Comments 24
Тотр всегда должен быть в отдельном аппаратном, доверенном устройстве....
Как еще то ?
Ну... в реальной жизни TOTP на отдельном девайсе встречается крайне редко. Аппаратные ключи почаще. Но массовый кейс использования - это TOTP на телефоне. И при этом люди носят с собой только 1 телефон, и при этом на телефоне авторизируются, нарушая многофакторность.
Статья - просто мысли в слух, о том, какая могла бы быть альтернатива.
Но ведь описанное вами - безумие.
Ну т.е. это противоречит буквально всему :), люди игнорируют все правила безопасности.
Альтернатива: нормально делай - нормально будет(на самом деле всё равно не будет :(, т.к. реальной 2фа авторизации нигде уже почти нету). Носи уже отдельное устройство с паролями и тотр, оно занимает совершенно немного места. В принципе старый мобильник можно приспособить, если хочется экономии.
Безумие :) Я даже в заключении сравниваю это дело с шапкой из фольги.
Вдохновлением на эти размышления мене послужил Путин, у которого нет девайсов.
Мне стало интересно, а может ли обычный человек не иметь девайсов, при этом иметь онлайн приватность, получая к ней доступ через публичные устройства.
Будто хиппи, живущий в лесу и питающийся солнцем и улыбками, который в любой момент может в халате придти в библиотеку, сесть за публичный компьютер и оплатить налог за собственную землю.
Мне показалось, что собственному телефону я верить не могу (особенно
после того, как удалив приложение одной нехорошей соцсети, через пару
недель я обнаружил, что приложение снова установлено).
Apple/Google?
вы в уме его шифруете алгоритмом, который знаете только вы и авторизатор
Постулат: отсутствие информации об алгоритме шифрования не повышает его критостойкость
Да, забавно :)
Apple/Google?
Постулат: отсутствие информации об алгоритме шифрования не повышает его критостойкость
Если речь идёт о шифровании, то да. Но в данном случае в конечном варианте идеи - хэширование. А в центре внимания - не шифровка данных, а авторизация. Если авторизироваться не так часто, то у второй стороны не соберётся достаточно данных для реверс инженеринга. А попытки брутфорса приведут к блокировки.
Но вообще, я с вами согласен, потому и опубликовал статью (раскрыл алгоритм) :)
особенно после того, как удалив приложение одной нехорошей соцсети, через пару недель я обнаружил, что приложение снова установлено
Телефон видимо китаец на андроиде?
Идея напомнила другую статью на Хабре, где автор «шифровал» пин код и записывал его на банковской карте.
Ну записать на карте неправильный код - это неплохая в целом идея.
Но если не можешь запомнить четыре цифры....
3-4 символьный код сейчас реально используется для авторизации в цифровых системах на линии фронта. Шанс того, что боец после обстрелов не сможет его вспомнить весьма велик. Много кто просто его пишет на рабочем устройстве чем умножает на ноль всю безопасность. Так что идея с простым модификатором (+-1 например) весьма применима и полезна в реальной жизни.
Попытался найти, в итоге нашёл это. Всё скомпрометировано! :D
Да, токен MFA - это саое безопастное и удобное решение.
Зачем тогда придумывать всё это? - что бы избавиться от зависимостей. Токен надо тоскать с собой. Токен не везде можно подключить (например в публичных компах, где в целях безопасности отключен USB). Токен можно забыть или потерять. Токен можно украсть, после того, как кейлоггер запишет ваш пин :D В общем, шапка из фальги нужна...
Если телефон не рутован, не все виды компроментации наверное опасны для TOTP-приложений. Однако единственный правильный подход, при обнаружении несанкционированных установок, это сброс к заводским настройкам и тотальное обновление паролей
Я слукавил, сказав, что "удалил приложение". Это предустановленное приложение. Телефон не рутованный и удалить его нельзя, можно только "отключить". Спрос к заводским настройкам, наоборот, включит и установит это приложение. И вероятно, эта несанкционированная установка - какая-то ошибка какого-нибудь менеджера приложений, которое, не знаю... включила приложение? :D
Просто, чем больше я копаюсь в интернет-безопасности, чем больше читаю о приватности, тем больше осознаю, что "безопасных" устройств нет.
Тем более, продвинутый шпионский софт, явно не будет заниматься такой ерундой, как установкой приложения социальной сети.
ключом будет являться самая новая статья на Habr
Что делать, если в это время кто-то начнёт постить свои 80 статей?
Всё зависит от модели угроз.
Если устройство взломано, то проще всего хакерам будет подождать, пока вы сами авторизуетесь.
Опять-таки, если атакующие уже на устройстве, они будут видеть весь ваш трафик (и все нажатия на кнопки). Вас устроит такой вариант, что, да, авторизоваться можете только вы, но все ваши действия будут видны атакующим?
А если атакуют снаружи путём перехвата трафика, а устройство таки не взломано, то можно и обычный OTP. Ну, или сделать попроще схему с одноразовыми словами из какого-нибудь текста, который знаете только вы. Снаружи же не будет видно, что вы отправляете серверу, если устройство не взломано.
А сейчас вы зависите от Хабра, который в нужную минуту может быть и недоступен, либо в выбранной статье может не оказаться нужной буквы и т.д.
Ну да, суть кейса именно в том, чтобы авторизоваться через взломанное устройство в неизвестной для нас сети. Кейс такой, что хакеры видят и трафик, и нажатия, и клипборд, и вообще всё, что только можно (включая видео с вебки, и видео с камер видеонаблюдения в помещении, где вы используете устройство.
При этом, после авторизации нам надо либо прочитать какие-то данные, которые нам нужны в данную минуту, либо отправить куда-то какие-то данные. Да, хакеры смогут прочетать тот кусок, который мы будем читать, но не смогут прочитать остальные данные. Да, хакеры смогут увидеть данные, которые мы отправляем, но они не смогут сами отправлять данные от нашего лица без нашего ведома.
Пример из реальной жизни - поход на вершину горы, где вы не берёте с собой ничего лишнего, что бы выжить, но пользуетесь общественными девайсами в точках лагерей. Другой пример, - путешествие на коробле, через море, где выход в интернет строго контролируется. Хотя, по сули, в обоих случаях можно иметь при себе физический TOTP токен, который весит всего пару грам.
В схеме с одноразовым словарём из какого-нибудь текста, меня смущает 2 вещи:
надо помнить какие слова уже использовались, а какие ещё нет
после 5-ой авторизации, слов может быть достаточно, что бы найти исходный текст
На случай, если Хабр недоступен глобально, сервер тоже это увидет, и может переключиться на другой резервный портал. Если же, серверу Хабр доступен, а вам - нет, то тут сложнее.
А почему хакеры не смогут отправлять? Если речь именно про авторизацию, а не систему запрос-ответ, где на каждый запрос требуется подтверждение, то после первой же авторизации сервер пришлёт в ответ некий токен или сессионные cookie, с которыми можно слать последующие запросы. Вот это атакующие и перехватят, дождавшись, когда вы сами авторизуетесь.
Интересная картинка, однако - пароль и паяльник. Что, казалось бы, общего между ними )))
Как безопасно авторизироваться в веб-сервисе через скомпрометированное устройство?