Комментарии 59
Проверяет ли Google смену IMSI?
+2
Насколько мне известно — нет. Но можно убрать телефон в способах восстановления утраченного доступа оставив его только в двухэтапной аутентификации, тогда нельзя будет угнать аккаунт при перевыпуске SIM-карты.
Точно проверяет IMSI Альфабанк и WebMoney.
Точно проверяет IMSI Альфабанк и WebMoney.
+3
При этом ключи предустановлены при производстве и никогда не покидают токен
А каким образом убедиться, что там нормальные ключи теперь, а не 15 бит энтропии?
0
И даже более того — у производителя может лежать копия этого ключа. Поломают производителя, угонят базу ключей и абзац безопасности…
0
Не знаю. Вот неплохой тред об этом security.stackexchange.com/questions/71316/how-secure-are-the-fido-u2f-tokens
Еще есть разговоры что в используемом алгоритме эллиптических кривых NIST есть закладка classic.slashdot.org/story/13/09/11/1224252
Еще есть разговоры что в используемом алгоритме эллиптических кривых NIST есть закладка classic.slashdot.org/story/13/09/11/1224252
+1
Правильно ли я прочитал, что U2F умеет только NEO?
0
Нет, еще EDGE, EDGE-N, NEO-N и синий. Вот удобная таблица www.yubico.com/products/yubikey-hardware
По запросу «U2F» на amazon можно найти токены по 5 баксов.
Мелкие удобно утапливаются в USB порту и не торчат
По запросу «U2F» на amazon можно найти токены по 5 баксов.
Мелкие удобно утапливаются в USB порту и не торчат
+2
Спасибо, просто не увидел на сайте дистрибьтора Edge. Вот он как раз кажется оптимальным вариантом.
0
Мелкие на амазоне (поиск по YubiKey,Nano, U2F и комбинации) показал минимальную цену 25 баксов. Дешевле не нашел.
0
Отличный вариант потерять все и сразу вместе с буком!
+7
У меня такой, очень удобно пользоваться и носить )
0
del
0
При выборе Юбикейа имейте в виду, что до версии 1.0.9:
developers.yubico.com/ykneo-openpgp/SecurityAdvisory%202015-04-14.html
developers.yubico.com/ykneo-openpgp/SecurityAdvisory%202015-04-14.html
0
Я об этом написал. Это касается только функционала openpgp.
0
Ага, поздно заметил. Стал искать по 1.0.9 и не нашёл. Пардоньте. Вы, кстати, свою заменили? Долгая процедура?
0
В саппорте мне пообещали заменить, правда пока непонятно как, ведь в Украину они не шлют.
Тема на форуме об этом forum.yubico.com/viewtopic.php?f=26&t=1854
Тема на форуме об этом forum.yubico.com/viewtopic.php?f=26&t=1854
0
А какая процедура восстановления доступа ко всем сервисам при потере токена?
0
Это зависит от сервиса. Гугл выдает десяток запасных кодов.
0
Это зависит от конкретного сервиса, кто как хочет так и реализовывает.
Например гугл позволяет привязать сразу несколько токенов к одному аккаунту и обязательно требует активировать альтернативный способ авторизации, например OTP или по SMS. Еще есть одноразовые бекап-коды.
Например гугл позволяет привязать сразу несколько токенов к одному аккаунту и обязательно требует активировать альтернативный способ авторизации, например OTP или по SMS. Еще есть одноразовые бекап-коды.
0
del
0
Здесь вон вообще целый компьютер на линукс предлагают за 49 баксов www.amazon.com/s?marketplaceID=ATVPDKIKX0DER&me=A3V6YOGK9LVOC6&merchant=A3V6YOGK9LVOC6&redirect=true тоже вроде U2F поддерживает
0
НЛО прилетело и опубликовало эту надпись здесь
проверенным динамическим RSA-токеном
Каким например?
0
Часто USB закрыт на запись только для USB flash mass media storage устройств. Клавиатура/мышка обычно сидят на USB в виде HID. Если HID разрешено, то токен в виде HID должен работать.
