если сообщу, что физическая флешка ( это точно относится к тем что используются для Vipnet/гослуг ) попавшая в руки к злоумышленнику вполне ломается (убедить ее что пин код не перебирают, а каждый ввод - первый дело примерно часа, если у тебя под рукой нет нормального стенда).
99% что тут выплывет что-то похожее

astroff

19.11.18 22:27

0 0

Есть довод и с другой стороны: обычно отзыв любого ключа или сертификата - минутное дело. Но все зависит от раздолбайства конкретного человека.

sneg.tula

astroff

19.11.18 22:30

0 0

По времени сравнимо с отзывом пароля.
просто еще раз - все это громкие крики ни о чем 😄 - секретность и гигиена паролей ( пары логин/пароль) + нормальное слежение за системой никуда не денутся из практики безопасности, что с токенами, что без них. И все это не лучше нормальной OPIE схемы паролей, с передачей нового в сенсе.

astroff

sneg.tula

19.11.18 22:36

0 0

Если укажешь на источник буду очень благодарен.

Sas2

astroff

19.11.18 22:39

0 0

В случае токена это не всегда так. ПИН локальный и на сервер на посылается.

Sas2

astroff

19.11.18 22:41

0 0

В целом, согласен. Без нормально организованной структуры безопасности схема авторизации не играет роли. Но хотя бы при минимальных усилиях все может выглядеть примерно так: без токена человек не может не только авторизоваться на компе, но и войти в здание, войти в кабинет. Не вынув токен и не заблокировав этим комп, человек не может выйти из помещения, что уже повышает уровень безопасности. Отзыв или смена ключа/сертификата/пароля происходит незаметно для пользователя и он никак не может повлиять на это...

sneg.tula

astroff

19.11.18 22:48

0 0

Не вынув токен и не заблокировав этим комп, человек не может выйти из помещения, что уже повышает уровень безопасности

Этого делать нельзя ни в коем случае, т.к. представляет физическую угрозу жизни человека. Случиться может что угодно - пожар, несчастный случай, приступ заболевания, сбой системы, блокирующей выход, и т.д, и т.п.

vitc

sneg.tula

20.11.18 04:37

0 0

Случиться может что угодно - пожар, несчастный случай, приступ заболевания, сбой системы, блокирующей выход, и т.д, и т.п.

Что значит нельзя если это постоянно и много где делается? Пропускная система, электрнонные замки вот это все. В случае пожара все подобные системы автоматически обязаны переводится в разблокированное состояние. В случае сбоя системы вы вызываете службу поддержки точно так же, как вы это делаете, если скажем застрял лиф.
А еще некоторые люби просто любят запираться на ключ. А некоторым это положено делать по должностным инструкциям.

Khul

vitc

20.11.18 11:18

0 0

Что значит нельзя если это постоянно и много где делается? Пропускная система, электрнонные замки вот это все. В случае пожара все подобные системы автоматически обязаны переводится в разблокированное состояние. В случае сбоя системы вы вызываете службу поддержки точно так же, как вы это делаете, если скажем застрял лиф. А еще некоторые люби просто любят запираться на ключ. А некоторым это положено делать по должностным инструкциям.

Мы знаем прекрасно, где, что и как постоянно делается. История современной России насчитывает уже далеко не одну катастрофу, когда несоблюдение этого простого правила приводило к массовым трагедиям. То, что трагедия не произошла там, где "электронные замки вот это всё" - лишь дело счастливой случайности.
Системы, "которые обязаны автоматически разблокироваться", имеют свойство неожиданно отказывать, особенно, в случаях, когда их работоспособность не проверяется регулярно. А при пожаре, как показывает практика, служба поддержки, которую мне нужно вызывать, побежит из здания первой.
Для тех, кто любит запираться на ключ, или должен это делать по инструкциям, есть специальные замки, которые открываются без ключа изнутри помещения.

vitc

Khul

21.11.18 02:59

0 0

Ну, если не брать именно сайты - авторизация по токену уже не один год работает успешно. Воткнул токен в USB - залогинился на компе с доменной учеткой. Вытащил токен - комп заблокировался. 10 минут на настройку всей системы...
В отношении сайтов все то же самое, только ключи другого типа.

sneg.tula

19.11.18 22:16

0 0

А вы какие девайсы используете?

Sas2

sneg.tula

19.11.18 22:18

0 0

Чаще всего eToken PRO, ибо кучка завалялась. А так можно использовать любую пару токена с соответствующим ПО.

sneg.tula

Sas2

19.11.18 22:22

0 0

Да давно уже активно пользуется и для оганизаций и для отдельных пользователей. Вот вендор где сделано по ПИН-коду www.yubico.com

Прочитал статью. Удивился. Юбико NFC, FIDO2 уже как минимум 3-4 года поддерживают.

Sas2

19.11.18 22:13

0 0

Проблема с такой схемой заключается в том, что она аутентифицирует устройство, а не человека.

vitc

19.11.18 22:12

0 3

С паролем таже проблема

Sas2

vitc

19.11.18 22:17

0 1

Зачем тогда менять шило на мыло? 😉

vitc

Sas2

20.11.18 01:17

0 0

Зачем тогда менять шило на мыло? 😉

Затем, что заставить человека применять устойчивый пароль практически невозможно. В то время как в токен можно зашить любой сложности.

