mkirya 2 авг 2015 в 22:29

Многофакторный LastPass

4 мин

14K

Блог компании «Актив»Информационная безопасность*

+13

Комментарии 15

druf 2 авг 2015 в 23:55

Интересный способ улучшения безопасности, спасибо за информацию.

Скажите, пожалуйста, каким образом, в случае использования данного подхода, разблокировать пароли в LastPass на телефоне под Андроидом?

nmk2002 3 авг 2015 в 13:53

Теоретически можно использовать токен с интерфейсом micro-USB или Bluetooth.
Но мне кажется, что для подобных задач гораздо удобнее — одноразовые пароли.
Хотя приложение во многих случаях удобнее и проще, с точки зрения безопасности, аппаратный генератор одноразовых паролей более предпочтителен.

nKognito 3 авг 2015 в 15:52

Абсолютно не рекламирую, но бОльшая часть коллег на андроиде использует вот такие вот ключики, некоторые из которых оборудованы NFC. Довольно удобно. На своем же айфоне прикрутил отпечатки пальцев пока что

ProRunner 3 авг 2015 в 09:13

Кстати, по поводу Google Authenticator и прочих OTP — есть какая-то возможность переносить настройки с одного телефона на другой (или на тот же самый после перепрошивки), или нужно заранее предусмотреть обходные пути (типа смс или одноразовых паролей), чтобы перенастроить те приложения, где он используется?

isden 3 авг 2015 в 10:04

В GA секреты лежат в sqlite базе. Если есть рут — то без проблем, емнип. Недавно гуглил на эту тему, находится легко все.

-1

mikes 3 авг 2015 в 13:42

authy используйте :)

121212121 3 авг 2015 в 10:37

Keepass + синхронизация базы на нескольких машинах.
А то мыши и кактус вспоминаются иначе.

-3

iroln 3 авг 2015 в 12:54

Для keepass есть мобильные приложения и расширения для браузеров? Для 1Password, например, есть, хоть он и не дешёвый, зато удобный.

-1

VokaMut 3 авг 2015 в 12:58

На оф. сайте есть список под все платформы:
keepass.info/download.html

mikes 3 авг 2015 в 13:44

тут получается удобство против безопасности… таки keepass отстает в этом плане

VokaMut 3 авг 2015 в 13:57

По сути домохозяйкам главнее удобство, чем безопасность, да и если пароли украдут то невелика потеря(соцсети, почта, кулинарные форумы, etc...). А вот если украдут пароли у разработчика, то тут будет ах и ох(гитхаб, панелей управления, etc...).
Я на стороне безопасности и лучше я буду отвечать за свою безопасность, чем неизвестные люди, неизвестно как на неизвестном сервере.

mikes 3 авг 2015 в 14:14

Разработчики они тоже люди. :)
Если инструмент неудобен в работе, хотя и надежен, ему будет тяжело получить популярность. Несомненно ставить надежность надо во главе, но и про удобство использования не стоит забывать.

mkirya 3 авг 2015 в 17:20

Как опенсорсная альтернатива. Хотя LastPass пользоваться намного приятнее.
С Keepass также можно использовать токены и смарт-карты.
Краткий мануал: dev.rutoken.ru/pages/viewpage.action?pageId=13795543

mkirya 3 авг 2015 в 18:08

Информация там не очень подробная, скоро обновим. Может быть также оформим и в виде статьи. Вместо RSACertKeyProviderPlugin можно использовать CertKeyProvider.
Однако, повторюсь — LastPass решение более элегантное и «коробочное».

Evgeny42 27 июн 2017 в 16:32

LastPass решение более элегантное и «коробочное»

С скомпрометированной репутацией. Честно говоря, даже было странно читать про LastPass на хабре, но потом стало понятно :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий