Pull to refresh
4
1.1

Java программист

Send message

Есть, конечно, альтернативный путь — перед каждым посещением новой страны находить нейтива

Просить у него справочник имен, выбирать, какое понравилось и использовать его, пока находишься в этой стране.

А та бюрократия, которая настаивает, что оно должно хоть сколько-то походить на имя в родной стране - попадает под какой-то то там пункт из "Falsehoods Programmers Believe About Names"

(пусть и на стороне аутентификатора) с самим же чипом общение идёт по ctap на hid. У юбиков ну никак нет интернета.

Вот именно. И них - есть оффлайн по очевидным причинам. А для смарфонов - интернет почему-то понадобился.

Вопрос стоит так. Вот этот протокол для втыкаемых в USB железок есть? Есть. Работает? Работает.

Но какие-то соображения мешают смартфону работать по тому же самому протоколу по тому же самому USB. Чего я слегка не понимаю.

Т.е. у Google (Chrome, Android, Play Services) это cable.ua5v.com и им владеет Google. У Apple это cable.auth.com.

Это у них развесистая экосистема. Просто для одиночного сайта можно считать, что соответствующий сервер аутентификации - это часть сайта.

Ну, во первых ничего сложного там нет ;)

Я вот уверен, что 100% населения земли разницы между какими-нибудь звуками этого алфавита просто не услышит.

Ну это не совсем так, на сайт ничего не лезет от слова совсем

При использовании QR-лезет. Вот описание.

Scanning the QR code triggers the users second device (e.g. smartphone or tablet) to interpret the FIDO URI and communicate with the authentication server, sending a signal that the user is attempting to authenticate via a new device (e.g. the friends laptop).

И ниже

No Bluetooth, Pure Internet: It is important to note that in this QR code-based passkey cross-platform authentication (hybrid transport), Bluetooth is not involved in the authentication and data exchange. This process relies entirely on an Internet connection for the transmission of encrypted data between the devices and the server.

Сам QR это по сути хендшейк на соединение по ctap.

Вот, к сожалению, нет.

Вот когда железку в порт втыкаем - там от воткнутой железки интернета не хотят, но смартфон таким образом использовать нельзя.

Используйте смартфон

Там, к сожалению, все на браузер в этом смартфоне завязали. И на связь с интернетом. И на наличие Bluetooth на десктопе. Иметь приложение и использовать какой-нибудь мелкий смарт, чтобы логинится на десктопе - нельзя. После чтения QR оно (да устройство, что QR прочитало) запускает хром или сафари, через интернет на сайт лезет, чтобы хандшейк сделать и посредством bluetooth проверяет, что я рядом нахожусь. Причем только для этого, а не для того, чтобы все то, для чего интернет понадобился, сделать.

Если бы этот смарфон можно было по USB подключить и он работал в качестве того самого хардварного токена и в оффлайне - было бы хорошо. Но оно так не умеет.

Потенциальная проблема с аппаратными токенами - как их использовать если токен рассчитан под круглую дырку а на устройстве - квадратная?

Стандартизировать токены а потом - дырки. Или наоборот. И настойчиво внедрять, чтобы все начали это все поддерживать.

<rant mode>

Вот не судьба было Микрософту еще -дцать лет назад потребовать, что если клавиатура хочет иметь иконку "Windows compatible" - то она должна иметь ридер смарт-карт? А сейчас - уже и NFC ридер неплохо бы требовать.

Наверняка бы уже от паролей избавились, а пользовались для авторизации карточками.

 Ну либо вам придется привыкать, что в аэропорту и любом другом присутственном месте вас будут вызывать по тому звучанию, которое прочитается иностранцем с "вот этой вот транслитерации" на его языке.

Вспоминается легенда(?) о том что китайцы просто используют имена, которые могут произнести иностранцы. В общем, не вижу в этом ничего страшного.

И все эти сертификации в контексте доступа к гугловой/микросовтовской учетке нужны зачем? Кому по должности положено и паранойя велит - пусть покупает весь этот в усмерть сертифицированный. Остальным можно и попроще.

Кроме того, смотрим банковские карты и SIM-ки сотовых операторов. Их даром раздают. Не знаю, столько они банкам и операторам стоят, но вряд ли бы это делали, если бы цена была как у этих продаваемых токенов.

Радиометки медленные.

AEI метки на ходу с движущихся мимо вагонов считываются. Ну вот(Reddit) пример, как кто-то развлекается. Как-то не похоже, что медленные.

Или вот страница, собственно, ридера: "...means to automatically identify rail cars on low speed tracks (less than 40 miles per hour) ....Reading speeds to 40 MPH"

Для трамваев хватит, я думаю.

 Apple iBeacon и Google Eddystone

Это - bluetooth. Даже не пассивные - батарейки требуют. Попытка приспособить технологию туда, куда она заранее не задумывалась и воспользоваться уже существующими радиомодулями в телефонах.

Это же - изначально для удаленного считывания придумывались. Или вон, NFC банковские карты медленно что ли читаются?