Khul

vitc

20.11.18 11:50

0 0

читал-читал, пытался врубиться, потом:

Перед использованием токен попросит пользователя пройти дополнительную проверку. Например, ввести пин-код или дотронуться до встроенного сканера отпечатков пальцев.

если все равно пинкод или отпечаток, то заморачиваться еще...

runcyclexcski

19.11.18 19:57

0 0

А что, надо, чтобы по потерянному ключу можно было сразу получить доступ ко всем аккам?

ptero

runcyclexcski

19.11.18 21:07

0 3

Принципиальная разница. Пароль (или его хаш) храниться на сервере и его могут украсть. А пин только у тебя в голове.

Sas2

runcyclexcski

19.11.18 22:15

0 1

нет, просто пароль ввести

runcyclexcski

ptero

19.11.18 23:54

0 0

пин только у тебя в голове.

бинго. поэтому пароли (пинкоды) эта штука не убивает. все равно надо пароль запоминать.

runcyclexcski

Sas2

19.11.18 23:55

0 0

Это немножко не так.
На сервере будет храниться только публичный токен. Ну крадите его, дальше-то что? Без физического доступа к носителю этот токен бесполезен.

urix

runcyclexcski

20.11.18 12:55

0 0

Пароли - те что хранятся на сервера убивают. Вместо что бы запоминать 20 различных паролей к каждому веб сайту, нужно запомнить один пин-код

Sas2

runcyclexcski

20.11.18 15:32

0 0

А если у меня 50 аккаунтов в фейсбуке, мне придется покупать 50 токенов/брелков? Я чисто теоретически размышляю...

Kokojambo

19.11.18 19:44

0 0

Так вы кремлевский тролль!!!

Utugov

Kokojambo

19.11.18 21:56

0 3

Так вы кремлевский тролль!!!

Ага, он самый! 😄

Kokojambo

Utugov

19.11.18 22:39

0 0

Про FIDO2 не знаю, а вот первую версию крупные сайты поддерживают — гугл, дропбокс, гитхаб..
Если б токены Yubico ещё стоили подешевле и в Россию продавались, было бы совсем хорошо. А так есть только кошмарики вроде U2F Zero.
К слову, их и для логина в систему использовать можно — в винде через Windows Hello, в остальных через pam-модуль.

Fullmoon

19.11.18 19:24

0 0

Barracuda SSL VPN. 100 лет как используется. Только это жутко неудобно.

mariupol1963

19.11.18 19:19

0 0

Если серьёзно то проблема не в токене а в его интеграции с существующей инфраструктурой
Безпарольная система идентификации ползователеей уже встроена в наши телефоны в виде apple/android платежей И nfc поддерживает и Bluetooth

Ее вполне можно было бы сделать более универсальной

F-Monkey

19.11.18 19:05

0 0

Такая схема уже давно используется в банковских клиентах, при электронном декларировании и вообще много где, где нужна даже не суперсекретная, а просто хоть сколько-нибудь серьёзная авторизация, не позволяющая пользователю вбубенить пароль "12345" или записать сложный (сгенерированный системой) пароль на висящем на мониторе стикере.

А не требуется такое устройство повсеместно по одной простой причине - оно не бесплатное. Хотя купить просто ключик, который будет хранить все ваши пароли внутри себя и выдавать по мере надобности, "узнавая" хозяина по какой-угодно-из-существующих-ныне-технологий, от отпечатка пальца до запаха подмышек, полагаю, не такая большая проблема.

Lebedun

19.11.18 18:55

0 2

Что такое "брелок"? Это приспособление, позволяющее потерять все ключи разом. (с) Старая шутка.
На самом деле видимо придется как-то этот ключ бакапить, а бакап хранить в яйце/утке/зайце. Но еще должен быть и механизм отзыва/замены ключа.

wdata

19.11.18 18:51

0 6

Я недавно узнал, что одно из названий сумочки для документов и прочих важных мелочей - инфарктница (инфарктник). Потому что когда продалбывается всё и сразу - опаньки 😄)).

Lebedun

wdata

19.11.18 18:59

0 4

Останется только сделать токен обязательным и вшить его в паспорт - проблема анонимности в Интернете будет решена раз и навсегда

F-Monkey

19.11.18 18:46

0 2

Нафига тогда пароли?

Игорь Кужлев

F-Monkey

19.11.18 18:49

0 0

Нафига тогда пароли?

а топик как называется?

F-Monkey

Игорь Кужлев

19.11.18 18:56

0 3

Зачем в паспорт ? Сразу в голову 😄. И разъём коаксиальный в затылок, для устойчивого считывания сигнала в условиях сильных электромагнитных помех, а также для подзарядки батареи.

Lebedun

F-Monkey

19.11.18 18:56

0 0

Логично )

Игорь Кужлев

F-Monkey

19.11.18 19:12

0 1

Подобные штуки давно используются там, где они нужны — во всяких суперсекретных конторах. И то, время от времени всплывают всякие истории — был случай, один тип нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почте. Сканера отпечатков там, видимо, не было.

