Comments 43
Офтоп, но только у меня на данный момент не работает контактная книга Gmail?
Полез искать на ebay, обнаружил среди прочего механический кодовый замок, надевающийся на usb-разъем флэшки. Проникся…
Собственно, а где достать-то такой ключ?
Я уже купила для экспериментов.
На сайте yubico.com
Доставка крайне дорогая за пределы США/Канады — 65 баксов. :(
И судя по предложениям, они специально разработали версию ключа для аккаунтов Гугла.
На сайте yubico.com
Доставка крайне дорогая за пределы США/Канады — 65 баксов. :(
И судя по предложениям, они специально разработали версию ключа для аккаунтов Гугла.
что-то в посте не упомянули:
С YubiKey совместимо без установки доп софта?
«Для использования аппаратного токена вам понадобится компьютер с установленным на нем браузером Google Chrome (версия 38 или более поздняя) на платформе Chrome OS, Windows, Mac OS или Linux.»
С YubiKey совместимо без установки доп софта?
C basic похоже что нет
Интересно, а как реализовать поддержку Security Key в своем проекте?
PS немного разобрался, для Yubico примерно так https://www.yubico.com/develop/open-source-software/web-api-clients/
Вот тут все спецификации, в т.ч. и JavaScript API
fidoalliance.org/specifications/download
fidoalliance.org/specifications/download
было бы здорово иметь возможность подключить еще и аппаратный TOTP токен (без USB)
Вот статистика за 20 лет пользованием аккаунтами на GMAIL и MAIL.ru (а я как айтишник пользуюсь ими очень часто) ни разу не взломали мой аккаунт.
99,9% взломов этих сервисов происходит по вине пользователя, они как правило сами отдают пароль или вирус его ворует.
Так что я скажу, что данный ключ это всего лишь временное решение, как только он будет пользоваться массово, сразу же найдут как его у пользователя позаимствовать. Тут не ключи надо использовать, а повышать пользовательский уровень знаний (как мягко то выразился).
ЗЫ: народ пошел проверять/тестить мою почту, Господи, ктонить(из добрых) поплюсуйте, а то надоело раз в час писать.
99,9% взломов этих сервисов происходит по вине пользователя, они как правило сами отдают пароль или вирус его ворует.
Так что я скажу, что данный ключ это всего лишь временное решение, как только он будет пользоваться массово, сразу же найдут как его у пользователя позаимствовать. Тут не ключи надо использовать, а повышать пользовательский уровень знаний (как мягко то выразился).
ЗЫ: народ пошел проверять/тестить мою почту, Господи, ктонить(из добрых) поплюсуйте, а то надоело раз в час писать.
Да, на фишинговых сайтах будут просит отправить токен куда-нибудь в Уганду.
Так в этом и смысл двухфакторной авторизации, что даже зная пароль не войдешь в аккаунт. А этот физический ключ можно отобрать только физически у человека.
Помниться всякие ключи были и HASP, но находились умельцы извлечь и проэмулировать :)
Мое мнение — мертвая тема эти ключи. Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.
Все остальное излишне и обладает теме же фишинговыми проблемами.
Мое мнение — мертвая тема эти ключи. Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.
Все остальное излишне и обладает теме же фишинговыми проблемами.
Помниться всякие ключи были и HASP, но находились умельцы извлечь и проэмулировать :)Бред. Ни разу не видел никого, кто был бы способен проэмулировать HASP не имея доступа ни к нему, ни к программе, которая его проверяла бы. А если у вас уже есть ключ — то зачем его эмулировать?
Я считаю наиболее адекватная мера двухфакторной защиты — это телефон/СМС.Телефон/SMS как раз менее надёжны: один троян — и плакали ваши денежки… то есть письма.
А если у вас уже есть ключ — то зачем его эмулировать?
А мне надо много, чтобы на всех компах компании работало. Сталкивался с такой проблемой — реально эмулировали в каком-то из филиалов, пока степень защиты не повысили.
Ни разу не видел никого, кто был бы способен проэмулировать HASP не имея доступа ни к нему, ни к программе, которая его проверяла бы.
Так обходили лицензионную защиту софта: ключ есть, но он один, а надо много. А много покупать не хочется.
При эти истории я знаю. Какое отношение это всё имеет к обсуждаемой ситуации и моему вопросу? В тамошних условиях люди, имея один ключа сами, добровольно делали копии. Имея на руках оригинал, заметьте. Или меняли программу.
Тут же программа расположена на серверах Гугла, а ключ — у законного владельца.
Злоумышленнику нужно сделать эмуляцию ключа не меняя программу (если он внедрился в Гугл и может поменять код, то ему уже никакие ключи не нужны) и не имея его при этом в руках(если уж он до него добрался — так можно сразу всю почту забрать/деньги перевести, зачем тут чего-то эмулировать?), так причём тут HASP?
