Тут описан процесс аутентификации. Вероятно, до него необходимо зарегистрироваться. При регистрации смартфон привязывается к пользователю. По крайней мере так работает аутентификация смартфоном, которую я настраивал.
Некоторые планшеты подписи могут сами шифровать биометрию таким образом, что при последующем изменении подписанного документа, эта биометрия уже не может быть расшифрована. Так собственноручная подпись привязывается к документу. Перенос этого блока подписи в другой документ не позволит расшифровать подпись в случае споров, а значит, нельзя будет провести графологическую экспертизу поддельного документа; следовательно, документ не тот, что подписывался.
Есть немного разные подходы. В основном эти данные под NDA. Если интересно, пишите в личку. Я как раз занимаюсь планшетами для подписи и соответствующим ПО.
Все становится очень интересным: www.kaspersky.ru/blog/?p=19864. Оказывается чип может ограничиться передачей терминалу только открытых данных, которые несложно скопировать с карты, а на запросы проверки PIN просто отвечать, что он верный.
Да даже хуже, в статье по ссылке говориться о том, что, например, браузер Safari не показывает URL для EV сертификатов. Вместо этого отображается название компании. Как по мне, так лучше уж черная ссылка, чем такая зеленая надпись.
Как-то при одном новом для меня проекте меня подбадривал коллега: «Не нужно знать все, достаточно, что ты знаешь больше остальных». Мне это тогда добавило уверенности.
Для публичных выступлений этот совет тоже подходит.
стать частью нашей команды престижно и перспективно
Я часто бываю на остановке у метро Рижская в Москве и вижу ваши маршрутки, которые везут сотрудников в офис, находящийся неподалеку. Люди забиваются как селедка в бочку, чуть не на головах едут, и представляю как они в этот момент ощущают престиж работы в вашей компании. Что мешает увеличить частоту хождения транспорта или его размер в часы пик?
Я понимаю, «что вы находитесь вне поля этого вопроса», но надеюсь, что мой комментарий будет для вас стимулом попытаться повлиять на ситуацию. Надеюсь, что в следующей статье, завлекающей соискателей, вам будет неудобно пропустить тему корпоративного транспорта.
Результатом решения проблемы стали аутентификация oAuth и принцип SSO…
OAuth часто ошибочно называют протоколом аутентификации, однако, формально это протокол авторизации. В связке с ним все еще требуется сервер аутентификации, который проверяет учетные данные пользователя. Например OpenID. Метод аутентификации при этом может быть любой. Можно менять методы аутентификации не перерабатывая сильно мобильное приложение, используя доступные на сервере аутентификации методы.
OAuth используется для получения мобильным приложением доступа к API. Использование долговременных сессий с ограниченным доступом позволяет не требовать прохождения аутентификации каждый раз, но запрашивать аутентификацию для некоторых действий, например, перевод денег в банковском мобильном приложении.
Вы пишете:
Сведения пользователя нужно сохранять на устройстве, чтобы их можно было вычитать при последующем запуске приложения
А в следующем абзаце поясняете, что речь про пароли. Но в случае с OAuth вам не надо хранить пароли на устройстве.
Многофакторная аутентификация бывает разная. То, что вы называете пин-кодом на самом деле является одноразовым паролем.
Про использование блокчейна в задаче аутентификации было бы интересно почитать, жаль что вы ограничились информацией о номере патента и о том, что это это «Очень просто». Возможно, что это неплохая тема для отдельной статьи.
Мне кажется, что вы путаете потребление кварцевых часов и атомных часов. Навскидку для кварцевых потребляемая мощность исчисляется в десятках микронов ватт, в то время как только сам чип атомных часов судя по сайту производителя имеет мощность в пределах 0,12 ватт. Разница в несколько (5!) порядков.
“Данный узел использует зашифрованное соединение с внешним Интернет-узлом? Зачем? Это действительно нужно?” Факт скрытия коммуникаций уже сам по себе должен вызывать подозрения и приводить к расследованию.
Разве нормальный подход к обеспечению безопасности коммуникаций должен вызывать подозрения? В моей картине мира все наоборот.
А вы не могли продолжать продажи таким ухищрением: покупатель выбрал игру, продавец прямо в присутствии покупателя предложил оформить заказ на сайте с оплатой онлайн и выдачей в текущем магазине. Даже сам может оформить за покупателя, чтобы ускорить процесс.
Понимаю, что это потеря времени, но все-таки не полный простой.
С Магнитом понятно так не сделаешь, но Мосигра вполне могла бы такое предложить.
Тут есть варианты.
1. После аутентификации всеми необходимыми факторами для вас становится доступен определенный порт определенного хоста.
Делается по разному, опишу опять же из своего опыта. Например, можно сделать отдельный веб-интерфейс для аутентификации. После удачного прохождения у пользователя появляется SSL-VPN до сервера доступа, который транслирует трафик на RDP хост. + при подключении автостартует mstsc с параметрами подключения. Бонусом можно настроить SSO, чтобы аутентификацию в RDP пользователь уже не производил.
2. RDP в браузере. Есть такой софт, который позволяет завернуть RDP в HTTP. Для этого обычно требуется только браузер, поддерживающий HTML5. Дальше, наверное, объяснять не нужно, так как задача сводится к тому, чтобы сделать 2FA для веб ресурса. SSO тут тоже возможно.
