Комментарии 59
Проверяет ли Google смену IMSI?
Насколько мне известно — нет. Но можно убрать телефон в способах восстановления утраченного доступа оставив его только в двухэтапной аутентификации, тогда нельзя будет угнать аккаунт при перевыпуске SIM-карты.
Точно проверяет IMSI Альфабанк и WebMoney.
Точно проверяет IMSI Альфабанк и WebMoney.
При этом ключи предустановлены при производстве и никогда не покидают токен
А каким образом убедиться, что там нормальные ключи теперь, а не 15 бит энтропии?
И даже более того — у производителя может лежать копия этого ключа. Поломают производителя, угонят базу ключей и абзац безопасности…
Не знаю. Вот неплохой тред об этом security.stackexchange.com/questions/71316/how-secure-are-the-fido-u2f-tokens
Еще есть разговоры что в используемом алгоритме эллиптических кривых NIST есть закладка classic.slashdot.org/story/13/09/11/1224252
Еще есть разговоры что в используемом алгоритме эллиптических кривых NIST есть закладка classic.slashdot.org/story/13/09/11/1224252
Правильно ли я прочитал, что U2F умеет только NEO?
Нет, еще EDGE, EDGE-N, NEO-N и синий. Вот удобная таблица www.yubico.com/products/yubikey-hardware
По запросу «U2F» на amazon можно найти токены по 5 баксов.
Мелкие удобно утапливаются в USB порту и не торчат
По запросу «U2F» на amazon можно найти токены по 5 баксов.
Мелкие удобно утапливаются в USB порту и не торчат
Спасибо, просто не увидел на сайте дистрибьтора Edge. Вот он как раз кажется оптимальным вариантом.
Мелкие на амазоне (поиск по YubiKey,Nano, U2F и комбинации) показал минимальную цену 25 баксов. Дешевле не нашел.
Отличный вариант потерять все и сразу вместе с буком!
У меня такой, очень удобно пользоваться и носить )
del
При выборе Юбикейа имейте в виду, что до версии 1.0.9:
developers.yubico.com/ykneo-openpgp/SecurityAdvisory%202015-04-14.html
developers.yubico.com/ykneo-openpgp/SecurityAdvisory%202015-04-14.html
Я об этом написал. Это касается только функционала openpgp.
Ага, поздно заметил. Стал искать по 1.0.9 и не нашёл. Пардоньте. Вы, кстати, свою заменили? Долгая процедура?
В саппорте мне пообещали заменить, правда пока непонятно как, ведь в Украину они не шлют.
Тема на форуме об этом forum.yubico.com/viewtopic.php?f=26&t=1854
Тема на форуме об этом forum.yubico.com/viewtopic.php?f=26&t=1854
А какая процедура восстановления доступа ко всем сервисам при потере токена?
Это зависит от сервиса. Гугл выдает десяток запасных кодов.
Это зависит от конкретного сервиса, кто как хочет так и реализовывает.
Например гугл позволяет привязать сразу несколько токенов к одному аккаунту и обязательно требует активировать альтернативный способ авторизации, например OTP или по SMS. Еще есть одноразовые бекап-коды.
Например гугл позволяет привязать сразу несколько токенов к одному аккаунту и обязательно требует активировать альтернативный способ авторизации, например OTP или по SMS. Еще есть одноразовые бекап-коды.
del
Здесь вон вообще целый компьютер на линукс предлагают за 49 баксов www.amazon.com/s?marketplaceID=ATVPDKIKX0DER&me=A3V6YOGK9LVOC6&merchant=A3V6YOGK9LVOC6&redirect=true тоже вроде U2F поддерживает
НЛО прилетело и опубликовало эту надпись здесь
проверенным динамическим RSA-токеном
Каким например?
Часто USB закрыт на запись только для USB flash mass media storage устройств. Клавиатура/мышка обычно сидят на USB в виде HID. Если HID разрешено, то токен в виде HID должен работать.
Я только один раз встречал (да и то по-наслышке), что заблокировали USB полностью физическим отключением на мамке, а клавиатура/мышка были на PS/2.
Я только один раз встречал (да и то по-наслышке), что заблокировали USB полностью физическим отключением на мамке, а клавиатура/мышка были на PS/2.
