Вроде да, не задействуется. Не суть. Резидентных ключей может храниться 25 штук, наверное, при создании нужно параметром указывать, на каком слоте это базируется.
Нет, ubikey построен на двух принципах: либо ключ не хранит никакой инфы о сайте, на котором нужно аутентифицироваться, и отвечает на challenge от этого сайта (что происходит после ввода логина/пароля), и если он верный, то сайт аутентифицирует пользователя; либо ubikey всё-таки хранит инфу в своей памяти, и тогда приложению даже не нужно предварительно сообщать логин/пароль, эта инфа уже есть в памяти ключа. Собственно, если мы создаём нерезидентный key handle (принцип 1), то для доступа по ssh нам необходим именно этот файлик. Если мы создаём резидентый key handle (принцип 2), то он у нас с собой всегда, т.к. он находится в памяти ключа, и мы всегда можем его оттуда вытащить.
Спасибо за статью, очень полезно. Думаю прикупить пару ключиков, но пока разбираюсь в теме и тонкостях использования, и не всё ещё понятно. Подскажите, пожалуйста, по нескольким вопросам:
Основной и запасной ключи в веб-сервисах привязываются отдельно друг от друга, т.е. "задублировать" их нельзя, это именно разные ключи. Для доступа по ssh по обоим ключам нужно просто на сервере добавить два публичных ключа, сгенерированных с обоих токенов, так?
Кажется, у новых yubikey есть т.н. "второй слот". Его функционал же не задействуюется в рамках статьи?
Не совсем понятна концепция резидентых ключей. Т.е. это некая "вторая половина" секретного ключа (который создаётся и хранится на yubikey), и которая является прямым преобразованием passphrase? Т.е. мы можем восстановить резидентный ключ на новом компе, потому что resident_key = priv_key + passphrase, так?
Я почему всегда считал точно так же, как и автор: то есть эти ключи работают в обе стороны (взаимно обратны), разве нет? И что есть цифровая подпись, как не шифрование (хэша) сообщения приватным ключом и его последующая проверка методом расшифрования публичным с дальнейшим сопоставлением (хэша) первоначального сообщения?
Тут даже вопрос не в использовании VPN в открытых сетях… Было бы интересно увидеть, на каком проценте устройств (в т.ч. мобильных) вообще есть настроенный хоть какой-нибудь VPN
В таких сетях его проще увести, "слушая" WiFi эфир — данные передаются, скорее всего, в простом HTTP. Но зачастую там проскакивают одноразовые пароли, приходящие по SMS, так что толку ноль от таких действий
Чёрт, LukaSafonov первее меня ответил, но я всё же дополню:
sslstrip, который «обманывает» клиента и заставляет его инициализировать HTTP-соединение вместо HTTPS. Грубо говоря, для борьбы с подобным злом разработчики современных браузеров придумали такую штуку, как HSTS-списки, согласно которым на упомянутые в них домены браузер обязан подключаться только по HTTPS. Всё бы хорошо, но относительно недавно в пакете sslstrip2 реализовали такую идею, как добавление к классическому sslstrip модификацию DNS-запросов клиента, согласно которым браузер вместо login.vk.com обращается, например, на auth.vk.com, что позволяет обходить правила, описанные в HSTS-списках браузера. Ну и, если мобильное приложение принимает все SSL-сертификаты, «соскакивать» с HTTPS не обязательно, можно просто «врезаться» в канал и подсунуть жертве свой сертификат. Наверное, в общем случае очень много нюансов можно придумать.
Тут я могу ошибаться: при подключении по WPA/WPA2 клиент обменивается с точкой доступа пакетами, в которых содержится хэш пароля. «Злая» точка доступа, безусловно, может его принять и пустить в интернет, но у неё таким образом появится информация, которую можно брутить. Правда, такой хэш доступен не только точке доступа, а вообще любому участнику радиоэфира, находящимся в момент инициализации соединения между жертвой и точкой доступа (или участнику, который путём «захламления» радиоэфира разорвёт текущее соединение, чтобы клиент и точка начали проводить его снова).
Насколько я знаю, телефоны при скане WiFi-сетей вокруг «светят» не MAC'ами привычных SSID'ов, а ими самими, то есть можно только увидеть список имён точек доступа, к которым клиент подсоединялся раньше. Соответственно, «злая» точка доступа в автоматическом режиме не сможет изменить свой MAC под клиента, опираясь на его запросы. Однако, гипотетически, MAC-адрес определённого SSID'а можно попробовать вытащить из открытых баз данных WiFi-сетей. Тем не менее, всё это вряд ли пригодится, потому что современные телефоны очень легко подключаются с точкам доступа, просто имеющие «доверенный» SSID, независимо от того, на каком MAC'е они сидели раньше.
Единого банк-клиента же нет у нас, каждый банк клепает свой. И нет никакой гарантии, что очередной небольшой банк, решивший быть крутым и модным, как остальные, не сваяет приложение, которое по "дырявости" будет как решето. Даже если оно будет использовать HTTPS, есть ряд куча возможностей накосячить: сделать приложение уязвимым для sslstrip или классического "агрессивного" MITM с подменой сертификатов, например. Тогда "злые" WiFi точки будут опасны для такого приложения.
Не совсем понятен смысл вашего комментария. Для минусующих, наверное, он выглядит так: «вы неудачники, а я на коне, статья интересная, но мне кажется, что она не нужна, потому что вам нужно решать ваши проблемы совсем другим путём». Выглядит, как нравоучения человека со стороны, такие вещи обычно воспринимаются негативно (тем более, что никто ничего нового из вашего комментария не узнал).
Вот эти ребята снимают интересные ролики про животных, данная тематика затрагивалась у них полтора года назад (надеюсь, видео приложится, если нет, то вот ссылка: www.youtube.com/watch?v=g1S-UfiXH48 )
Хм, у меня не открывается. Рассказывал другу про прелести биткоин, решил проверить, как там сайт, а он не работает. Неужели владелец смысля со всеми накопленными деньгами?
расстраивает, что в спорах люди способны на саркастичные высказывания в тематиках, в которых некомпетентны, и не способны даже банально погуглить сомнительные для них моменты
Хм… Отчасти понимаю ваше недовольство, но мне кажется, что его всё-таки больше, чем должно быть.
— Так полтергейстов не было же, в чём вопрос-то?
— Ну да, база недалеко, но там мир вообще странный — ИИ есть, а МРТ нет.
— Про любовь заявляла не просто учёный-физик, а учёный-физик-женщина, из-за которой человек погиб, которая находится в далёкой и очень важной экспедиции. Я не сексист, но мне кажется, что вполне реально, что она могла так искренне думать в своей непростой ситуации.
— Ну да, хэппи энд. Что ж такого? И зачем людям будущего давать ему мелок, если они знают, что он и с часовой стрелкой управится? Если есть проверенное решение, зачем его менять на другое? Я вот не совсем понимаю, почему могучие существа из пятого измерения сами не могли передать информацию его дочери (там что-то было про то, что они видят время по-другому и поэтому не могут это сделать), но не считаю это недочётом в фильме. С горизонтом событий тоже спорный момент, помню читал где-то, что у чёрных дыр (может, сверхмассивных только, а не обычных) плотность материи за горизонтом событий такая же, как у воздуха, или того меньше. Так что обшивка такое легко выдержит.
Я считаю, что научная фантастика перестаёт быть таковой, когда явно описывает невозможные события, но ей позволительно описывать то, что ещё нам неизвестно. Может, это не так красиво и не та суровая и жёсткая фантастика, как вам хотелось бы, но позволительно. Ту же «силу любви» можно выдать за интуицию, а её за результаты работы подсознания, которое может решать более сложные задачи, чем сознание, да и вообще всё в фильме можно свести к помощи всемогущих пятимерных существ. Мне кажется, удобно выбранная сюжетная линия
А, то есть при первом выходе провести такую проверку, а после уже не спрашивать? Ну да, такая схема уже лучше звучит, но всё равно подвергает повышенной опасности тех, кто пользуется Facebook из TOR'а. Получается как бы «общее местоположение», которым любой может воспользоваться. Как всегда, борьба удобства и безопасности
Что-то я не понимаю. Если они планируют отключить проверку от взлома аккаунта из-за выхода с «неизвестного» ранее местоположения, то это значит, что злодей, который уведёт мой пароль, сможет специально заходить на *.onion ресурс и обходить таким образом проверку? То есть это только облегчает несанкционированный доступ по украденным данным?
Спасибо, но титры сейчас будто не показываются. Если сейчас просмотреть, то в самом конце только логотип Acronis и… перепроверил только что без AdBlock — да, показываются титры. Такой подставы я от него не ожидал.
Спасибо за помощь!
Что ж за имя-то у неё? Уже почти месяц не снимаю галку «прочтено» в rss-фиде у этой новости, но сколько раз видео пересматривал, в нём или в комментариях к нему не могу найти упоминания имени. Где вы его нашли? На сайте вроде бы тоже нет
Отвечу сам себе.
Да.
Вроде да, не задействуется. Не суть. Резидентных ключей может храниться 25 штук, наверное, при создании нужно параметром указывать, на каком слоте это базируется.
Нет, ubikey построен на двух принципах: либо ключ не хранит никакой инфы о сайте, на котором нужно аутентифицироваться, и отвечает на challenge от этого сайта (что происходит после ввода логина/пароля), и если он верный, то сайт аутентифицирует пользователя; либо ubikey всё-таки хранит инфу в своей памяти, и тогда приложению даже не нужно предварительно сообщать логин/пароль, эта инфа уже есть в памяти ключа. Собственно, если мы создаём нерезидентный key handle (принцип 1), то для доступа по ssh нам необходим именно этот файлик. Если мы создаём резидентый key handle (принцип 2), то он у нас с собой всегда, т.к. он находится в памяти ключа, и мы всегда можем его оттуда вытащить.
Спасибо за статью, очень полезно. Думаю прикупить пару ключиков, но пока разбираюсь в теме и тонкостях использования, и не всё ещё понятно. Подскажите, пожалуйста, по нескольким вопросам:
Основной и запасной ключи в веб-сервисах привязываются отдельно друг от друга, т.е. "задублировать" их нельзя, это именно разные ключи. Для доступа по ssh по обоим ключам нужно просто на сервере добавить два публичных ключа, сгенерированных с обоих токенов, так?
Кажется, у новых yubikey есть т.н. "второй слот". Его функционал же не задействуюется в рамках статьи?
Не совсем понятна концепция резидентых ключей. Т.е. это некая "вторая половина" секретного ключа (который создаётся и хранится на yubikey), и которая является прямым преобразованием passphrase? Т.е. мы можем восстановить резидентный ключ на новом компе, потому что resident_key = priv_key + passphrase, так?
— Так полтергейстов не было же, в чём вопрос-то?
— Ну да, база недалеко, но там мир вообще странный — ИИ есть, а МРТ нет.
— Про любовь заявляла не просто учёный-физик, а учёный-физик-женщина, из-за которой человек погиб, которая находится в далёкой и очень важной экспедиции. Я не сексист, но мне кажется, что вполне реально, что она могла так искренне думать в своей непростой ситуации.
— Ну да, хэппи энд. Что ж такого? И зачем людям будущего давать ему мелок, если они знают, что он и с часовой стрелкой управится? Если есть проверенное решение, зачем его менять на другое? Я вот не совсем понимаю, почему могучие существа из пятого измерения сами не могли передать информацию его дочери (там что-то было про то, что они видят время по-другому и поэтому не могут это сделать), но не считаю это недочётом в фильме. С горизонтом событий тоже спорный момент, помню читал где-то, что у чёрных дыр (может, сверхмассивных только, а не обычных) плотность материи за горизонтом событий такая же, как у воздуха, или того меньше. Так что обшивка такое легко выдержит.
Я считаю, что научная фантастика перестаёт быть таковой, когда явно описывает невозможные события, но ей позволительно описывать то, что ещё нам неизвестно. Может, это не так красиво и не та суровая и жёсткая фантастика, как вам хотелось бы, но позволительно. Ту же «силу любви» можно выдать за интуицию, а её за результаты работы подсознания, которое может решать более сложные задачи, чем сознание, да и вообще всё в фильме можно свести к помощи всемогущих пятимерных существ. Мне кажется, удобно выбранная сюжетная линия
Спасибо за помощь!