Да, как и на любую криптографическую систему, на эту схему возможна атака полным перебором, однако при использовании нормального ключа в приемлемые сроки это сделать невозможно. При использовании же в качестве ключа пароля, стойкость системы ограничена стойкостью пароля.
Есть варианты. Идея здесь в шифрованном обмене и взаимной аутентификации устройства и программной части. Вот один из вариантов решения — http://www.cryptopro.ru/products/fkc/info
Забыл уточнить. В представленной схеме может работать либо Рутокен Web (HID интерфейс) — 650 р. за штуку, либо Рутокен ЭЦП (CCID интерфейс, сертификат ФСБ) — 985 р. за штуку.
Да, это обычный Npapi плагин и ActiveX для IE. Кроссбраузерность и кроссплатформенность вещи по сути разные. Плагин действительно кроссбраузерный, работает в Windows под всеми распространенными браузерами. Выпуск плагинов под Linux и Мас ожидается.
Установка плагина действительно не требует административных прав (можно скачать плагин и попробовать). Установка производится для currentuser.
Токен просто носитель, как его использовать зависит от задачи. Теоретически сделать единое средство аутентификации возможно и об этом много говорят — Универсальная электронная карта. Во многом это реализовано в Эстонии — http://www.id.ee/?lang=ru.
Думаю, объем работ сопоставим. Для интеграции фактически необходимо добавить в БД пользователей поле для хранение публичного ключа и подключить библиотеку для проверки ЭЦП. И кстати, есть поддержка такой аутентификации в CMS NetCat, Joomla и Wordpress.
В описанной в статье схеме при каждой регистрации на токене формируется новая ключевая пара. На сервере сохраняется публичный ключ. Раскрытие его не критично для безопасности.
Совершенно верно. Кроме того, в этой схеме могут быть использованы Рутокен ЭЦП, которые имеют сертификат ФСБ как СКЗИ класса КС2. Это позволит использовать подобные схемы там, где защита информации регламентируется нашим законодательствам.
Есть специальные программы для инициализации YubiKey ключей. Во время такой инициализации переписывается секрет и соответственно ответная часть этого секрета может быть помещена в БД собственного сервера проверки OTP.
YubiKey — оригинальное решение. Однако сравнивать эти два решения некорректно. YubiKey запрограммирован на заводе и предлагаемое в таком случае решение по аутентификации предусматривает использование Yubico Online Validation Service, своего рода OpenId сервиса. В случае использования собственного сервера проверки OTP, необходимо предварительно запрограммировать YubiKey и только потом передать пользователю. Такой подход не позволит использовать одно устройство для аутентификации на разных ресурсах.
Установка плагина действительно не требует административных прав (можно скачать плагин и попробовать). Установка производится для currentuser.