НЛО прилетело и опубликовало эту надпись здесь
Про интернет-клубы не подумал, так как не сталкивался. Я больше про корпоративные решения.
По поводу RSA на смартфонах есть такие приложения:
Android
iOS
BlackBerry 10
Можно добавить RSA токен и пользоваться вместо свеого без страха, что забыл дома (учитывая, что обычно телефон мы забываем намного реже).
По поводу RSA на смартфонах есть такие приложения:
Android
iOS
BlackBerry 10
Можно добавить RSA токен и пользоваться вместо свеого без страха, что забыл дома (учитывая, что обычно телефон мы забываем намного реже).
TOTP намного более популярен, стандартизирован. Поддерживается Google, Github, Paypal, Dropbox, Evernote, Amazon, Heroku. Полно реализаций как аппаратных, так и софтовых. Зачем нужен этот secureID в таком случае?
Как я понял, преимущество проприетарного RSA SecurID в том, что он уже есть на руках у ntfs1984. Это и обсуждается.
RSA SecurID является достаточно популярным токеном в корпоративном мире.
RSA SecurID является достаточно популярным токеном в корпоративном мире.
НЛО прилетело и опубликовало эту надпись здесь
>то что популярно
Где используется SecureID?
Где используется SecureID?
с анализатором рисунка сетчаткПочти по теме — я недавно купил себе ноутбук с какой-то странной прорезью на корпусе.
Провёл по ней пальцем — оказалось, анализатор отпечатка пальца :)
Всегда считал это каким-то нелепым неудобным пижонством.
А теперь, попробовав, оценил: действительно, удобно!
Кто-нибудь в курсе, возможно ли проводить аутентификацию не нажимая кнопку, а автоматически?
Токены без кнопки выключаются после авторизации и их нужно вытаскивать и включать заново для каждого раза. Вот этот например www.amazon.com/Plug-up-International-U2F-SK-01-FIDO-Security/dp/B00OGPO3ZS/ref=sr_1_3?ie=UTF8&qid=1430150377&sr=8-3&keywords=U2F
Мне кажется с кнопкой как раз удобнее. Особенно вон та миниатюрная модель выше, утапливаемая в корпус.
Есть ли смысл юзать LastPass с таким ключиком?
Насколько анонимна такая штука — можно ли связать несколько сервисов по использованию одного и того же ключа?
Насколько она надежна — каков шансы, что токен внезапно умрет (от чего, кстати? статика? наработка на отказ?)?
Что делать с аккаунтом в таком случае, вроде бы, уже описали выше…
Насколько она надежна — каков шансы, что токен внезапно умрет (от чего, кстати? статика? наработка на отказ?)?
Что делать с аккаунтом в таком случае, вроде бы, уже описали выше…
А можно ли авторизоваться с телефона?
Где именно? В приложении/сайте на телефоне можно авторизоваться брелком с помощью NFC.
Телефоном как U2F токеном на компьютере, вероятно можно, если сделают SIM-карты с U2F или программную эмуляцию на телефоне.
Телефоном как U2F токеном на компьютере, вероятно можно, если сделают SIM-карты с U2F или программную эмуляцию на телефоне.
А как выглядит авторизация в приложении/сайте?
Точно так же, как и в десктопном браузере, правда насколько я знаю еще нет ни одной реализации U2F на смартфонах.
Но в теории достаточно будет просто поднести токен к телефону.
Вот типа такого grepular.com/An_NFC_PGP_SmartCard_For_Android
Но в теории достаточно будет просто поднести токен к телефону.
Вот типа такого grepular.com/An_NFC_PGP_SmartCard_For_Android
Спасибо большое за сообщение о баге и замене!
Мельком поискал «is it possible to clone Yubikey» — наткнулся на www.yubico.com/faq/backup-yubikey
Получается, если покупать Yubikey из «ненадежного» источника — стоит обязательно перезалить ключи шифрования, чтобы не оказалось, что там залиты ключи злоумышленника?
Получается, если покупать Yubikey из «ненадежного» источника — стоит обязательно перезалить ключи шифрования, чтобы не оказалось, что там залиты ключи злоумышленника?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Двухэтапная аутентификация в браузере с помощью USB-токена U2F