Адрес для входа в РФ: exler.world

Как избавиться от паролей

19.11.2018 17:52  14366   Комментарии (72)

Любопытная статья о системе, которая должна позволить авторизоваться без логинов-паролей - с помощью токена: "Вы так и не научились пользоваться безопасными паролями"?

Токен — это компактное устройство, подключающееся к компьютеру или телефону через USB, NFC или Bluetooth. Он похож на обычную флешку, хранит зашифрованную информацию, защищен от взлома, например, пин-кодом.

В рамках проекта FIDO2 (Fast IDentity Online) одноименный альянс разработал специальный беспарольный протокол аутентификации интернет-пользователей. Вместо связки логина и пароля они предложили использовать секретный ключ, который хранится на аутентификаторе — на токене.

Первым делом пользователь должен привязать свой токен к учетной записи. При регистрации токена тот с помощью браузера общается с сайтом, отправляет на сервер публичный ключ и подписывает всю «переписку» своим секретным ключом. Сайт сохраняет публичный ключ и запоминает, что он связан с конкретной учетной записью. В будущем сайт с помощью этого публичного ключа будет проверять подписи, сделанные секретным ключом, и понимать, к какой учетной записи давать доступ пользователю.

Перед использованием токен попросит пользователя пройти дополнительную проверку. Например, ввести пин-код или дотронуться до встроенного сканера отпечатков пальцев. Это необходимо для защиты от кражи.

Интересная история. Схема закрытый и открытый ключ давно используется в различных видах шифрования. И я тоже задумывался над тем, почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно. Если в скором времени такое введут - будет здорово.

Там, конечно, возникают всякие вопросы из серии "А если я потерял токен? А если я в поездке потерял токен?" и так далее, но это все решаемо.

Комментарии 72

RSA на этом весь бизнес построили в свое время - их токены (сначала физические, потом виртуальные в виде приложения для телефона) были везде, во всех крупных компаниях. А потом их сеть сломали и украли алгоритм...
20.11.18 23:23
0 0

Не совсем понятно, а зачем нужен физически отделяемый от компьютера токен. Можно же сделать (и у некоторых больших фирм так и сделано) виртуальный токен на лаптопе/телефоне.
20.11.18 03:13
0 0

Не совсем понятно, а зачем нужен физически отделяемый от компьютера токен.
чтобы злоумышленник не воспользовался вашим компьютером, когда вы вышли пописать?
20.11.18 14:33
0 0

Виртуальный токен на лаптопе от пароля по большому счету не отличается.
20.11.18 15:26
0 0

И я тоже задумывался над тем, почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно.
1. Не для авторизации, а для аутентификации. Это совершенно разные вещи. Удивлён.
2. Давным-давно используют. Любая аутентификация по персональному сертификату - это как раз она и есть.
20.11.18 00:50
0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее. С точки зрения надежности работоспообности Юсб-флешки. Кто восстанавливал из 0, тот поймет.
По отпечатку пальца - рулеж 😄
19.11.18 23:49
0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее
что за чушь вы несёте?
20.11.18 01:04
0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернее. С точки зрения надежности работоспообности Юсб-флешки. Кто восстанавливал из 0, тот поймет.По отпечатку пальца - рулеж 😄
Ну если оставить стандартные пин-коды 1..8/1..0 и 8..1, то да небезопасно, а так вполне надёжно. А так пользователи рутокены/етокены в стиральной машинке стирали и ничего, просохли и работают как прежде.
20.11.18 11:08
0 0

При этом Токен - это тот же юсб-накопитель, который не обладает достаточной надёжностью. Никакой, вернеечто за чушь вы несёте?
Я так понимаю, он намекает на недолговечность USB накопителей. Но вот беда, еще ни один USB ключ на мой личной практике не умер. А ведь некоторым уже лет по 10. 😉
20.11.18 11:12
0 0

Пользовался Token, пока банк Связной был жив. Не понравилось. На мой взгляд, дополнительная авторизация по СМС лучше.
Den
19.11.18 23:05
0 0

