Comments 45
я за кольцо!
«А одно — Всесильное, властелину Сервера» (я в таком переводе в детстве читал)
Для восстановления кольца, пришлите, пожалуйста, палец в службу техподдержки…
было бы, мне кажется, практично иметь usb-ключ который так же работал и по Bluetooth — так его можно было бы использовать с мобильными устройствами, и легко заряжать. NFC неудобно — нужно чтобы устройство всегда было рядом с телефоном, а с Bluetooth можно быть в удобном удалении и в то же время иметь возможность подключения других устройств. Ну и всегда должен быть fallback к доступу через обычную авторизауцию — пароль, серию вопросов,…
спасибо за перевод статьи. для тех, кто легко читает по английски, приведу ссылки на пару документов, показавшихся мне интересными:
1. статья с инфографикой, поясняющая почему парольная аутентификация пользователей устарела.
B частности, проблема особенно обостряется из-за повсеместного разрешения сотрудникам корпораций работать с корпоративными программами и данными на своих мобильных устройствах (смартфонах, планшетниках); тенденция, получившая термин «Bring Your Own Device» (BYOD).
2. последний новостной релиз от FIDO Alliance, перечисляет компании, которые недавно присоединились к этому Альянсу и технологии, которые будут поддерживаться спецификациями от FIDO, включая (разрешите не переводить):
1. статья с инфографикой, поясняющая почему парольная аутентификация пользователей устарела.
B частности, проблема особенно обостряется из-за повсеместного разрешения сотрудникам корпораций работать с корпоративными программами и данными на своих мобильных устройствах (смартфонах, планшетниках); тенденция, получившая термин «Bring Your Own Device» (BYOD).
2. последний новостной релиз от FIDO Alliance, перечисляет компании, которые недавно присоединились к этому Альянсу и технологии, которые будут поддерживаться спецификациями от FIDO, включая (разрешите не переводить):
- biometrics such as fingerprint scanners
- voice and facial recognition
- Trusted Platform Modules (TPM)
- USB Security Tokens
- Near Field Communication (NFC)
- One Time Passwords (OTP) и др.
Это чтобы проще было за пользователями следить? Не хочу! Мне, например, удобно держать множество учеток, по одной на каждом сайте, и нехрен каждой собаке знать, что ник_1 с одного сайта и ник_2 с другого — это один и тот же человек. Не знаю почему, но не хочу. Для менее параноидальных уже вроде есть возможность логиниться под «социальными» учетками — вот там хоть сетчатку сканируйте, но оставьте возможность пользоваться услугами анонимно!
Если использовать биометрические данные, то потребуется дополнительное железо для снятия данных.
Если же говорить о программном или аппаратном комплексе, то для этого уже изобрели RSA-ключи и брелоки с одноразовыми паролями.
Основная и главная фишка пароля в том, что его можно хранить в мозгу без дополнительных устройств и программных комплексов. Для того, чтобы нейтрализовать «устаревшие» пароли, имхо, потребуется найти способ, обладающий таким же качеством.
Если же говорить о программном или аппаратном комплексе, то для этого уже изобрели RSA-ключи и брелоки с одноразовыми паролями.
Основная и главная фишка пароля в том, что его можно хранить в мозгу без дополнительных устройств и программных комплексов. Для того, чтобы нейтрализовать «устаревшие» пароли, имхо, потребуется найти способ, обладающий таким же качеством.
Вторая фишка — его легко поменять в случае компроментации. В принципе, при развитии тренда биометрические сканеры могут стать штатными устройствами, но вот что делать при их компроментации не понятно. Перспективно выглядят, имхо, голосовые пароли, то есть и кодовая фраза, которую легко поменять, и биометрия в одном флаконе, но что будет если простудился, например, или напился :)? Насколько высок и как постоянен будет уровень ложноотрицательных срабатываний?
Ну помоему уже есть такие плагины, которые хранят пароли от остальных сайтов под мастер-паролем у себя на сервере, х**и велик то изобретать?
LastPass, например
Всё равно всё завязано на пароли.
Я все в толк не возьму че в них плохого то?
Относительно легко перехватить (кейлогеры, сниферы и т. п., в конце-концов просто за пальцами наблюдать глазами или камерой). Сложность запоминания кучи сложных паролей для разных ресурсов, а завязывать всё на один (хоть просто один пароль, хоть мастер-пароль) небезопасно..
Ну да а украсть электронный ключ или подделать, как подделывают банковские карты конечно же нельзя, его так же можно сломать и потерять, и как потом быстро вернуть доступ — богу известно. Пароли конечно имеют недостатки, но пока что успешно используются повсеместно. Нужен метод аутентификации не подразумевающий усложнение процесса выше чем ввоод пароля.
Я против электронных ключей (токенов, карт и т. п.) при бытовом использовании. Наиболее оптимальным мне видится считывание мыслей, произносимых «про себя». Раньше много о подобных технологиях писали, но что-то не слышно давно.
Банковские карты не подделывают, а скиммерят. Токен соскиммерить нельзя. Взлом токена конечно возможен, но весьма нетривиален по затратам. Сломать и потерять можно, поэтому нужно иметь запасной токен (или на крайний случай возможность откатиться на программный токен) и альтернативный способ входа. У Гугла сейчас для этого используются одноразовые пароли, хранящиеся в надежном месте.
