Комментарии 14
Но ведь вся суть этой кнопки, что на нее человек сам нажимает. Зачем это всё
Полезно для автоматизации некоторых сценариев.
ну примерно так же, как бумажка с паролем на мониторе...
Если нужна автоматизация - нужно подбирать другое решение.
Работодатель дает вам yubikey и в начале рабочего дня вам нужно несколько раз коснуться его для настройки рабочей среды. Другого решения нет и не будет. Можно каждый день выполнять рутинную процедуру, а можно ее автоматизировать.
Другого решения нет и не будет. Можно каждый день выполнять рутинную процедуру, а можно ее автоматизировать.
Ну я и говорю, бумажка с паролем...
Работодатель вводит сложные многобуквенные и цифровые пароли, которые к тому же надо регулярно менять, чтобы повысить защищенность системы. Недовольные этим пользователи записывают пароль на бумажке и клеют её к монитору.
Результат: в сети используются сложные пароли, которые знает любой, кто имеет физ. доступ к рабочему месту.
Объясните, пожалуйста, каким образом автоматическое касание yubikey создает дыру в безопасности, сравнимую с паролем на мониторе?
Как бумажка с паролем позволяет узнать этот пароль всем, кто проходит мимо, так и возможность автоматически активировать yubikey позволяет всем , кто незаметно залез в ваш компьютер воспользоваться ключом.
Ведь смысл yubikey только в этом - можно взломать компьютер сотрудника, можно спереть с него все приватные ключи и кейлогером снять все пароли - но если ключ хранится на yubikey, то без физического нажатия на кнопку хакер никуда дальше не попадет.
для того, чтобы программно нажать на yubikey надо знать, как это сделать. Это не стандартное действие, поскольку код написан мной. Если дать волю паранойе, то, конечно, можно придумать сценарий, когда незаметно для меня хакер внедрился на мою машину, пронанализировал мои скрипты и понял, как пользоваться автонажатием. Но думаю, что при таком раскладе использую я автонажатие или нет уже не имеет значения, потому что моя машина и так под контролем хакера. Если я нажимаю yubikey руками он просто подождет, пока я это сделаю, и дальше получит доступ ко всему, к чему имею доступ я.
Ну да, один бухгалтер знает пароль другого бухгалтера от рдп. Ужс. Оба так-то сидят в одной и той же базе с одними и теми же данными и периодически, когда кто-то в отпуске, работают под учетками друг друга почти официально. А ещё снабженцы смогут зайти на почту друг друга, а когда уходят в отпуск, тоже даже сами пароли пишут, ещё и пересылку ставят. При этом, в помещение посторонние особо то и не заходят, а если заходят то что? Сеть за vpn, пароль есть логина нет, ip адреса неизвестны.
Сложные пароли ставят как защиту от перебора из вне. Адекватный главбух, который понимает что не должен вот этот вот новенький заходить под главбухом в базу не будет писать пароль от базы на бумажке. От рдп, от почты может ещё, но не от базы. А без последнего два первых почти бесполезны.
Вы о чем? Или я что-то не так понимаю?
Например, можно так CI CD автоматизировать для подписи десктопных приложений, т.к. сертификаты десктопов только на yubikey сейчас дают хранить
Несколько лет назад решал ровно такую задачу. Вот мое решение.
Почему "Зажим краб"? Всегда это был "зажим крокодил".
Разрабы: создают специальное решение, чтобы заставить людей прожимать пароль ручками
Тупые люди: надо автоматизировать!
Послушный YubiKey