Я только один раз встречал (да и то по-наслышке), что заблокировали USB полностью физическим отключением на мамке, а клавиатура/мышка были на PS/2.
Я только один раз встречал (да и то по-наслышке), что заблокировали USB полностью физическим отключением на мамке, а клавиатура/мышка были на PS/2.
0
НЛО прилетело и опубликовало эту надпись здесь
Про интернет-клубы не подумал, так как не сталкивался. Я больше про корпоративные решения.
По поводу RSA на смартфонах есть такие приложения:
Android
iOS
BlackBerry 10
Можно добавить RSA токен и пользоваться вместо свеого без страха, что забыл дома (учитывая, что обычно телефон мы забываем намного реже).
По поводу RSA на смартфонах есть такие приложения:
Android
iOS
BlackBerry 10
Можно добавить RSA токен и пользоваться вместо свеого без страха, что забыл дома (учитывая, что обычно телефон мы забываем намного реже).
0
НЛО прилетело и опубликовало эту надпись здесь
>то что популярно
Где используется SecureID?
Где используется SecureID?
0
с анализатором рисунка сетчаткПочти по теме — я недавно купил себе ноутбук с какой-то странной прорезью на корпусе.
Провёл по ней пальцем — оказалось, анализатор отпечатка пальца :)
Всегда считал это каким-то нелепым неудобным пижонством.
А теперь, попробовав, оценил: действительно, удобно!
0
Кто-нибудь в курсе, возможно ли проводить аутентификацию не нажимая кнопку, а автоматически?
0
Токены без кнопки выключаются после авторизации и их нужно вытаскивать и включать заново для каждого раза. Вот этот например www.amazon.com/Plug-up-International-U2F-SK-01-FIDO-Security/dp/B00OGPO3ZS/ref=sr_1_3?ie=UTF8&qid=1430150377&sr=8-3&keywords=U2F
0
Мне кажется с кнопкой как раз удобнее. Особенно вон та миниатюрная модель выше, утапливаемая в корпус.
0
Есть ли смысл юзать LastPass с таким ключиком?
0
Насколько анонимна такая штука — можно ли связать несколько сервисов по использованию одного и того же ключа?
Насколько она надежна — каков шансы, что токен внезапно умрет (от чего, кстати? статика? наработка на отказ?)?
Что делать с аккаунтом в таком случае, вроде бы, уже описали выше…
Насколько она надежна — каков шансы, что токен внезапно умрет (от чего, кстати? статика? наработка на отказ?)?
Что делать с аккаунтом в таком случае, вроде бы, уже описали выше…
0
А можно ли авторизоваться с телефона?
0
Где именно? В приложении/сайте на телефоне можно авторизоваться брелком с помощью NFC.
Телефоном как U2F токеном на компьютере, вероятно можно, если сделают SIM-карты с U2F или программную эмуляцию на телефоне.
Телефоном как U2F токеном на компьютере, вероятно можно, если сделают SIM-карты с U2F или программную эмуляцию на телефоне.
0
А как выглядит авторизация в приложении/сайте?
0
Точно так же, как и в десктопном браузере, правда насколько я знаю еще нет ни одной реализации U2F на смартфонах.
Но в теории достаточно будет просто поднести токен к телефону.
Вот типа такого grepular.com/An_NFC_PGP_SmartCard_For_Android
Но в теории достаточно будет просто поднести токен к телефону.
Вот типа такого grepular.com/An_NFC_PGP_SmartCard_For_Android
0
Спасибо большое за сообщение о баге и замене!
0
Мельком поискал «is it possible to clone Yubikey» — наткнулся на www.yubico.com/faq/backup-yubikey
Получается, если покупать Yubikey из «ненадежного» источника — стоит обязательно перезалить ключи шифрования, чтобы не оказалось, что там залиты ключи злоумышленника?
Получается, если покупать Yubikey из «ненадежного» источника — стоит обязательно перезалить ключи шифрования, чтобы не оказалось, что там залиты ключи злоумышленника?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Двухэтапная аутентификация в браузере с помощью USB-токена U2F