А для болтовни на форумах не используется и использоваться не будет. Потому что забыл токен дома — на работе в фейсбучике не посидеть.

CaptO

19.11.18 18:31

0 2

на работе в фейсбучике не посидеть.

красота. Заодно и работа будет сделана....

runcyclexcski

CaptO

19.11.18 20:00

0 4

нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почте

распилил на четыре части? Или они посменно круглосуточно работали?

Zapret

CaptO

20.11.18 00:11

0 0

нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почтераспилил на четыре части? Или они посменно круглосуточно работали?

Полагаю, поставили токен на сервер и работали через него. Я бы так сделал.

Кстати, говорят, хорошо работали.

CaptO

Zapret

20.11.18 13:30

0 0

Учитывая что в процессе регистрации желаемый пароль почти всегда занят, я рад появлению токена и хочу его купить!

cxz010174

19.11.18 18:30

0 0

занят пароль? Зачем регистрироваться на таких затейливых ресурсах?

W colonel

cxz010174

19.11.18 19:42

0 6

Может имелось в виду "не принимают пароль"? Когда менял пароль на аську, перепробовал вариантов 50. После чего пароль, естественно, забыл. Потому что я делал вариацию старого с другими регистрами и циферками, а старый ни в коем случае не должен быть в новом (даже если меняется кейс отдельных символов), циферки ни в коем случае не могут повторяться или следовать друг за другом и прочее. Таких уродов убивать надо.
На фриноде (ИРЦ) может и действительно было "занят пароль". Перепробовал тоже много-много вариантов, пока не приняли русский матерный в lowercase и без циферок-спецзнаков.
Больше всего порадовал гнусмасакк - нигде не говорилось, какой длины должен быть пароль и приняли длинный. Но потом он не подходил. Пока опытным путем не подобрался нужной длины и сложности. То ли 8 символов, то ли как-то так. Сверхсекурно.

ptero

W colonel

19.11.18 21:18

0 1

Учитывая что в процессе регистрации желаемый пароль почти всегда занят

"Please select another password. This password is already in use by user Misha123." (C)...

aldor

cxz010174

20.11.18 18:35

0 0

Но ведь само наличие такого ключа может человека скомпромитировать в определённой ситуации.
А когда пароль в голове - его снаружи не видно 😉

Полуэльф

19.11.18 18:27

0 0

Пароль в голове открывается при помощи терморектального криптоанализатора.

urix

Полуэльф

20.11.18 12:52

0 0

почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно.

Это используется для авторизации в WCF уже достаточно давно: docs.microsoft.com

Witalij

19.11.18 18:27

0 0

В WCF (и его альтернативах) аутентификация и авторизация по сертификату используется, как правило, в соединениях сервис-сервис. Не для пользователей, т.к. очень сложно надёжно хранить сертификат с секретным ключом, и контролировать доступ к нему со стороны третьих приложений и третьих лиц. (Достоверный) сертификат сложно сгенерировать, его нужно обслуживать, его сложно отозвать.
Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.
Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft.
Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.

vitc

Witalij

19.11.18 21:46

0 1

В WCF (и его альтернативах) аутентификация и авторизация по сертификату используется, как правило, в соединениях сервис-сервис. Не для пользователей, т.к. очень сложно надёжно хранить сертификат с секретным ключом, и контролировать доступ к нему со стороны третьих приложений и третьих лиц. (Достоверный) сертификат сложно сгенерировать, его нужно обслуживать, его сложно отозвать. Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft. Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.

Ага и имеем ( ну будем тыкать пальцами в самые популрные сервисы) "вечные токены, полученные через Оauth2", приходилось видеть приложения где токен, а не логика его получения, были вписаны к код

astroff

vitc

19.11.18 22:40

0 0

Поломать можно всё, что угодно, безусловно. Я видел так же и сертификаты с секретным ключом, валяющиеся на открытых network shares, и пароли, прописанные в коде.
Но я всё равно не понимаю, в чём Ваше возражение моему комментарию.

vitc

astroff

20.11.18 01:15

0 2

Ага. А если у меня - iPhone, как мне эту флешку вставить 😄

Rostislav

19.11.18 18:26

0 1

Там написано, что оно умеет общаться с утройством по Блютусу или НФС.

Deryni

Rostislav

19.11.18 18:38

0 0

А iPhone это умеет? 😉

Rostislav

Deryni

19.11.18 21:27

0 3

Рост, если в айфоне этого нет, значит пользователям айфонов это не надо. Почему - ну придумай сам, чай не маленький

iDiver

Rostislav

19.11.18 22:31

0 7

А iPhone это умеет? 😉

"не держите его так" (ц)

Zapret

Rostislav

20.11.18 14:38

0 0

Предыдущая запись Следующая запись

Поиск

e-mail Экслера - toffler@gmail.com

Теги

Информация

О разделе

RSS-лента

Личный кабинет

Правила комментирования

Что ещё почитать

Жизнь Чака

11.08.2025

Супермен

28.08.2025

127

Быть присяжным

18.09.2025