Как стать автором
Обновить

Комментарии 30

У каждой технологии есть цена. Если главный технолог не сможет выключить Главную Установку потому что он забыл токен дома и несколько цистерн чёрной жижи превратится в другую чёрную жижу меньшей ценности, то это цена 2FA (А вовсе не вина технолога, что «забыл токен»).
Ну таинственную «Главную Установку» включает не главный технолог (скорее уж, главный инженер). Более того, если мы говорим про НПЗ, то там большинство производств — непрерывные.
Но если не придираться к словам, то в случае забывания токена дома, сотрудник может либо обратиться с сисадмину и тот выдаст новый, либо возьмет новый чистый токен и через консоль самообслуживания выпишет себе новый сертификат.
В обоих случаях временные затраты — минут 20. Если сотрудник забудет пропуск (равная вероятность с забыванием токена), то временный он будет получать дольше.
При этом для больших компаний в том числе из-за подобных ситуаций стоит внедрить систему управления сертификатами и токенами (типа Рутокен KeyBox)/
Моя мысль была в том, что 2FA — это метод осложнить доступ к системе. Осложняется он с благими намерениями, но факт, что осложняется. И чем более сложные устройства и процедуры доступа, тем медленее время реакции в аварийных ситуациях.
На самом деле доступ упрощается!
Вставить токен и ввести простой PIN-код на мой взгляд гораздо проще, чем вводить сложный пароль.
И потом — ключи тоже усложняют доступ домой, но открытыми мы двери почему-то не оставляем…
Вы не поверите, но есть моменты, когда лучше оставить дверь открытой, чем рисковать закрытой дверью.

Насчёт «pin-кода» — это уже не двухфакторая авторизация. Двухфакторая — это пароль и токен. Если у вас pin вместо пароля, то это уже фигня на палочке (usb stick).
НЛО прилетело и опубликовало эту надпись здесь
… после чего выясняется, что этот токен уязвим к атакам на перезагрузку и 5 попыток превращается в миллион. Именно с помощью такой уязвимости ломали старые iphone'ы, которые «считали» попытки в софте. Как только попытка не проходило, устройство силком ребутили не давая времени отреагировать на неудачную попытку.

Их багфикс был в увеличении счётчика в защищённой области памяти до того, как проверить пин.
НЛО прилетело и опубликовало эту надпись здесь
А что делает аппаратный токен при мгновенном исчезновении питания или коротком замыкании по шине питания?
НЛО прилетело и опубликовало эту надпись здесь
А они так делают? Тут рядом был хороший топик про выжигание на микрухах лишних дорожек для как раз таких вот мероприятий. И нужно для этого вполне разумное количество оборудования (условный НПЗ может быть достаточно лакомой целью для диверсии, чтобы оплатить несколько десятков килобаксов за взлом токена).
Именно так. Счетчик попыток декрементируется до проверки. От атак на извлечение ключа по побочным каналам защита тоже реализована

Ну-ну… Расскажите разработчикам стандарта Fido2, что пароль обязателен. Они как раз от него предложили избавиться.
С ним проблема в том, пароль передаётся на сервер, где может быть перехвачен.
А PIN- код проверяется исключительно локально.

Fido2 вообще не рассматривает атаку на токен как серьёзную. А зря. Если пароль к порносайтику/хабру там хранить можно, то если говорить про индустриальную защиту, то атака на спёртый токен, с последующим проникновением в сеть — это очевидный вектор.
Вы как раз подтверждаете мою точку зрения этой ссылкой. Цитата:
Аппаратные токены лишены этих недостатков. Чтобы войти в свой аккаунт с нового устройства, пользователь должен ввести пароль, а затем вставить в USB-порт токен и нажать кнопку на нем (для телефонов и планшетов продаются версии с поддержкой Bluetooth).

Т.е. пароль плюс токен. Если кто-то просто украл токен, то никакая атака на токен (даже успешная) не даст возможности получить доступ.
Чтобы провести атаку на спертый токен, нужны ресурсы: время и оборудование. Время означает возможность атакуемой стороны заблокировать доступ к аккаунту, либо перегенерировать ключи доступа, что сделает атаку на спертый токен бессмысленной. Плюс к тому, конкретное намерение. Целевая атака другими средствами будет едва ли не более успешной и дешевой
Человек в отпуске — пара недель на расковыривание токена. Вполне достаточно. В отсутствие пароля, почти идеальная стратегия для проникновения в сеть.

