Как стать автором
Обновить

Комментарии 25

С сайта Yubikey:
We cannot currently ship to:
China, Afghanistan, Russia, Ukraine, North Korea, Iran, Sudan, Cuba, or Syria
Скорее всего какая-нибудь ФСБшная сертификация на криптосредства мешает слать напрямую, но у них есть официальный дистрибьютор в России (с нехилой такой наценкой).
У Yubikey вроде бы есть официальный дистрибьютор в России. Но цены абсолютно негуманные.
Угу, неизвлекаемый приватный ключ сэмулировать…
Но можно по сети пробросить один ключ на сотню компьютеров. Но можно ограничивать количество логинов с одного колюча в единицу времени.
Вот вот. Я не против чтобы бот от моего имени выполнял рутинные операции в интернете, но это не понравится сайтам которые хотят откручивать рекламу живому пользователю.

Сэмулировать не получится, т.к. проверяется, что ключ подписан производителем. И по этой же причине обычному человеку не получится использовать такие устройства, как Trezor либо самодельные. Потому что в этом случае ключ будет без подписи производителя.

А ещё cf отказался принять мой андроид-телефон в качестве ключа. Современные андроиды/iOS это умеют, но правда в рамках самого устройства, использовать их для аутентификации на ПК нельзя

Встроенный Chrome'овский Webauthn на базе Windows Hello — тоже не работает. YubiKey работает.

НЛО прилетело и опубликовало эту надпись здесь

Осталось подключить апи чипированых паспортов к этой системе и, вуаля, готовая авторизация по паспорту в интернете

Т.к. в обычном U2F токене ключ прошит постоянный, то получаем гарантированную идентификацию пользователя. Понятно, что токены можно регулярно менять, но это недёшево.

Не все так плохо.
Судя по статье Cloudflare


More importantly, this challenge protects users' privacy since the attestation is not uniquely linked to the user device. All device manufacturers trusted by Cloudflare are part of the FIDO Alliance. As such, each hardware key shares its identifier with other keys manufactured in the same batch (see Universal 2nd Factor Overview, Section 8). From Cloudflare’s perspective, your key looks like all other keys in the batch.
Вообще, идея странная. Почему только эти ключи без полной поддержки открытых стандартов?
Получается, что вся защита сводится к стоимости ключа.
А что мешало просто добавить регистрацию по стандартному FIDO U2F без привязки к производителю? Взял ключ, зарегистрировал на капче — пользуйся в удовольствие.
Ну, и секурность в плане анонимности запредельная — пользователя можно будет гарантированно и однозначно идентифицировать на различный ресурсах даже без регистрации — тупо по прохождению капчи. Молодцы, чё!
Тут уж два варианта: либо анонимность (и боты-спамеры, прикидывающиеся людьми), либо интернет строго по паспорту аппаратному ключу (но зато никаких или почти никаких ботов). Подозреваю, что большинство рядовых пользователей (не гиков-айтишников) выберет второй вариант.
либо анонимность, либо интернет строго по паспорту аппаратному ключу
Вы забыли третий вариант — оставить капчу.
А смысл? Очень скоро (~ 5-10 лет) боты обгонят людей в простейших задачах распознавания (текста, картинок, звуков).

Можно, конечно, выводить на капче систему дифференциальных уравнений. Но и такое бот решит быстрее человека.
Подозреваю, что большинство рядовых пользователей (не гиков-айтишников) выберет второй вариант.

подозреваю, что большинству рядовых пользователей плевать на ботов с высокой колокольни

добавить регистрацию по стандартному FIDO U2F без привязки к производителю

U2F 1.0: Verifying That a U2F Device Is 'genuine' — это описано в стандарте.


Идея Cloudflare в том, что стоимость токена будет ограничивать злоумышленников. Именно потому, что в хардварном токене открытый ключ подписан производителем. А в эмуляторах и самодельных токенах — не подписан.


С другой стороны получаем угрозу анонимности в интернете. Да, пока токены относительно дорогие и мало у кого есть, но если эта идея взлетит, то в ближайшие годы мы сможем увидеть тот самый «интернет по паспорту».

Все ясно, очередной зонд «для вашего удобства».

image
Это-же гениальный способ сделать интернет по паспорту! Главное нашим властям о нём не говорите.
Да толку-то. Это работает только с cloudflare, а поганой рекапчей заражено пол-интернета. Капля в море. И ради этой капли покупать недешёвый ключ.
А получился классический такой, почти эталонный костыль. Который ещё в перспективе может принести больше неудобств и откровенных проблем, чем пользы. Нет уж, я лучше буду дальше раз в неделю ребусы разгадывать по старинке.

Будьте здоровы!
> каптчи
Аж нос защекотало, пока читал. Вроде общепринято «капча» же.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории