Comments 48
Задумка хорошая, правда, мало где можно применить. Хотя если бы все браузеры изначально имели поддержку данного плагина, можно было бы писать универсальную авторизацию.
Я пробовал на IE, Chrome, FF, Opera и Safari — работает. Со временем обещают поддержку Linux и Mac. Основная проблема — мобильные девайсы. Нет USB.
Точнее такую. Т.е. любой переходник с usb на mini usb, который есть в современных мобильных девайсах.
image
Не утверждаю, что это не так, просто не встречал современных девайсов без USB. Пример можно?
Эээ… < осторожненько > не всякий USB является USB-хостом. Я Кэп?
Хм, нет с собой ключа — не могу зайти на сайт? Не хорошо. Может лучше для авторизации использовать пароли, а токены для всяких критичных вещей типа финансовых операций или смены пароля.
Есть сайты где фактически каждая операция является критичной,, например финансовой.
Совершенно верно. Кроме того, в этой схеме могут быть использованы Рутокен ЭЦП, которые имеют сертификат ФСБ как СКЗИ класса КС2. Это позволит использовать подобные схемы там, где защита информации регламентируется нашим законодательствам.
А выдаются они как? В смысле что предназначены подписывать? Или это решения для сайтов, которые продают «брендированные» токены своим посетителям и иметь один токен, формирующий ЭЦП на все случаи жизни от аутентификации в соцсети до продажи/покупки недвижимости пока в наших условиях не реально?
Токен просто носитель, как его использовать зависит от задачи. Теоретически сделать единое средство аутентификации возможно и об этом много говорят — Универсальная электронная карта. Во многом это реализовано в Эстонии — http://www.id.ee/?lang=ru.
Неверно выразился, ну да ладно. Ссылка настроение испортила, зашёл на installer.id.ee/# и мало того, что увидел (на трёх языках, включая русский) репозитории (sic!) федоры, суси и бунты (автоматом, видимо, определило, что линукс), так ещё и исходники предлагают скачать!!!

У нас же всё отдано на откуп каким-то фирмам, которые на товары и услуги, которыми должны пользоваться, минимум, десятки миллионов ставят ценник в тысячи рублей, получая (в их идеале), только сейчас осознал, десятки миллиардов за реализацию опубликованных алгоритмов и форматов.
Думаю, на этом фронте так же как и везде в нашей стране — Рос Пил :) И основные деньги здесь не в продаже носителей, а в построении инфраструктуры.
Забыл уточнить. В представленной схеме может работать либо Рутокен Web (HID интерфейс) — 650 р. за штуку, либо Рутокен ЭЦП (CCID интерфейс, сертификат ФСБ) — 985 р. за штуку.
YubiKey же есть, который не требует никакого плагина в браузере www.yubico.com/yubikey. USB-флешка прикидывается USB-клавиатурой и вводит в текстовое поле одноразовый пароль — просто и безопасно.
… и здоровски перехватывается кейлоггерами, MitM и прочей нечистью.
Ну и пусть перехватывают — пароль-то одноразовый (каждый раз он меняется). Вся идея этих USB-ключей, чтобы провести аудентификацию по ненадёжным каналам с кейлогерами, сниферами и т. д. Решается тем, что секрет находится не в пароле, а зашит в аппаратную флешку.
А на основании чего генерится единоразовый пароль? Ну кроме зашитого ключа, что ещё?
В Yubikey одноразовый пароль генерируется на базе секрета и счётчика (он увеличивается при каждом использовании ключа). Сервер сохраняет какой был счётчик последний раз и не даёт использовать одноразовые пароли с меньшим счётчиком. Так образом после использования пароль становится недействительным и его перехват ничего не даст.

У других систем с одноразовым паролем иногда используется время. Но тут нужна синхронизация времени у USB-флешки и сервера.

Ну а вообще все USB-ключи используют технологию одноразовых паролей с той или иной вариацией.
YubiKey — оригинальное решение. Однако сравнивать эти два решения некорректно. YubiKey запрограммирован на заводе и предлагаемое в таком случае решение по аутентификации предусматривает использование Yubico Online Validation Service, своего рода OpenId сервиса. В случае использования собственного сервера проверки OTP, необходимо предварительно запрограммировать YubiKey и только потом передать пользователю. Такой подход не позволит использовать одно устройство для аутентификации на разных ресурсах.
Ну другие ресурсы запрашивает проверку пользователя у серверов YubiKey — да, типа OpenID. Я честно говоря не очень понял как эта технология позволяет выполнить проверку пользователя сервером самостоятельно. Само собой, взлом одного из серверов, где я аудентифицруюсь с помощью USB-ключа не должно компрометировать другие сервера.
Есть специальные программы для инициализации YubiKey ключей. Во время такой инициализации переписывается секрет и соответственно ответная часть этого секрета может быть помещена в БД собственного сервера проверки OTP.
Нет, я спрашивал про систему из статьи :).

В YubiKey можно просто другой секрет поместить (скопировать его вроде нельзя).
В описанной в статье схеме при каждой регистрации на токене формируется новая ключевая пара. На сервере сохраняется публичный ключ. Раскрытие его не критично для безопасности.
Понятно. Хотя такую систему на сервере сложнее делать, что использовать готовый сервис YubiKey.
Думаю, объем работ сопоставим. Для интеграции фактически необходимо добавить в БД пользователей поле для хранение публичного ключа и подключить библиотеку для проверки ЭЦП. И кстати, есть поддержка такой аутентификации в CMS NetCat, Joomla и Wordpress.
А для каких языков есть библиотека, где всё работает из коробки?
Как я понял, от MITM не защищает?
Нафик, проще уж по SMS одноразовые пароли посылать — ничего не надо и на мобильных устройствах работает.

Другое дело — поддержка НЕОТКАЗУЕМОСТИ (мол, уважаемый, никто ваш пароль не крал — это вы сами в базе накосячили вчерась!)
Ни прослушка трафика, ни его модификация (атака MitM) не приведет к краже аутентификационных данных.
А как же RADIUS? Используем его для аутентификации в браузере, ssh, svn и т.д.
Кроссбраузерный плагин — умеет работать с usb-токеном, имеет программный интерфейс доступа к криптографическим функциям.

Можно попробнее, что за плагин такой?
По наличию
<object id="cryptoPlugin" type="application/x-rutoken" width="0" height="0">

в теле тестовой страницы я так понял, что это обычный NPAPI плагин. Тем не менее, вся «кроссбраузерность» ограничивается платформой Windows.

Не требует административных прав для установки.

Интересно, как вы представляете себе установку данного плагина без административных прав, если большинство браузеров загружает их из «Program files» или %SYSTEMROOT%?
Да, это обычный Npapi плагин и ActiveX для IE. Кроссбраузерность и кроссплатформенность вещи по сути разные. Плагин действительно кроссбраузерный, работает в Windows под всеми распространенными браузерами. Выпуск плагинов под Linux и Мас ожидается.
Установка плагина действительно не требует административных прав (можно скачать плагин и попробовать). Установка производится для currentuser.
Интересно, а есть ли защита от «проксирования» USB? Т.к. токен один, а запросы на него прилетают с нескольких компьютеров через прокси на микроконтроллере? :-)
ru.wikipedia.org/wiki/EToken

но это ещё не всё когда была необходимость в данных игрушках покупка данного девайса в Украине заняла 2 месяца )))

Регистрация фирмы официальной оплаты и т.д.

вот цены в ру
syssoft-group.ru/catalog/view/458/

в уа гораздо дороже! Несправедливо где то до сих пор валяются 4 штучки
Only those users with full accounts are able to leave comments. Log in, please.