3. Насколько мне известно, Remote Gateway поддерживает протокол RADIUS, а, значит, позволяет использовать сервера аутентификации, которые тоже поддерживают RADIUS.
4. Слышал что-то про варианты, когда на RDP-хост устанавливаются какие-то проприетарные плагины от серверов аутентификации, но сам не использовал.
5. Если говорить про просто задачу двухфакторной аутентификации RDP, то можно использовать PKI-Аутентификацию.
Вероятно, я не понимаю ваш вопрос, потому что он мне кажется наивным.
Если вопросы такие: Можно ли взломать инфраструктуру банка из дома?
Можно ли подключиться к SWIFT, если у вас есть логин/пароль и доступ к сети банка? То это зависит от квалификации злоумышленника.
Если вы спрашиваете, можно ли имея пароль подключиться к SWIFT из дома, то конечно нет. Для этого вам все еще нужен доступ к сети SWIFT.
Вряд ли из дома это возможно. Но если он уже взломал инфраструктуру банка, то может делать в сети что хочет. Единственное, что ему нужно, чтобы сделать перевод — получить статический пароль оператора SWIFT.
Есть немного разные подходы. В основном эти данные под NDA. Если интересно, пишите в личку. Я как раз занимаюсь планшетами для подписи и соответствующим ПО.
Для публичных выступлений этот совет тоже подходит.
Я часто бываю на остановке у метро Рижская в Москве и вижу ваши маршрутки, которые везут сотрудников в офис, находящийся неподалеку. Люди забиваются как селедка в бочку, чуть не на головах едут, и представляю как они в этот момент ощущают престиж работы в вашей компании. Что мешает увеличить частоту хождения транспорта или его размер в часы пик?
Я понимаю, «что вы находитесь вне поля этого вопроса», но надеюсь, что мой комментарий будет для вас стимулом попытаться повлиять на ситуацию. Надеюсь, что в следующей статье, завлекающей соискателей, вам будет неудобно пропустить тему корпоративного транспорта.
OAuth часто ошибочно называют протоколом аутентификации, однако, формально это протокол авторизации. В связке с ним все еще требуется сервер аутентификации, который проверяет учетные данные пользователя. Например OpenID. Метод аутентификации при этом может быть любой. Можно менять методы аутентификации не перерабатывая сильно мобильное приложение, используя доступные на сервере аутентификации методы.
OAuth используется для получения мобильным приложением доступа к API. Использование долговременных сессий с ограниченным доступом позволяет не требовать прохождения аутентификации каждый раз, но запрашивать аутентификацию для некоторых действий, например, перевод денег в банковском мобильном приложении.
Вы пишете:
А в следующем абзаце поясняете, что речь про пароли. Но в случае с OAuth вам не надо хранить пароли на устройстве.
Многофакторная аутентификация бывает разная. То, что вы называете пин-кодом на самом деле является одноразовым паролем.
Про использование блокчейна в задаче аутентификации было бы интересно почитать, жаль что вы ограничились информацией о номере патента и о том, что это это «Очень просто». Возможно, что это неплохая тема для отдельной статьи.
Разве нормальный подход к обеспечению безопасности коммуникаций должен вызывать подозрения? В моей картине мира все наоборот.
Понимаю, что это потеря времени, но все-таки не полный простой.
С Магнитом понятно так не сделаешь, но Мосигра вполне могла бы такое предложить.
Подключиться из дома имея только логин-пароль у вас не получится.
1. После аутентификации всеми необходимыми факторами для вас становится доступен определенный порт определенного хоста.
Делается по разному, опишу опять же из своего опыта. Например, можно сделать отдельный веб-интерфейс для аутентификации. После удачного прохождения у пользователя появляется SSL-VPN до сервера доступа, который транслирует трафик на RDP хост. + при подключении автостартует mstsc с параметрами подключения. Бонусом можно настроить SSO, чтобы аутентификацию в RDP пользователь уже не производил.
2. RDP в браузере. Есть такой софт, который позволяет завернуть RDP в HTTP. Для этого обычно требуется только браузер, поддерживающий HTML5. Дальше, наверное, объяснять не нужно, так как задача сводится к тому, чтобы сделать 2FA для веб ресурса. SSO тут тоже возможно.
3. Насколько мне известно, Remote Gateway поддерживает протокол RADIUS, а, значит, позволяет использовать сервера аутентификации, которые тоже поддерживают RADIUS.
4. Слышал что-то про варианты, когда на RDP-хост устанавливаются какие-то проприетарные плагины от серверов аутентификации, но сам не использовал.
5. Если говорить про просто задачу двухфакторной аутентификации RDP, то можно использовать PKI-Аутентификацию.
Если вопросы такие:
Можно ли взломать инфраструктуру банка из дома?
Можно ли подключиться к SWIFT, если у вас есть логин/пароль и доступ к сети банка?
То это зависит от квалификации злоумышленника.
Если вы спрашиваете, можно ли имея пароль подключиться к SWIFT из дома, то конечно нет. Для этого вам все еще нужен доступ к сети SWIFT.