Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 30
2 кнопки запрограммированные на
1-ая перебор
2-ая сдвиг (десятки часов→часы →десятки минут→минуты)
Вполне эргономичный ввод. Зато не надо цепляться к сетям которые сами по себе уязвимость и дыра во внешний мир
В моей голове это прокрутилось как "неудобное", уж не знаю, почему - отсутствие опыта, наверное. Но сейчас выглядит вполне рабоче. Вопрос только - как подтверждать ввод в самом конце? Просто по таймеру ждать и если кнопок не нажато, то ок? Или типа двойное/длинное нажатие на одну из кнопок?
Из двух кнопок есть миллион вариантов.
Нажата одна кнопка. Нажата вторая. Нажаты две одновременно. Одна нажата и удерживается, вторая нажата и удерживается, две удерживаются, даблклик, трипл клик итд итп.
Совершенно непонятно зачем там rp и вот это вот всё. Генерация ТОТР работает на кредитке, неужели она на esp32 работать не будет ?
Без хотя бы пина на вход это не очень полезное устройство.
Но направление правильное.
неужели она на esp32 работать не будет ?
думаю, без проблем будет. и если бы мне сразу попалась бы сборка чисто на esp32 с экранчиком, я бы взял бы ее (тем более, что по ощущениям она вышла бы дешевле).. но мне попалось то, что попалось - цель-то была - взять коробку и запрограммировать ее, без всякой умной схемотехники.
зачем там rp и вот это вот всё.
Ради защищенного хранилища ключа и прочих Secure Boot. Правда в контексте TOTP не очень очевидно, что оно нужно.
Кстати, да. Правда, в моем случае в rp2040 этого нет. А вот в rp2350 - есть и там это можно использовать.
Неужели извлечь что-нибудь из esp32 проще чем из rp с secure boot итп ? Ну т.е. я слабо себе представляю как извлечь штатно, а когда речь про "сфотографируем память в электронном микроскопе, там ячейки с единицами другого цвета получатся и потом сграбим данные с картинки" - тут уж никакие secure boot не помогут.
Только вот гораздо проще гаечным ключом по башке дать и сам всё расскажешь...
"сфотографируем память в электронном микроскопе, там ячейки с единицами другого цвета получатся и потом сграбим данные с картинки"
В 'правильных' защищенных хранилищах именно против такого и борются. Вот тут результаты про challenge по RP2350. Именно таким образом(одним из) их и сломали и для следующих поколений процессора они собираются меры принять, чтобы не получалось.
Ну вы же понимаете, что имея доступ к устройству получится в любом случае.
У меня только один вопрос: сколько стоит такая работа по взлому ? Не по взлому rp и его secure boot, который везде одинаковый, а по восстановлению неизвестно как работающей прошивки в esp32 неизвестно где гранящей ключ ?
Если эта работа стоит тысячу долларов - есть о чем подумать, если миллион, то я не среди целей, с меня миллион не отжать :).
Ну вы же понимаете, что имея доступ к устройству получится в любом случае.
Имея доступ к устройству его никто не будет ломать. Прямо им и будут пользоваться, чтобы коды генерировать. Потому и сомнительно, что для TOTP генератора оно надо.
Нормальный ТОТР генератор закрыт пином. Три ошибки и он превращается в кирпич.
Вряд ли удастся считать ключи пока генератор в руках у владельца...
Нормальный ТОТР генератор закрыт пином.
Одна известная компания, генераторы которых часто в пример приводят, так не считает. Ну или так - его в этих обсуждениях тоже достаточно часто ликовали. Или так - упомянутое (плюс-минус банковская карта) 'работает на кредитке'
Оно смысла мало имеет. Эти генераторы - второй фактор, сами по себе использоваться не должны. А всякие PIN-ы и пароли можно спросить в качестве первого фактора.
Честно - если все в окно прыгнут и вы прыгнете :)? Известная компания может считать что угодно, но своя голова должна же быть. Негодными решениями весь рынок завален - это верно.
Слишком много безопасности не бывает. К сожалению, подобные варианты входа неминуемо будут использовать как единственные. Не сейчас, так потом. Лучше перебдеть сегодня, чем недобдеть завтра. Про СМС тоже вначале говорили как "мамой клянемся только второй фактор". Что сейчас ?
Давайте сразу оговоримся: я занимаю позицию человека который защищает десятки миллионов рублей, не долларов, рублей, но и не нулевые кредитки с выбранным кредитным лимитом. Мне ввести пин совершенно не затруднительно. Я предпочел бы вообще отдельное доверенное устройство для подписывания каждого действия. Но увы, подобное осталось только в памяти поколений. Простые вещи разучились делать...
Негодными решениями весь рынок завален - это верно.
Оно пригодно в своей области. Надо надежнее - пользуемся 'более нормальными' методами.
Давайте сразу оговоримся: я занимаю позицию человека который защищает десятки миллионов рублей,
В контексте российских банков этот пин на токен вообще не самое слабое место поэтому разницы нет.
И если хотеть улучшений - то не разные генераторы с циферками, что продиктовать можно, а такие, которые обмениваются всем нужным по каналам, что мошеннику отдать нельзя. И со встроенной клавиатурой для пина желательно, да.
В контексте российских банков вообще полная жопа :(.
Но в целом какие-нибудь госуслуги ТОТР закрыть можно было бы(хотя сейчас толк нулевой из-за банков опять таки). И у меня совершенно нет уверенности, что они будут продолжать спрашивать пароль через 3-5-10 лет и не будут давать его сбрасывать по коду из этого ТОТР.
