О да.
Возможно я действительно неправ в своем предположении. По крайней мере вижу, что многие со мной не согласны.
Новостной фон создает впечатление, что криптовирусы становятся широко распространены. В каждой из новостей рекомендуется (прямо или косвенно) заплатить вымогателям. Плохо, что проблема не решается обращением в правоохранительные органы, хотя уверен, что возможности у них есть.
Надо искать плюсы. Чем больше подобных случаев и даже просто новостей, тем быстрее пользователи приходят к пониманию важности бэкапов и защиты собственной информации в целом.
Наращивается информационное воздействие на население страны, в первую очередь на молодежь, с целью размывания культурных и духовных ценностей, подрыва нравственных устоев, исторических основ и патриотических традиций.
Возможно, я не понимаю ваш ход мысли, но попробую ответить на изначальный вопрос.
MITM лог-сервер не сможет вернуть удостоверяющему центру штамп времени с правильной подписью, так как он не обладает закрытым ключом.
Основная задача CT — позволить владельцам доменов быстро узнать о выпущенных для их доменов сертификатах.
Полагаю, что если запустить новый сервер-лог, то в него будет записана информация о новых сертификатах. Наверно, такой лог будет иметь ценность через 1-3 года после начала работы.
Спасибо за ссылку. Это хорошие новости. Я думал, что они полностью сконцентрируются на своем продукте.
Дальнейшее использование openssl было бы значимым вкладом в проект.
Вы перегибаете. СМС с одноразовым паролем попадает на телефон пользователя, проходя тернистый путь через инфраструктуру банка и оператора.
Сам пользователь СМС с паролем никому не отправляет и никуда не выкладывает (кроме поля ввода пароля, конечно).
Делать фото значений аппаратных генераторов OTP и выкладывать в инстаграмме — не каждому придет в голову.
Второй фактор — обладание СИМ-картой.
Без обладания СИМ-картой с конкретным номером получить одноразовый пароль легально невозможно.
Название «двухэтапная» объясняется тем, что для того, чтобы отправить СМС/email нужно сначала узнать кому ее отправить. То есть первый этап — аутентификация по логину-паролю нужна, чтобы определить номер телефона получателя СМС.
Почему некоторые называют это «верификацией» непонятно. Возможно есть мнение, что слово менее серьезное, чем аутентификация. По сути вы можете всегда «аутентификацию» называть «верификацией пользователя».
Интересно, почему выбрали scp? Рассматривали ли решения по управляемому файлообмену (MFT)?
А как ключи на этих носителях были сгенерированы? использовали какой-то csp?
Судя по всему, все-таки захэшированы.
Должен признать, что в вашей интерпретации получилось все равно лучше, чем то, что написано в новости на threatpost, на которую вы ссылаетесь:
Возможно я действительно неправ в своем предположении. По крайней мере вижу, что многие со мной не согласны.
Новостной фон создает впечатление, что криптовирусы становятся широко распространены. В каждой из новостей рекомендуется (прямо или косвенно) заплатить вымогателям. Плохо, что проблема не решается обращением в правоохранительные органы, хотя уверен, что возможности у них есть.
MITM лог-сервер не сможет вернуть удостоверяющему центру штамп времени с правильной подписью, так как он не обладает закрытым ключом.
Основная задача CT — позволить владельцам доменов быстро узнать о выпущенных для их доменов сертификатах.
И про взаимную ау
Дальнейшее использование openssl было бы значимым вкладом в проект.
Сам пользователь СМС с паролем никому не отправляет и никуда не выкладывает (кроме поля ввода пароля, конечно).
Делать фото значений аппаратных генераторов OTP и выкладывать в инстаграмме — не каждому придет в голову.
Без обладания СИМ-картой с конкретным номером получить одноразовый пароль легально невозможно.
Название «двухэтапная» объясняется тем, что для того, чтобы отправить СМС/email нужно сначала узнать кому ее отправить. То есть первый этап — аутентификация по логину-паролю нужна, чтобы определить номер телефона получателя СМС.
Почему некоторые называют это «верификацией» непонятно. Возможно есть мнение, что слово менее серьезное, чем аутентификация. По сути вы можете всегда «аутентификацию» называть «верификацией пользователя».