Комментарии 10
Если взять 2350 то у него с безопасностью вроде как получше, 2040 просто вычитать можно.
А плагин для браузера не писали, чтобы передать девайсу текущий сайт, куда вводится пароль?
интересный проект. По идее можно даже "взросло" сделать. Вынести все ключи в отдельный крипточип специально под это заточеный. Добавить простенький tft дисплей для визуализации что бы можно было без веб-интерфейса переключатся по ключам. Опционально добавить сканер отпечатка пальцев.
Плюс я думаю можно просто "ключи" хранить. Отдельная кнопка что бы с TOTP переключится на текстовые ключи. Причем текстовые можно прямо в памяти хранить, просто криптовать внешним чипом и все будет безопасно максимально.
Как плюс, если взять что то по типу нордика или прочее нормальное беспроводное, то можно парить с телефоном/компом по блутузу и сделать вообще "беспроводным".
Люди заморачивались этим еще лет 10-12-15 назад, тут на хабре с пяток проектов было уже. Как показала практика, "гражданскому" рынку этот девайс попросту не нужен, так как пароли почти везде заменились смс-кодами. Зайти же к корпоратам или в госы, где оно может и было бы нужно, без больших связей/затрат врядли возможно (получить сертификацию не так-то просто, а без нее это просто игрушка).
"гражданскому" рынку этот девайс попросту не нужен, так как пароли почти везде заменились смс-кодами
С тех пор кое-что изменилось. Уже много кто (включая Гугл и сравнимые по крупности) говорит, что SMS им не нравятся и надо заменить. Тут бы им завалить рынок аппаратным токенами по себестоимости, чтобы в каждом ларьке лежали, но увы..
Близзарды к варику продавали одно время аппаратные TOTP-токены - эксперимент дальше этого не пошел. Ненкоторые банки их прямо в карту встраивали, тоже никого не заинтересовало вообще - продукт как появился, так и исчез... Ибо ответ прост - есть TOTP для телефонов в виде приложения, и кейсов, где он не применим, почти нет.
Если сейчас пытаться в такой продукт, то это должен быть именно гибрид TOTP + pkcs11 + парольный менеджер + защищенный картиридер, причем по цене до 100 баксов, частично опенсорсный для маркетинга (не сертифицированная версия), и при этом в закрытой версии сертифицированный как СКЗИ (или штатовский аналог). Выглядит не очень реально...
Если сейчас пытаться в такой продукт, то это должен быть
Да нет же. Это должна быть дешевая штука, которую покупаешь в супермаркете и которую просто регистрируешь в сервисе/привязываешь к сервису.
И вот это все: TOTP, pkcs11, кардридер - хоть и тешит гиковскую душу, но именно для массового продукта совершенно не нужно. Нужен простой и понятный ключ. В смысле - по модели использования. Ткнул в соответствующее место - тебя в сайт пустило. Как с физической дверью.
Вынести все ключи в отдельный крипточип специально под это заточеный.
Которое есть Smart Card. И которые (специализированные под конкретные нужды) раздаются бесплатно кучками в виде банковских карт и SIM карт. А вот купить 'пустую по адекватной цене - какой-то неочевидный квест.
А так - смотри Mooltipass. (И цену его же). Только в подобных обсуждениях пользователь жаловался, что у товарищей с железом проблемы.
Ношу точно такую же штуку на базе Waveshare RP2350-Touch-LCD-1.28. Очень удобно. Изначально делал вообще ради эксперимента, можно ли сгенерить код для железки с нуля и "под ключ" при помощи claude. Можно, он даже с круглым экраном разобрался и не сломал UI... Причем это не ардуино-код, все на взрослом C++.
А вот с паролями я поступил так - при вводе пин-кода мы его просто запоминаем, и от него и внутреннего ключа генерим пароль. Неправильный пин-код? Получим неправильный пароль, то есть ручной перебор попросту невозможен.

USB-ключ для ввода TOTP-кодов и сохранённого пароля