По такой логике, если вход в приложение осуществляется только по паролю, присланному по СМС (а это почти то же самое, что и пароль присланный по email), то это и не вход вовсе. То есть нет фактора -> нет пароля -> нет аутентификации.
Пароль не перестает быть паролем от того, что он может быть скомпрометирован. Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Пожалуйста, не призывайте менять местами аутентификацию и авторизацию. «Двухфакторная авторизация» — это что-то за гранью моего понимания. Может кому-то все равно, но мне слух очень режет. Для меня это как звонит и звонит.
Пароль могут утащить с компьютера пользователя, а seed и counter таким образом скомпрометировать нельзя.
Злоумышленник может попытаться сбросить пароль жертвы через восстановление пароля.
Ну и да, время эксплуатации скомпрометированной учетной записи сокращается: для каждого платежа в интернет-банке потребуется еще один OTP.
Если говорить про конкретный случай, описанный в топике, то пользователям, которые вводят пароли в непонятные приложения мало что поможет. Музыку то послушать очень хочется, а тут хорошие люди такое приложение удобное сделали. Ну как им не доверить свой пароль?
Проблема данного примера в том, что пользователи не понимают, что нельзя всем раздавать ключи от своей квартиры.
А в целом по теме 2fa: Многофакторная аутентификация бывает разная и не везде преусмотрена защита от глупостей пользователя. Но даже одноразовые пароли успешно защищают от большого количества типов атак на парольные аккаунты.
Технология Visa codesure, насколько я знаю, у нас не используется. Это карта в основном для США.
Для такой карты, как на видео, нужна дополнительная инфраструктура, включающая в себя промышленный сервер аутентификации. К сожалению, карточный бизнес в России заключается в перепродаже чипов, а не в оказании квалифицированных услуг. Поэтому такие карты в РФ — редкость. Справедливости ради замечу, что карты с дисплеем были замечены у Яндекса(однокнопочная) и, кажется, даже доступны в банке Авангард(многокнопочная).
Проблема явно в том, что человек извне не может донести до ответственного за безопасность информацию об уязвимости.
Все сообщения о дырах в безопасности должны обрабатываться любым сотрудником компании. Элементарно взять контакты у заявившего об уязвимости и передать ответственному за безопасность.
Думаю, что вас минусуют потому, что ваше сообщение двусмысленно.
Скорее всего я как и минусующие(справедливости ради замечу, что я не минусовал) прочитал так: «Если вы используете парольный менеджер, то все уже настолько плохо, что никакой второй фактор вас не спасет.»
После прочтения вашего топика на sakurity стало понятно, что вы имели в виду: «Если вы используете парольный менеджер, то двухфакторка не добавит вэлью».
С общей мыслью неэффективности 2FA не согласен. Если есть способы завладеть вторым фактором, это не отменяет того, что наличие второго фактора затрудняет задачу злоумышленника.
Лично я использую Password Safe. Посмотрел прямо сейчас — у меня там 399 записей. Насколько я знаю, для шифрования контейнера используется AES. В итоге у меня один большой и сложный пароль от контейнера, а остальные пароли я в основном даже не знаю, так как они генерируются в самом приложении. Самое главное — у меня все пароли разные. И когда утечет мой пароль с условного vk.com, аккаунт от gmail не пострадает.
Конечно, когда пользователь не думает куда он вводит учетные данные, его ничто не защитит. Но, отвлекаясь от данного примера, разве второй фактор не спасает в большинстве случаев при компрометации стандартного пароля? Ну например, кто-то подсмотрел ваш пароль или получил через keylogger или достал из менеджера паролей. Этот человек не сможет им воспользоваться без второго фактора, например, СМС или аппаратного OTP-генератора.
Возможно, я не понимаю вас. Поправьте, если не прав:
— Вы создаете свой корневой УЦ, который имеет такую же подпись, как и один из доверенных (SHA-1).
— Вы подписываете этим корневым УЦ сертификат (SHA-2).
Если я правильно понял предлагаемую последовательность, то отвечаю: для корневого сертификата браузер и система доверяют открытому ключу, а не проверяют подпись. Подобрать закрытый ключ, зная открытый — задача отличная от нахождения коллизии в алгоритме хэширования.
Пароль не перестает быть паролем от того, что он может быть скомпрометирован. Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Пожалуйста, не призывайте менять местами аутентификацию и авторизацию. «Двухфакторная авторизация» — это что-то за гранью моего понимания. Может кому-то все равно, но мне слух очень режет. Для меня это как звонит и звонит.
Это вам сообщили биологические особенности организма. Не думаю, что это связано с аутентификацией.
Злоумышленник может попытаться сбросить пароль жертвы через восстановление пароля.
Ну и да, время эксплуатации скомпрометированной учетной записи сокращается: для каждого платежа в интернет-банке потребуется еще один OTP.
Проблема данного примера в том, что пользователи не понимают, что нельзя всем раздавать ключи от своей квартиры.
А в целом по теме 2fa: Многофакторная аутентификация бывает разная и не везде преусмотрена защита от глупостей пользователя. Но даже одноразовые пароли успешно защищают от большого количества типов атак на парольные аккаунты.
Лично мне хочется знать может ли SIM-карта принимать решение о выборе БС или нет. А пока показания разнятся.
Для такой карты, как на видео, нужна дополнительная инфраструктура, включающая в себя промышленный сервер аутентификации. К сожалению, карточный бизнес в России заключается в перепродаже чипов, а не в оказании квалифицированных услуг. Поэтому такие карты в РФ — редкость. Справедливости ради замечу, что карты с дисплеем были замечены у Яндекса(однокнопочная) и, кажется, даже доступны в банке Авангард(многокнопочная).
Чем ваше решение технически и функционально отличается от MasterCard+Cardsmobile?
Все сообщения о дырах в безопасности должны обрабатываться любым сотрудником компании. Элементарно взять контакты у заявившего об уязвимости и передать ответственному за безопасность.
Скорее всего я как и минусующие(справедливости ради замечу, что я не минусовал) прочитал так: «Если вы используете парольный менеджер, то все уже настолько плохо, что никакой второй фактор вас не спасет.»
После прочтения вашего топика на sakurity стало понятно, что вы имели в виду: «Если вы используете парольный менеджер, то двухфакторка не добавит вэлью».
С общей мыслью неэффективности 2FA не согласен. Если есть способы завладеть вторым фактором, это не отменяет того, что наличие второго фактора затрудняет задачу злоумышленника.
Конечно, когда пользователь не думает куда он вводит учетные данные, его ничто не защитит. Но, отвлекаясь от данного примера, разве второй фактор не спасает в большинстве случаев при компрометации стандартного пароля? Ну например, кто-то подсмотрел ваш пароль или получил через keylogger или достал из менеджера паролей. Этот человек не сможет им воспользоваться без второго фактора, например, СМС или аппаратного OTP-генератора.
— Вы создаете свой корневой УЦ, который имеет такую же подпись, как и один из доверенных (SHA-1).
— Вы подписываете этим корневым УЦ сертификат (SHA-2).
Если я правильно понял предлагаемую последовательность, то отвечаю: для корневого сертификата браузер и система доверяют открытому ключу, а не проверяют подпись. Подобрать закрытый ключ, зная открытый — задача отличная от нахождения коллизии в алгоритме хэширования.