Comments 36
Если взять 2350 то у него с безопасностью вроде как получше, 2040 просто вычитать можно.
А плагин для браузера не писали, чтобы передать девайсу текущий сайт, куда вводится пароль?
Пока что всё решение рассчитано на один пароль, плюс ввод при механическом нажатии только)
Но для практического использования - нужа поддержка множества паролей.
Я готовое устройство на озоне нашёл, onetouchlogin, программировать и паять не умею, поэтому искал уже в сборе. Много логинов и паролей, много отп, еще и по экрану Tab'ает если надо, всё важное хранит в смартфоне, а его я не забываю на рабочем месте)) Если забуду - то он заблочен.
Плюс со смарт-часов тоже можно управлять - их я точно не оставлю)
Я готовое устройство на озоне нашёл, onetouchlogin, программировать и паять не умею, поэтому искал уже в сборе.
Готовое, серийное - могут также серийно взломать - и потеряете все пароли. Мало ли - кто там смотрел какой код.
всё важное хранит в смартфоне
Т.е. аппаратным ключом не является, а является всего лишь хитрой HID клавиатурой.
Возникает вопрос 'а, собственно, зачем?' можно телефон в качестве Bluetooth клавиатуры подключить и менеджером паролей воспользоваться, отправляя их в комп. А если Bluetooth нет - то купить именно контроллер Bluetooth, а не эту железку.
На сайте пишут что есть шифрование, значит не просто клава. Просто ble клавиатура мне не позволила генерить и вводить OTP.
Знаете как сделать? Интересно
В смысле "не позволила"?
Как генерируется отр прям в тексте статьи написано. Функция в десять строк.
Откуда у вас маньякальное желание не вводить шесть цифр ?
**
Пишут.... помнится лет 10 назад разбирался с мороженным. Половина производителей писала, что соответствует гост. И даже номер этого госта.
По номеру ищется гост типа "Упаковка замороженных продуктов в паллеты, технические условия".
С конфетами тоже было дофига с гостом которому соответствовали ФАнтики...
У Lilygo есть куда более красивая микро-плата для этого дела в корпусе маленькой флешки, и даже крохотный экранчик есть. Вся проблема как раз в том, что беспроводные интерфейсы не добавляют безопасности, да и использование такого гибрида не очень удобное.
Смысла нет. Если говорить о ТОТР - их лучше показывать (есп с экраном не редкость). Если об обычных паролях, я сделал себе веб интерфейс в котором ты можешь выбрать из списка, после чего на экране видишь что выбрал и кнопкой ввод подтверждаешь.
ЗЫ. Казалось нужен аддон для браузера, но нет, не так уж часто надо вводить и в целом довольно удобно. Ткнул на своей страничке что ввести, ткнул в поле, посмотрел что на экране название совпадает и нажал кнопку. Аддон так и не сделал в результате. Гораздо больше проблем с раскладкой. Вводишь часто в дефолтной русской. Наверное, можно вначале ее переключать в английскую посылая комбинацию клавиш, но пока не допилил.
интересный проект. По идее можно даже "взросло" сделать. Вынести все ключи в отдельный крипточип специально под это заточеный. Добавить простенький tft дисплей для визуализации что бы можно было без веб-интерфейса переключатся по ключам. Опционально добавить сканер отпечатка пальцев.
Плюс я думаю можно просто "ключи" хранить. Отдельная кнопка что бы с TOTP переключится на текстовые ключи. Причем текстовые можно прямо в памяти хранить, просто криптовать внешним чипом и все будет безопасно максимально.
Как плюс, если взять что то по типу нордика или прочее нормальное беспроводное, то можно парить с телефоном/компом по блутузу и сделать вообще "беспроводным".
Люди заморачивались этим еще лет 10-12-15 назад, тут на хабре с пяток проектов было уже. Как показала практика, "гражданскому" рынку этот девайс попросту не нужен, так как пароли почти везде заменились смс-кодами. Зайти же к корпоратам или в госы, где оно может и было бы нужно, без больших связей/затрат врядли возможно (получить сертификацию не так-то просто, а без нее это просто игрушка).
"гражданскому" рынку этот девайс попросту не нужен, так как пароли почти везде заменились смс-кодами
С тех пор кое-что изменилось. Уже много кто (включая Гугл и сравнимые по крупности) говорит, что SMS им не нравятся и надо заменить. Тут бы им завалить рынок аппаратным токенами по себестоимости, чтобы в каждом ларьке лежали, но увы..
Близзарды к варику продавали одно время аппаратные TOTP-токены - эксперимент дальше этого не пошел. Ненкоторые банки их прямо в карту встраивали, тоже никого не заинтересовало вообще - продукт как появился, так и исчез... Ибо ответ прост - есть TOTP для телефонов в виде приложения, и кейсов, где он не применим, почти нет.
Если сейчас пытаться в такой продукт, то это должен быть именно гибрид TOTP + pkcs11 + парольный менеджер + защищенный картиридер, причем по цене до 100 баксов, частично опенсорсный для маркетинга (не сертифицированная версия), и при этом в закрытой версии сертифицированный как СКЗИ (или штатовский аналог). Выглядит не очень реально...
Если сейчас пытаться в такой продукт, то это должен быть
Да нет же. Это должна быть дешевая штука, которую покупаешь в супермаркете и которую просто регистрируешь в сервисе/привязываешь к сервису.
И вот это все: TOTP, pkcs11, кардридер - хоть и тешит гиковскую душу, но именно для массового продукта совершенно не нужно. Нужен простой и понятный ключ. В смысле - по модели использования. Ткнул в соответствующее место - тебя в сайт пустило. Как с физической дверью.
Этих ключей больно дофига. Нужен аппаратный хранитель где все сразу будут. Чтоб не обвешиваться брелками.
Я про массовый рынок. Те про тех людей, которые в бумажнике несколько банковских карт носят и еще толстую пачку скидочных и еще связку физических ключей рядом с бумажником не особо от этого страдают.
Эти люди довольно давно уже с огромным облегчением все эти скидочные карты в мобильник себе запомнили и не носят их больше.
Для любителей все делать телефоном физический размер токена и то, что он не умеет всего-всего-всего тем более не проблема. Один раз использовал для привязки приложения к учетке - и пускай дома в тумбочке валяется в кучке аналогичных, являясь артефактом восстановления доступа к учетке, когда 'телефон утопил'.
смс пиздецки ненадежно
сам пользуюсь атентификатором для кодов, но физическое безопасное устройство я б купил.
просто все что есть на рынке оно коммерческое - стоит как крыло боинга и для его использования нужно отдельные полугодичные курсы заканчивать
не знаю ни одного решения что реально было бы удобным в повседневном использовании. Много раз думал сам написать но глубина сложности реализации отталкивала что бы сделать нормально, а просто чтоб было не надо.
Вынести все ключи в отдельный крипточип специально под это заточеный.
Которое есть Smart Card. И которые (специализированные под конкретные нужды) раздаются бесплатно кучками в виде банковских карт и SIM карт. А вот купить 'пустую по адекватной цене - какой-то неочевидный квест.
А так - смотри Mooltipass. (И цену его же). Только в подобных обсуждениях пользователь жаловался, что у товарищей с железом проблемы.
И с ТОТР у них тоже проблемы, время убегало(но вроде калибруют теперь). И с аккумуляторами.
Отличный проект, но железо всё испохабило. Причем в части случаев просто не повезло (колеса бракованные) в части регуляторика (нельзя литиевые аккумы).
Причем его еще и хрен купишь...
Он, кстати опенсорсный, но что-то я посчитал... пяток собрать за приемлимые деньги нереально, а больше мне не нужно, а торговать ими "такое себе", фиг докажешь что прошивка без бэкдоров. Да и обычный человек хранит в кипасе и спит спокойно. Кошмары только у меня :)
Ношу точно такую же штуку на базе Waveshare RP2350-Touch-LCD-1.28. Очень удобно. Изначально делал вообще ради эксперимента, можно ли сгенерить код для железки с нуля и "под ключ" при помощи claude. Можно, он даже с круглым экраном разобрался и не сломал UI... Причем это не ардуино-код, все на взрослом C++.
А вот с паролями я поступил так - при вводе пин-кода мы его просто запоминаем, и от него и внутреннего ключа генерим пароль. Неправильный пин-код? Получим неправильный пароль, то есть ручной перебор попросту невозможен.
Классная борда, но возникает вопрос: почему такое (юсб, микро дисплей) бывает только на RP или всевозможных ESP? Хотелось бы на базе STM32, чтобы новый камень не изучать (еще и СДК в придачу).
Я делал как-то себе на RP2350 pico-key от испанца. Это было популярным среди энтузиастов решением, т.к не у всех была возможность купить юбик или нитрокей (нитрокей прошивка ОСС, но сами ключи особо негде купить). И как раз относительно недавно вышел в релиз проект rs-key, который переделывает pico-key под раст и добавляет нормальную безопасность и возможность нормально работать. Я пока сам тестирую это, но уже впечатляет https://github.com/TheMaxMur/RS-Key/
Причина почему был сделан этот проект - создатель pico-key решил "энтерпрайснуться" и за пейволом ключевые функции безопасности спрятал, что не очень красиво
Проект крутой, спору нет.
Однако, вроде бы многие менеджеры паролей умеют и ТОТП, и вручную вводить не нужно, если проблема была только в этом :)
Использование TOTP внутри менеджера паролей вырождает двухфакторную аутентификацию до однофакторной (доступ к этому самому менеджеру становится единственным фактором)
Хотя с другой стороны можно попробовать посчитать, что доступ к менеджеру паролей изначально является двухфакторным — фактор владения БД и фактор знания мастер-пароля от этой БД, но не уверен, верна ли такая интерпретация
Согласен. С этой т.з. меня смущают "ключи входа". Ведь получается что если злоумышленник (не важно, в погонах или в маске) завладел моим телефоном и/или ноутбуком, то у него автоматически есть доступ на все ресурсы по ключу входа.
С другой стороны, если злоумышленник уже физически завладел телефоном и кодом от него, то что ему помещает завладеть физическим юсб-ключом? Или мастер-паролем от менеджера паролей?
Разница между тем чем можно завладеть только ЛИЧНО, и тем чем можно дистанционно примерно соответствует разнице между нахождением в храме с непокрытой головой и прелюбодеянием. (огромна)
Для юсб-ключа, само собой. А для "ключа входа" который хранится в icloud — кто помешает увести его дистанционно?
USB-ключ для ввода TOTP-кодов и сохранённого пароля