Я в оригинальной статье комментить не стал (ибо нужен вход через соцсети), но здесь, извините, плюхну ложку дегтя. Не умаляя полезности, ценности, актуальности токенов...
У Троя Ханта (не последний человек в ИБ) есть статья на эту тему:
Here's Why [Insert Thing Here] Is Not a Password Killer
19.11.18 22:50
0 0

Много букв, и я почти со всеми не согласен. Свими словами не обьяснишь, чем товарищу токены не угодили?
19.11.18 23:06
0 0

интересно, спасибо
19.11.18 23:52
0 0

почему сразу не угодили, основная мысль статьи была уже озвучена выше:
"Без нормально организованной структуры безопасности схема авторизации не играет роли."
ну и еще второй его пункт - без изменения привычек пользователей тоже ничего не заработает
20.11.18 10:43
0 1

Интенесно, а помнит ли кто-нибудь такой ресурс как enum ?
19.11.18 22:41
0 0

Интересно, я не открою гос тайну если сообщу, что физическая флешка ( это точно относится к тем что используются для Vipnet/гослуг ) попавшая в руки к злоумышленнику вполне ломается (убедить ее что пин код не перебирают, а каждый ввод - первый дело примерно часа, если у тебя под рукой нет нормального стенда).
99% что тут выплывет что-то похожее
19.11.18 22:27
0 0

Есть довод и с другой стороны: обычно отзыв любого ключа или сертификата - минутное дело. Но все зависит от раздолбайства конкретного человека.
19.11.18 22:30
0 0

Есть довод и с другой стороны: обычно отзыв любого ключа или сертификата - минутное дело. Но все зависит от раздолбайства конкретного человека.
По времени сравнимо с отзывом пароля.
просто еще раз - все это громкие крики ни о чем 😄 - секретность и гигиена паролей ( пары логин/пароль) + нормальное слежение за системой никуда не денутся из практики безопасности, что с токенами, что без них. И все это не лучше нормальной OPIE схемы паролей, с передачей нового в сенсе.
19.11.18 22:36
0 0

Если укажешь на источник буду очень благодарен.
19.11.18 22:39
0 0

В случае токена это не всегда так. ПИН локальный и на сервер на посылается.
19.11.18 22:41
0 0

В целом, согласен. Без нормально организованной структуры безопасности схема авторизации не играет роли. Но хотя бы при минимальных усилиях все может выглядеть примерно так: без токена человек не может не только авторизоваться на компе, но и войти в здание, войти в кабинет. Не вынув токен и не заблокировав этим комп, человек не может выйти из помещения, что уже повышает уровень безопасности. Отзыв или смена ключа/сертификата/пароля происходит незаметно для пользователя и он никак не может повлиять на это...
19.11.18 22:48
0 0

Не вынув токен и не заблокировав этим комп, человек не может выйти из помещения, что уже повышает уровень безопасности
Этого делать нельзя ни в коем случае, т.к. представляет физическую угрозу жизни человека. Случиться может что угодно - пожар, несчастный случай, приступ заболевания, сбой системы, блокирующей выход, и т.д, и т.п.
20.11.18 04:37
0 0

Случиться может что угодно - пожар, несчастный случай, приступ заболевания, сбой системы, блокирующей выход, и т.д, и т.п.
Что значит нельзя если это постоянно и много где делается? Пропускная система, электрнонные замки вот это все. В случае пожара все подобные системы автоматически обязаны переводится в разблокированное состояние. В случае сбоя системы вы вызываете службу поддержки точно так же, как вы это делаете, если скажем застрял лиф.
А еще некоторые люби просто любят запираться на ключ. А некоторым это положено делать по должностным инструкциям.
20.11.18 11:18
0 0

