Комментарии 86
2.Найдите через поиск «google authenticator»
3.Тапните по наименованию от компании Google Inc.
4.Тапните «Установить»
5.Тапните «Принять»
6.Дождитесь завершения установки
Это хабр или одноклассники?
Для защиты от просто случайных любопытных достаточно обычного пароля.
А для чувствительных данных есть truecrypt, veracrypt и т.д.
Вообще-то будет прекрасно работать и без интернета. Почитайте про TOTP алгоритм.
play.google.com/store/apps/details?id=org.fedorahosted.freeotp
itunes.apple.com/ru/app/freeotp-authenticator/id872559395
или утечёт через очередную из 100500 дырок
Что утечёт?
или батарейка сядет в самый ответственный момент
Вы логинитесь на компьютере. Подключите USB шнур к нему и подзарядитесь. Шнурок-то не сложно с собой таскать.
Подключите USB шнур к нему и подзарядитесь.
А у меня на телефоне сломан USB разъём. (Я вторую батарейку зарядником заряжаю и меняю. Без шуток.)
Так не связывайтесь. Вас ведь не заставляют
>Плюс куча невменяемых приложений в маркете которым нужен полный доступ ко всему, даже фонарику нужен и вайфай и блютус и платные смс,
По-моему, вы слишком много читали журнал хацкер.
И,… это,… а зачем вы их таких невменяемых ставите?
Для этого есть резервные коды.
Как отнесутся к такому Chef / Ansible? Если Chef ещё может и ничего — всё-таки там не требуется логин, ноды сами вытягивают данные, то Ansible требует установки SSH соединений с управляющей машины.
Думаю с KDM/SDDM ситуация аналогична.
Сама идея хорошая (когда требуется подтверждение доступа «штукой из вне»), но как заметили выше, есть смарткарты, ест токены, есть дофига чего «железного», вместо того, чтобы сливать свои данные в гугл или давать гуглу управлять доступом к машине. Или использовать гребаную звонилку!
И не вопрос о том, что какой-нибудь хрен мне сейчас ответит "Я лучше доверю свои данные гуглу чем @#$%", а в том, что год от года люди, которые отвечают или хотят отвечать за безопасность тупеют, и вся надежда на старых параноиках.
На компьютере Джека, Оливии или Васи — пофигу, особенно если они используют линукс вида ради, и работают с виндузятным софтом. Так что и теги неправильные:
К тому же на каждый чих своя карта или тем более токен, вы осознаете с какой сумкой будете ходить, если у вас много серверов, машин, аккаунтов?
сливать свои данные в гугл или давать гуглу управлять доступом к машине
Простите, что? https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
ну купите аппаратный TOTP, как это относится к теме статьи? Она — про двухфакторную авторизацию, а не про производителей смартфонов.
Скачайте исходникки и проведите аудит?
Статья решает конкретную проблему — двухфакторную авторизацию. И да, это безопаснее, чем просто ssh ключи.
Open source version of Google Authenticator (except the Android app)
Во-вторых:
На кой черт мне проводить аудит их софта с гитхаба и расковыривать приложение под Андроид и проводить и его аудит, если мне нужна авторизация через звонилку как козе баян?
Ну и, в третьих:
кража — ssh и мобилка (но пароли и там и там, мобилка равна по защите если юзер шифровал данные на устройстве)
вирусы — мобилка
Android app — мобилка
Ведро говнософта-из-коробки — мобилка
Как минимум 4 потенциальных уязвимости к мобилке и 1 к ssh.
Open source version of Google Authenticator (except the Android app)
Всё так, потому что приложение под Android вынесено в отдельный репозиторий.
This project is an older fork of the one on the Play store. It's an older version that doesn't get changes synced to it from the Play store version.
Та версия, что в play market — закрытая. Причём версия с гитхаба ещё и ходит на google.com для обхода проблемы с кривым временем на устройстве. Никакого криминала, просто использует заголовок Date
.
Чуть ниже
>The Android app is in a separate project.
github.com/google/google-authenticator-android
С чего бы это?
Если есть физический доступ к десктопу.
Если смысл его для вас непонятен, сформулирую еще раз подробнее, при наличии физического доступа к десктопу, что двухфакторная авторизация, что однофакторная, что запуск DE без логина, что загрузка в single — в плане защиты одно и тоже.
И очень плохо, что про это в статье нет ни слова. Видимость защищенности — много хуже, чем отсутствие этой самой защищенности.
Использую аналог Authy. Он и в Хроме, и на андроиде активен, + синхронизация.
Решилось так, добавил строку auth required pam_google_authenticator.so в конец файла /etc/pam.d/sshd, в файле /etc/ssh/sshd_config в строчке ChallengeResponseAuthentication поменял no на yes. После перезапуска сервиса ssh все заработало.
Платно, централизованное управление.
Chef работает, так как использует pull модель для получения данных.
У Ansible возникли бы проблемы.
Если не нравится Android/iPhone как устройство для аунтификации:
— можно получать 2FA код через SMS
— можно купить аппаратные tokens
Как настроить двухфакторную аутентификацию для логина и sudo