Ну, собственно, статья - демонстрация того, что просто собрать TOTP генератор большой проблемы не составляет. Но тут - дорого. Я все еще надеюсь, что кто-нибудь на чем-нибудь похожем по цене на дешевые китайский "смарт-часы" (~200р vs 1500р) сумеет сделать.
Потому что за указанную цену(ну, чуть дороже) - можно вполне сертифицированный токен для входа по электронной подписи купить.
Знаете токены, которые могут хотя бы десяток разных ТОТР поддерживать ? И при этом показывают их на экране итп ?
хотя бы десяток разных ТОТР поддерживать
Тезис в том, что за эту цену можно перейти с TOTP на гораздо более надежный способ.
А так - любой старый смарт. В ту же стоимость на древнем 4.* андроиде выйдут. Если паранойя грызет насчет того что взломают - вскрыть и все антенны отодрать и выломать.
Более надежный - это какой?
Любой старый смарт не может быть надежным. Если мучает паранойа придется выломать всё включая экран :). Если ваш смарт уже скомпрометирован он сможет отправлять данные, к примеру меняя яркость подсветки :).
Смарт - это в первую очередь огромная ненужная дура требующая зарядки. Это очень неудобно.
Нормальный генератор ТОТР был раньше даже в кредитке, питание вероятно было в ней же. На весь срок службы...
Более надежный - это какой?
Уже сто раз объяснял. Тот, в котором злодею нельзя ничего сообщить (нормальным образом, без достаточно хитрых способов), что поможет ему в сервис войти. TOTP - костыль, хотя и удачный. Защищает только от подбора/угона паролей. Токен - от большего.
Если ваш смарт уже скомпрометирован он сможет отправлять данные, к примеру меняя яркость подсветки :).
У вас сценарии странные. Можно какой-нибудь не совсем шпионский?
У меня получается придумать только в духе: Evil Maid заражает смарт трояном(кстати, как, если мы все отодрали?), который при помощи мигания экрана отправляет ключики злодеям? А просто украсть железку нельзя, чтобы жертва не сменила токены входа?
Я не видел пока готовых подобных систем. Зато видел навалом гораздо менее безопасных систем, которые, к примеру позволяют делать что угодно пока токен вставлен в порт...
Большая безопасность - это не защита недееспособных, а система, которая позволит без последствий войти в свой банк на контролируемом компьютере. Это было бы интересно.
Не знаю, вы же первый начали про паранойю. Но, наверное если украсть железку об этом узнают :). Недостаток смарта в его размерах и энергопотреблении. Это очень неудобная вещь.
Давайте с другой стороны: у вас два смарта ? У меня два. И я устал их заряжать итп. Я это уже попробовал всё. Лично.
а система, которая позволит без последствий войти в свой банк на контролируемом компьютере.
Не имеет смысла. Потому что тогда нельзя гарантировать, что приложение, которым на этом компьютере для доступа пользуешься, показывает то, что должно показывать. Да, если токен достаточно продвинутый - он покажет то, что ему на подпись отправили и можно будет сравнить Но это уже уж совсем продвинутый токен. (Смотри, кстати, Госключ - при всей своей странности он позволяет посмотреть, что подписываешь).
Давайте с другой стороны: у вас два смарта ?
Штук 5 плюс-минус два в зависимости от того считать ли заброшенные. Для телефона, для интернета, для банковского приложения, для бакапов всех эти аутентификаторов, для рабочих дел, для личных и так далее. Большая часть никогда SIM не видела и с собой не носится.
Заряжать их не так уж и сложно - они же большей частью выключены. Просто раз в месяц просто по календарю обслуживание делаешь. TOTP-ны точно так же будет в тумбочке валяться. И настоящий железный должен быть вот совсем удобней и дешевле, чтобы иметь смысл.
Имеет смысла, потому как мне совершенно всё равно что показывает приложение, мне важно какие приказы я отдаю банку. Какие документы подписываю. Но тут нужно содействие банка, боюсь я до момента когда оно образуется не дотяну, внуки может...
У меня какие-то другие смарты, им на неделю заряда даже в тумбочке увы не хватает.
Имеет смысла, потому как мне совершенно всё равно что показывает приложение, мне важно какие приказы я отдаю банку. Какие документы подписываю.
Поэтому вам нужно хотеть не такого странного токена, что 'позволит без последствий войти в свой банк на контролируемом компьютере' а доверенного (и со всех сторон залоченного, включая физические интерфейсы) устройства от банка, на котором с банком и работать, без использования того самого 'контролируемого компьютера'.
У меня какие-то другие смарты, им на неделю заряда даже в тумбочке увы не хватает.
Я же сказал - выключенным. Не просто заблокированным, а максимально выключенным. Ну, подождать придется загрузки, прежде чем воспользоваться - это не сильно большая проблема.
Конечно нужно устройство для подписывания приказов. Внешнее, аппаратное, без лишних интерфейсов. Жаль банки толком не делают(хотя по хорошему это дело государства, может госключ допилят потом), ну по крайней мере некие випменеджеры ничего не смогли предложить. Нет, работать на нем с банком не надо, надо только подписывать указания банку, госуслугам, налоговой итд итп.
Терпеть это всё можно. Превзнемогать итп. Но очевидно есть возможность для гораздо более удобных в использовании решений. Но рынок маловат, может допилят наконец какой-нибудь mooltipass, посмотрим.
Конечно нужно устройство для подписывания приказов. Внешнее, аппаратное, без лишних интерфейсов.
Если оно без сетевых интерфейсов - то удобным оно не будет никогда. Если будет сетевой интерфейс - ничем не отличается от ноута со вставленным токеном. А монокултура по софту будет только способствовать успешности и интересу к атаке.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Конструктор для параноика: история «сборки» TOTP-гаджета