Что значит нельзя если это постоянно и много где делается? Пропускная система, электрнонные замки вот это все. В случае пожара все подобные системы автоматически обязаны переводится в разблокированное состояние. В случае сбоя системы вы вызываете службу поддержки точно так же, как вы это делаете, если скажем застрял лиф. А еще некоторые люби просто любят запираться на ключ. А некоторым это положено делать по должностным инструкциям.
Мы знаем прекрасно, где, что и как постоянно делается. История современной России насчитывает уже далеко не одну катастрофу, когда несоблюдение этого простого правила приводило к массовым трагедиям. То, что трагедия не произошла там, где "электронные замки вот это всё" - лишь дело счастливой случайности.
Системы, "которые обязаны автоматически разблокироваться", имеют свойство неожиданно отказывать, особенно, в случаях, когда их работоспособность не проверяется регулярно. А при пожаре, как показывает практика, служба поддержки, которую мне нужно вызывать, побежит из здания первой.
Для тех, кто любит запираться на ключ, или должен это делать по инструкциям, есть специальные замки, которые открываются без ключа изнутри помещения.
21.11.18 02:59
0 0

Ну, если не брать именно сайты - авторизация по токену уже не один год работает успешно. Воткнул токен в USB - залогинился на компе с доменной учеткой. Вытащил токен - комп заблокировался. 10 минут на настройку всей системы...
В отношении сайтов все то же самое, только ключи другого типа.
19.11.18 22:16
0 0

А вы какие девайсы используете?
19.11.18 22:18
0 0

Чаще всего eToken PRO, ибо кучка завалялась. А так можно использовать любую пару токена с соответствующим ПО.
19.11.18 22:22
0 0

Да давно уже активно пользуется и для оганизаций и для отдельных пользователей. Вот вендор где сделано по ПИН-коду www.yubico.com

Прочитал статью. Удивился. Юбико NFC, FIDO2 уже как минимум 3-4 года поддерживают.
19.11.18 22:13
0 0

Проблема с такой схемой заключается в том, что она аутентифицирует устройство, а не человека.
19.11.18 22:12
0 3

С паролем таже проблема
19.11.18 22:17
0 1

Зачем тогда менять шило на мыло? 😉
20.11.18 01:17
0 0

Зачем тогда менять шило на мыло? 😉
Затем, что заставить человека применять устойчивый пароль практически невозможно. В то время как в токен можно зашить любой сложности.
20.11.18 11:50
0 0

читал-читал, пытался врубиться, потом:
Перед использованием токен попросит пользователя пройти дополнительную проверку. Например, ввести пин-код или дотронуться до встроенного сканера отпечатков пальцев.
если все равно пинкод или отпечаток, то заморачиваться еще...
19.11.18 19:57
0 0

А что, надо, чтобы по потерянному ключу можно было сразу получить доступ ко всем аккам?
19.11.18 21:07
0 3

Принципиальная разница. Пароль (или его хаш) храниться на сервере и его могут украсть. А пин только у тебя в голове.
19.11.18 22:15
0 1

нет, просто пароль ввести
19.11.18 23:54
0 0

пин только у тебя в голове.
бинго. поэтому пароли (пинкоды) эта штука не убивает. все равно надо пароль запоминать.
19.11.18 23:55
0 0

Это немножко не так.
На сервере будет храниться только публичный токен. Ну крадите его, дальше-то что? Без физического доступа к носителю этот токен бесполезен.
20.11.18 12:55
0 0

Пароли - те что хранятся на сервера убивают. Вместо что бы запоминать 20 различных паролей к каждому веб сайту, нужно запомнить один пин-код
20.11.18 15:32
0 0

А если у меня 50 аккаунтов в фейсбуке, мне придется покупать 50 токенов/брелков? Я чисто теоретически размышляю...
19.11.18 19:44
0 0

Так вы кремлевский тролль!!!
19.11.18 21:56
0 3

Так вы кремлевский тролль!!!
Ага, он самый! 😄
19.11.18 22:39
0 0

Про FIDO2 не знаю, а вот первую версию крупные сайты поддерживают — гугл, дропбокс, гитхаб..
Если б токены Yubico ещё стоили подешевле и в Россию продавались, было бы совсем хорошо. А так есть только кошмарики вроде U2F Zero.
К слову, их и для логина в систему использовать можно — в винде через Windows Hello, в остальных через pam-модуль.
19.11.18 19:24
0 0

Barracuda SSL VPN. 100 лет как используется. Только это жутко неудобно.
19.11.18 19:19
0 0

Если серьёзно то проблема не в токене а в его интеграции с существующей инфраструктурой
Безпарольная система идентификации ползователеей уже встроена в наши телефоны в виде apple/android платежей И nfc поддерживает и Bluetooth

Ее вполне можно было бы сделать более универсальной
19.11.18 19:05
0 0

Такая схема уже давно используется в банковских клиентах, при электронном декларировании и вообще много где, где нужна даже не суперсекретная, а просто хоть сколько-нибудь серьёзная авторизация, не позволяющая пользователю вбубенить пароль "12345" или записать сложный (сгенерированный системой) пароль на висящем на мониторе стикере.

А не требуется такое устройство повсеместно по одной простой причине - оно не бесплатное. Хотя купить просто ключик, который будет хранить все ваши пароли внутри себя и выдавать по мере надобности, "узнавая" хозяина по какой-угодно-из-существующих-ныне-технологий, от отпечатка пальца до запаха подмышек, полагаю, не такая большая проблема.
19.11.18 18:55
0 2

Что такое "брелок"? Это приспособление, позволяющее потерять все ключи разом. (с) Старая шутка.
На самом деле видимо придется как-то этот ключ бакапить, а бакап хранить в яйце/утке/зайце. Но еще должен быть и механизм отзыва/замены ключа.
19.11.18 18:51
0 6

Я недавно узнал, что одно из названий сумочки для документов и прочих важных мелочей - инфарктница (инфарктник). Потому что когда продалбывается всё и сразу - опаньки 😄)).
19.11.18 18:59
0 4

Останется только сделать токен обязательным и вшить его в паспорт - проблема анонимности в Интернете будет решена раз и навсегда
19.11.18 18:46
0 2

Нафига тогда пароли?

Нафига тогда пароли?
а топик как называется?

Зачем в паспорт ? Сразу в голову 😄. И разъём коаксиальный в затылок, для устойчивого считывания сигнала в условиях сильных электромагнитных помех, а также для подзарядки батареи.
19.11.18 18:56
0 0

Логично )

Подобные штуки давно используются там, где они нужны — во всяких суперсекретных конторах. И то, время от времени всплывают всякие истории — был случай, один тип нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почте. Сканера отпечатков там, видимо, не было.

А для болтовни на форумах не используется и использоваться не будет. Потому что забыл токен дома — на работе в фейсбучике не посидеть.
19.11.18 18:31
0 2

на работе в фейсбучике не посидеть.
красота. Заодно и работа будет сделана....
19.11.18 20:00
0 4

нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почте
распилил на четыре части? Или они посменно круглосуточно работали?
20.11.18 00:11
0 0

нанял вместо себя четырёх китайцев за часть своей зарплаты, и отправил им свой токен по почтераспилил на четыре части? Или они посменно круглосуточно работали?
Полагаю, поставили токен на сервер и работали через него. Я бы так сделал.

Кстати, говорят, хорошо работали.
20.11.18 13:30
0 0

Учитывая что в процессе регистрации желаемый пароль почти всегда занят, я рад появлению токена и хочу его купить!
19.11.18 18:30
0 0

занят пароль? Зачем регистрироваться на таких затейливых ресурсах?
19.11.18 19:42
0 6

Может имелось в виду "не принимают пароль"? Когда менял пароль на аську, перепробовал вариантов 50. После чего пароль, естественно, забыл. Потому что я делал вариацию старого с другими регистрами и циферками, а старый ни в коем случае не должен быть в новом (даже если меняется кейс отдельных символов), циферки ни в коем случае не могут повторяться или следовать друг за другом и прочее. Таких уродов убивать надо.
На фриноде (ИРЦ) может и действительно было "занят пароль". Перепробовал тоже много-много вариантов, пока не приняли русский матерный в lowercase и без циферок-спецзнаков.
Больше всего порадовал гнусмасакк - нигде не говорилось, какой длины должен быть пароль и приняли длинный. Но потом он не подходил. Пока опытным путем не подобрался нужной длины и сложности. То ли 8 символов, то ли как-то так. Сверхсекурно.
19.11.18 21:18
0 1