См выше ссылку на гугль, у которого как раз пароль плюс токен.
Никто не мешает владельцу ресурса совмещать пароль и токен. Это во-первых. Во-вторых, можно строить и другие предположения, типа отпуска. На время отпуска можно учетку блокировать, хранить токен в надежном месте и не раскидывать его. И так далее. Я понимаю, что сама идея может быть вам противна, имеете право
Мысль на самом деле верная. Любая аутентификация осложняет доступ к системе. Куда проще было бы вообще не заморачиваться и давать доступ кому угодно.
Намерения на самом деле не только благие, поскольку идентификация и аутентификация, в частности, служат цели определить, кто должен нести непосредственную ответственность за те или иные действия в системе.
Что касается сложности процедур. Вовсе не обязательно требовать от пользователя аутентификации в каждой прикладной системе. Так обычно поступают разработчики, которые не смотрят дальше разрабатываемой системы. А на самом деле существует достаточное количество способов однократной аутентификации. К примеру, при загрузке операционной системы или при открытии сеанса. Но это же надо работать, чтобы обеспечить такого рода интеграцию прикладной системы. Ну и велосипедов с костылями при реализации собственной парольной аутентификации наизобретать — какой разработчик от такого откажется? :)
НЛО прилетело и опубликовало эту надпись здесь
И будут пароли, которые сложно запомнить, но легко украсть…
Обычно такого рода полномочия резервируются во избежание подобных инцидентов. Кроме того, на таких производствах есть диспетчерские службы, которые и нужны для того, чтобы предотвращать инциденты и реагировать на них. Инженеры диспетчерских служб обычно уже «залогинены» в систему с нужным набором полномочий. Это позволяет реагировать с нужной скоростью.
Ну и не стоит забывать, что вниманию читателей представлено своего рода литературное произведение, автор которого имеет право на определенные вольности. И описывается не реальная какая-то система, а некоторые принципы или идеи. Поэтому «все персонажи и события вымышлены, а совпадения случайны». При проектировании реальных систем совершенно необходимо учитывать всевозможные риски сродни обозначенному. Потому что если кто-то сделает так, как написано у Жюля Верна, тот сам и виноват :)
Интересно, сколько раз внедрителям 2FA желали гореть в аду?
Неужели воткнуть токен настолько сложно?
Как вариант, можно использовать новую разработку с NFC. Просто кладёте карточку на считыватель.
Оффтопик: всем, кто внедрял что-то новое, регулярно желали гореть в аду. Вспомните, например, луддитов.
Ладно когда это токен, я, в целом, не против (сейчас он у нас ещё совмещён с пропуском, вообще удобно), но до абсурда же доходит — ездил я в офис заказчика недавно, так у них чтобы комп разблокировать надо ввести код, который тебе говорит робот голосом по телефону, типа капчи.
А ещё огромное количество сервисов под видом безопасности с 2FA вымогают номер телефона (привет, яндекс), что тоже любви не прибавляет. Мне вообще плевать на безопасность 99.9% моих аккаунтов, но нет, надо или набить полный телефон разнообразных приложений, или не пользоваться сервисами.
Так кто бы спорил, что все программные реализации двухфакторной аутентификации — зло.
Надо внедрять только аппаратные.
Ох, а сколько раз такое желали персонажам, которые велят пользователям для каждой учетки придумывать 16-символьные случайные пароли каждые пару месяцев :) Все мы там будем ;)
По поводу прецедентов…
На Payoneer постоянно воруют деньги со счетов. Не для кого это не новость. Шквалы воровства случаются с завидной регулярностью. Интернет забит сообщениями «Угнали деньги с Пионер!» Но у Payoneer 2FA нет и никто этим заниматься не собирается. Любые вопросы по внедрению 2FA игнорируются.
ЧТО НУЖНО СДЕЛАТЬ, ЧТОБЫ ЗАСТАВИТЬ PAYONEER ВНЕДРИТЬ 2FA?
Вероятно, не пользоваться им…
А работать с теми, кто прислушивается к требованиям клиентов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий