Comments 12
от сюда вопросы: чем в данном случае ПИН надежнее? как я узнаю что второе устройство скомпроментировано?
на мой взгляд защита с временными паролями на Аутентификаторах все таки более надежна, т.к. не привязывает пользователя к удобному ему «году рождения его собаки».
В AD не хранится пин. В AD хранится регистрационно-уникальный публичный ключ. Мастер ключ хранится в TPM. Если злоумышленник и узнает ваш пин, то ему все равно нужно будет получить доступ к устройству, так как приватный ключ хранится в TPM или TEE самого устройства.
P.S. Я кстати работаю на FIDO Alliance, так что если у вас есть вопросы, задавайте*)
Наш Альянс существует уже четыре года. В прошлом году мы выпустили финальные версии U2F и UAF стандартов.
U2F поставляется в стандартной конфигурации Yubikey с 2014 года. Google, Facebook полностью адаптировали U2F для внутренней инфраструктуры, а гугл при этом выпустил поддержку для U2F для своих продуктов. Собственно вот моя статья по U2F https://habrahabr.ru/post/305508/
UAF сейчас активно развивается. Так на пример компания Lenovo анонсировала поддержку UAF для Yoga и Thinkpad. Самсунг так-же будет поддерживать UAF.
Так же мы разрабатывает новый протокол FIDO2.0 или WebAuthn. Это добавляет новый JS api для безопасной аутентификации. Очень похоже на UAF. Можете почитать спецификацию здесь https://www.w3.org/Webauthn/.
Так же мы будет очень активно работать над Open Source в следующем году, выпуская официальные инструменты, и reference implementation.
Для четырехлетнего Альянса мне кажется мы очень не плохо движемся *)
ПИН это только пример. В реальности FIDO2.0 для разблокировки хранилища ключей поддерживает аутентификацию на основе пина, биометрических данных, паролей и т.д. и т.п.
В целом то что вы описываете это целенаправленная атака, мы же пытаемся изменить то как происходит аутентификацию в целом. Если у вас проблемы с тем что вас могут целенаправленно взломать, то я боюсь безопасность протоколов это не самая большая проблема. Для обычного пользователя FIDO2.0 достаточно чтобы китайские боты, и всевозможные фишинг сайты не могли ничего сделать, и это то над чем мы работаем. Те у кого проблемы с целенаправленными атаками знают что переиспользование пин кодов не усилит их безопасность, и соответственно такого делать не будут.
Но если я правильно понял, предполагается, что злоумышленник не имеет физического доступа к Вашей машине, но теоретически способен подключиться к Вашей рабочей сети. В этом случае пин безопаснее, т.к. злоумышленник не сможет воспользоваться Вашей учетной записью для доступа в сеть. (Пин привязывается к конкретной железке).
вопрос даже не в доступе к данным, сколько в моем знании, что этот доступ, допустим, сейчас получен.
но в целом, согласен с herrjemand — это уже из разряда целенаправленных атак.
однако все же интересно, чем например не надежнее аутентификатор (на том же телефоне). ввел логин, пароль (пусть пин) и временный код с аутентификатора (который подсматривать нет смысла).
сейчас не рассматриваю биометрику и другие факторы (способы) — тут безусловно конечно…
Кроме того, срок жизни PIN-кода для Windows Hello для бизнеса также можно задать при помощи групповых политик.
Не совсем понимаю, как на Win к удаленному рабочему месту подключится можно будет без pin на котором настроен hello ? попробовал - не подходит ни пароль, ни pin.. если вернуть на локальный пароль, то подключается..
Управление проверкой личности с помощью Windows Hello для бизнеса