Учитывая что в процессе регистрации желаемый пароль почти всегда занят
"Please select another password. This password is already in use by user Misha123." (C)...
20.11.18 18:35
0 0

Но ведь само наличие такого ключа может человека скомпромитировать в определённой ситуации.
А когда пароль в голове - его снаружи не видно 😉
19.11.18 18:27
0 0

Пароль в голове открывается при помощи терморектального криптоанализатора.
20.11.18 12:52
0 0

почему эту схему нельзя использовать для авторизации - ведь оно же очевидно удобно и очень секьюрно.
Это используется для авторизации в WCF уже достаточно давно: docs.microsoft.com
19.11.18 18:27
0 0

В WCF (и его альтернативах) аутентификация и авторизация по сертификату используется, как правило, в соединениях сервис-сервис. Не для пользователей, т.к. очень сложно надёжно хранить сертификат с секретным ключом, и контролировать доступ к нему со стороны третьих приложений и третьих лиц. (Достоверный) сертификат сложно сгенерировать, его нужно обслуживать, его сложно отозвать.
Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.
Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft.
Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.
19.11.18 21:46
0 1

В WCF (и его альтернативах) аутентификация и авторизация по сертификату используется, как правило, в соединениях сервис-сервис. Не для пользователей, т.к. очень сложно надёжно хранить сертификат с секретным ключом, и контролировать доступ к нему со стороны третьих приложений и третьих лиц. (Достоверный) сертификат сложно сгенерировать, его нужно обслуживать, его сложно отозвать. Исключение - вызываемый сервис всегда подтверждает свою аутентичность сертификатом (без разглашения секретной части). А вот для аутентификации отдельных пользователей используются другие схемы, как правило, основанные на токенах (не путать с девайсами, упомянутыми в посте. Токен в схеме аутентификации - это структура данных, по умолчанию, непрозрачная для клиента, которая передаётся вместе с каждым запросом сервису), а задача аутентификации пользователя выносится за пределы этой схемы, и кладётся на плечи отдельного сервера, выдающего токен. Собственно, в том же Azure всё движется в сторону аутентификации и сервиса-клиента в соединениях сервис-сервис через тот же токен (managed service identity). Ибо это несёт свои неиллюзорные преимущества.Общепринятая схема аутентификации пользователей при доступе к веб-сервисам - OAuth 2.0, рекомендую изучить её для общего понимания задачи. На OAuth 2.0 работают и сервисы Google (Gmail, YouTube, etc - всё, где используется user identity), и Facebook, и Microsoft. Так же стоит отметить, что WCF умирает, и быстро вытесняется REST.
Ага и имеем ( ну будем тыкать пальцами в самые популрные сервисы) "вечные токены, полученные через Оauth2", приходилось видеть приложения где токен, а не логика его получения, были вписаны к код
19.11.18 22:40
0 0

Поломать можно всё, что угодно, безусловно. Я видел так же и сертификаты с секретным ключом, валяющиеся на открытых network shares, и пароли, прописанные в коде.
Но я всё равно не понимаю, в чём Ваше возражение моему комментарию.
20.11.18 01:15
0 2

Ага. А если у меня - iPhone, как мне эту флешку вставить 😄
19.11.18 18:26
0 1

Там написано, что оно умеет общаться с утройством по Блютусу или НФС.
19.11.18 18:38
0 0

А iPhone это умеет? 😉
19.11.18 21:27
0 3

Рост, если в айфоне этого нет, значит пользователям айфонов это не надо. Почему - ну придумай сам, чай не маленький
19.11.18 22:31
0 7

А iPhone это умеет? 😉
"не держите его так" (ц)
20.11.18 14:38
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3994
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 191
СМИ 2759
софт 930
США 132
шоу 6