Тут же программа расположена на серверах Гугла, а ключ — у законного владельца.
Злоумышленнику нужно сделать эмуляцию ключа не меняя программу (если он внедрился в Гугл и может поменять код, то ему уже никакие ключи не нужны) и не имея его при этом в руках(если уж он до него добрался — так можно сразу всю почту забрать/деньги перевести, зачем тут чего-то эмулировать?), так причём тут HASP?
А помните недавний случай со сбером и мегафоном, как у человека увели номер телефона?
А вот вам факт.
У меня есть 9 ящиков на gmail, в одну прекрасную ночь была осуществлена попытка подбора паролей к ним ко всем, о чем гугл мне прислал письма. Все бы хорошо. НО. Один из этих ящиков использовался ровно ОДИН раз при отправке запроса в управление делами президента РФ и соответственно знать его могли только там, а еще парочка использовалась по одному разу при регистрации в MMORPG и знать их могли только в одной российской конторе которая контролирует эти игры. Для того, что бы попробовать подобрать пароли к 9 ящикам сразу нужно было знать, что эти ящики мои. И, да, угадать или подобрать их было невозможно, ибо для игр ящики были генерены pwgenом(и имели условно говоря вид uPh4paiz9ahquein@gmail.com).
То есть подбор был осуществлен централизовано и понятно на кого стоит смотреть.
Так что данный ключ — верное решение, ведь учитывая куда показывает след смску от двухфакторки можно и перехватить, а вот за ключом придется приходить ко мне лично с паяльником.
У меня есть 9 ящиков на gmail, в одну прекрасную ночь была осуществлена попытка подбора паролей к ним ко всем, о чем гугл мне прислал письма. Все бы хорошо. НО. Один из этих ящиков использовался ровно ОДИН раз при отправке запроса в управление делами президента РФ и соответственно знать его могли только там, а еще парочка использовалась по одному разу при регистрации в MMORPG и знать их могли только в одной российской конторе которая контролирует эти игры. Для того, что бы попробовать подобрать пароли к 9 ящикам сразу нужно было знать, что эти ящики мои. И, да, угадать или подобрать их было невозможно, ибо для игр ящики были генерены pwgenом(и имели условно говоря вид uPh4paiz9ahquein@gmail.com).
То есть подбор был осуществлен централизовано и понятно на кого стоит смотреть.
Так что данный ключ — верное решение, ведь учитывая куда показывает след смску от двухфакторки можно и перехватить, а вот за ключом придется приходить ко мне лично с паяльником.
И чем это лучше OTP-приложения?
Проще в использовании. В нужный момент (когда браузер просит) нажимаете на «кнопку», которая из USB-порта выступает на пару миллиметров — и всё.
С OTP-приложением всё хуже: либо вы его ставите на ту же систему, что и браузер (и тогда безопасность никакая: троян может точно так же у него OTP «спросить»), либо вы перебиваете его ручками, что сложнее использовать.
С OTP-приложением всё хуже: либо вы его ставите на ту же систему, что и браузер (и тогда безопасность никакая: троян может точно так же у него OTP «спросить»), либо вы перебиваете его ручками, что сложнее использовать.
Там в общем-то всего милиметр, причём фиг вытащишь голыми руками.
У тех же Yubico есть usb-otp, которые работают как клавиатура, гораздо удобнее чем брелок.
У тех же Yubico есть usb-otp, которые работают как клавиатура, гораздо удобнее чем брелок.
Что значит перебиваете ручками? Сервер генерирует QR код, вы его сканируете приложением, и все.
Для параноиков можно написать собственную реализацию (я так делал QML/C++ под Symbian)
Для параноиков можно написать собственную реализацию (я так делал QML/C++ под Symbian)
Тем что у меня к примеру месяц не проходят коды. Приходится по sms запрашивать допуск. Танцы с бубном как советуют проверить синхронность времени не помогают.
Мне вот этот ключ понравился — стоит $6 и напечатан на картоне. Чтобы получить нормальную толщину USB разъема, нужно картонку вдвое складывать.
А просветите — что происходит если ключ теряется или я его забываю дома при поездке в командировку?
Для этого случая Гугл предлагает распечатать пачку резервных кодов подтверждения.
Предполагается, что в случае утери ключа/телефона вы достаете листочек с кодами из сейфа, входите в аккаунт и выключаете двухфакторную авторизацию до тех пор, пока не восстановите свое устройство.
В случае командировки можно позвонить близким и попросить продиктовать этот код.
Предполагается, что в случае утери ключа/телефона вы достаете листочек с кодами из сейфа, входите в аккаунт и выключаете двухфакторную авторизацию до тех пор, пока не восстановите свое устройство.
В случае командировки можно позвонить близким и попросить продиктовать этот код.
А если он сдохнет? Зная техпод гугля, то правды от него не дождешься.
Sign up to leave a comment.
Gmail добавил возможность аутентификации пользователя с Security Key