Аппаратные токены конечно имеют право на существование как один из вариантов аутентификации, но вот не понимаю желания убрать пароли в принципе.

Потому что 'ключи от квартиры где деньги лежат' - очень хорошо интегрированный в мозги человека принцип. Возможно, даже на уровне биологической 'прошивки'. Человек хорошо общается с чем-то мелким и ценным. И к ключам (тем самым, от двери или сейфа) все давным-давно привыкли и знают, что с ними делать (в том числе, не оставлять там, где их злодей может прикарманить), иметь копию и так далее.

 Конечно, пароли часто ставят примитивные, но это уже вопрос организационных мер (пароли можно проверять, запрещая слова из словаря, даты, последовательность идущих подряд символов на клавиатуре и т.п.). 

А с аппаратным ключом - сравнимая надежность получается без всяких организационных мер, автоматически.

Какое-то непонятное желание сделать сложную систему, даже пожертвовав интересами пользователя.

С точки зрения использования - совершенно не сложная. Берем ключ, 'вставляем в скважину' - и готово, имем доступ куда хотели. Или альтернативно, 'берем пропуск, предъявляем и готово'. Эта система с паролями - сложная. Шпионский сценарий напоминает, если подумать.

Плохо - в том смысле что коды портились от погоды и грязи, на обслуживание забили после чего вся система успешно умерла. Вот тут неплохой ролик.

Или вам лазерный интерферометр нужен на каждый вагон?

Нет. Радиометки. Пассивные. Где-то тут уже ссылку давал.

 Так, что ли, это должно работать?

Да. За вычетом 'идешь по улице'.

Но снова $30 за 1 titan security key

Ну вот да. Что в этом микроконтроллере настолько дорогое?

С помощью passkey вендоры попытались решить проблему необходимости токена.

Я, кстати, не очень понимаю, почему гугломикрософты не завалили рынок этими самыми токенами так, чтобы в каждом супермаркете висели по стоимости ну хотя бы умеренно плохого механического замка на дверь. Вот наверняка они не настолько дорогие в производстве, как Yubiko, Алладины и прочие пытаются убедить.

Чем отличается пароль в БД, от пароля как второй фактор в БД?

С точки зрения угона базы паролей у сервиса - не очень отличаются. Можно украсть как байты, которые про пароль так и байты, которые про второй фактор(кроме того, seed для стандартного TOTP не очень захэшируешь).

Но в начальном сообщении были passkey с друзьями, которые открытый/закрытый ключ и потому подбор байтов для входа, даже если знаешь байты из базы сервиса, сильно затруднен.

А вот с точки зрения атаки на сторону клиента - отличаются тем, что злодею надо как-то два секрета узнавать вместо одного, которые хранятся отдельно и один из них, с большой вероятностью - оффлайново, не на стороне сервиса и/или в специальном чипе, который спроектирован так, чтобы этот секрет оттуда достать было трудно.

Она и больше. Потому что, как я понимаю, он держит эти килограммы 'на вытянутых руках' и долго. Человек так не сильно может.

Новость несколько лежалая. Смотрим дату ролика. Возможно, хотели про следующий вариант того же самого рассказать. Там же немного видно операторов.

И VR маска - это, мне кажется, зря. Достаточно было вместо окон кабины стереоэкраны поставить (изобрели в свое время такое для телевизоров) и отслеживание положения глаз использовать. Да, кабина тяжелее и немного сложнее, но зато оператор глаза не ломает и пыле/прочее устойчивость можно сделать выше. Или даже вообще без стерео, а просто картинку менять по положению головы в кабине - человеку может быть достаточно.

Я всегда с собой её таскал в своей офисной сумке, а то мало ли когда понадобится, а вдруг нету.

Напоминаю, что я предлагаю внедрить личную печать в случаях, когда 'мало ли когда понадобиться' - нездорово и нежелательно. Можно даже сознательно выбрать форм-фактор, неудобный для постоянного ношения. Чтобы меньше желающих это делать было.

С какого момента считываются метки?

Как по этим меткам определить точное положение трамвая?

Когда метка находится на линии, перпендикулярной длинной стенке трамвая. Положение - очевидно, "трамвай находится напротив столба номер...". Если изловчиться - можно даже это в географические координаты не переводить. Впрочем, оптические метки работают плохо. Смотри историю KarTrack.

Тут обсуждается как раз личная печать. Я пропагандирую, что неплохо бы такую ввести в дополнении к автографу ручкой. Собеседник не соглашается.

Строго говоря, если мне склероз не изменяет - какие-то зачатки по этому поводу в законодательстве есть. Можно личный штампик изготовить и зарегистрировать. Или вон у врачей - они, кажется, по штату таким пользоваться должны. У нотариусов, вроде бы, так же.

Но лучше бы (с моей точки зрения) все это более явным и обязательным для значимих документов сделать. В том числе и для граждан.

Information

Rating
1,380-th
Location
Россия
Date of birth
Registered
Activity