А «метод аутентификации не подразумевающий усложнение процесса выше чем ввоод пароля» конечно найдут — для чего альянс и образовали — но не скоро имхо. :)
А «метод аутентификации не подразумевающий усложнение процесса выше чем ввоод пароля» конечно найдут — для чего альянс и образовали — но не скоро имхо. :)
Ну я как бы метод скимминга под подделкой и имел ввиду, не обязательно скимерить весь токен, достаточно генерируемую им нагрузочную информацию скопировать и воспроизвести.
Мммм… хотите попробовать? Токен магнитных полос не имеет, что там скиммерить? Можно его вскрыть и извлечь seed (весьма нетривиальная задача) и потом использовать программный токен (аппаратный уже будет врядли пригоден к использованию).
Я не говорю что это невозможно — но при текущих технологиях это даже сложнее скиммеринга кредитки. К тому времени можно залогинится с одноразовым паролем и подключить другой токен.
Я не говорю что это невозможно — но при текущих технологиях это даже сложнее скиммеринга кредитки. К тому времени можно залогинится с одноразовым паролем и подключить другой токен.
Ну как говориться в век инженерного прогресса, любой процесс можно автоматизировать и довести до безупречного исполнения при необходимости, думаю примеры из жизни излишне.
Проблема всех этих способов авторизации с помощью токенов и колец в том, что их можно просто у человека спереть (или отобрать), не говоря уже о том, что их можно потерять. Как убедиться, что логинится именно владелец? Не сетчатку же сканировать. Надо попросить ввести такую информацию, которая может быть известна только ему. Ну, то есть пароль. А если есть пароль, зачем тогда токены? Не могу увидеть никакого возможного решения выхода из этого порочного круга.
Токены обычно запаролены.
Информацию можно выбить или подглядеть. Без биометрии ничего приличного сделать не получится. Но тут возникает проблема компроментации. Что бы не сканировалось, но оно преобразуется в байты, а эти байты на каком-то этапе можно подменить. Различные криптоалгоритмы, насколько я понимаю, лишь усложняют задачу подмены, но не делают её невозможной (речь не об обратном вычислении хэшей). А свои биометрические данные изменить сложновато. Голосовые или «мысленные» (как в «читать „про себя“) пароли выглядят наиболее привлекательно, по-моему. Кодовая фраза, которую легко изменить, плюс индивидуальная биометрия.
Я когда читаю про все эти токены и прочие подобные вещи, сразу задумываюсь о том, что частенько мне приходится работать под несколькими аккаунтами. Причём несколько — это больше 5. И что в этом случае мне делать? 5 токенов или пачка колец? Это не практично в данной ситуации.
Пока редактировал, закончилось время редактирования, поэтому отдельным комментарием:
По теме пароля:
На мой взгляд, не с того конца копают. Ведь если задуматься, то проблема не в пароле, а в отношении людей к ним. Безграмотность в этой области большей части населения, безответственность и сложность создания/запоминания криптостойких паролей — это главные проблемы, а не пароль.
Такое ощущение, что лучше бы разрабатывать системы/схемы/методики составления и запоминания «сложных» паролей для «обычных» пользователей.
Тут мне вспоминается предложение одной девушки, которое впоследствии я частенько использовал — в качестве пароля использовать математические формулы. Для людей, не дружащих с формулами, можно разработать иные простые способы.
По теме пароля:
На мой взгляд, не с того конца копают. Ведь если задуматься, то проблема не в пароле, а в отношении людей к ним. Безграмотность в этой области большей части населения, безответственность и сложность создания/запоминания криптостойких паролей — это главные проблемы, а не пароль.
Такое ощущение, что лучше бы разрабатывать системы/схемы/методики составления и запоминания «сложных» паролей для «обычных» пользователей.
Тут мне вспоминается предложение одной девушки, которое впоследствии я частенько использовал — в качестве пароля использовать математические формулы. Для людей, не дружащих с формулами, можно разработать иные простые способы.
Ну да, вся проблема в людях. Вторая проблема — люди не поменяются. Значит придется менять систему аутентификации…
Хотя как по мне двухфакторной аутентификации по программному токену на смартфоне или отдельному аппаратному — вполне достаточно.
Другое дело что двухфакторная аутентификация — не панацея, и не поможет от более сложных атак.
Хотя как по мне двухфакторной аутентификации по программному токену на смартфоне или отдельному аппаратному — вполне достаточно.
Другое дело что двухфакторная аутентификация — не панацея, и не поможет от более сложных атак.
Разрешите по-дискутировать.
«Люди не поменяются».
Возьмём ребёнка, у которого ещё не воспитаны условные рефлексы и который постоянно натыкается на безусловные рефлексы (отдёргивать руку при взаимодействии с горячим). Ребёнок вырос. Он многое знает — не надо хвататься мокрыми руками за оголённые провода (от этого провода ржавеют и портятся), если идёт снег — холодно и т.п.
То же самое с образованностью в сфере безопасности, в частности, использования паролей. Сначала человек ставит что-нибудь совсем простое (допустимое системой по длине) — «пароль», «123», т.п. Образованность растёт — пароли изменяются, становятся более криптостойкими.
По этой причине, если постоянно добровольно-принудительно обучать безопасности паролей, то со временем у человека криптостойкие пароли будут «на автомате».
Да, возможно, человек не занимается саморазвитием и будет столь же безответственным — потеряет телефон/пин-код/токен/всё_вместе/т.п., но в среднем его пароли будут более устойчивыми, при этом напрягаться он будет также, как при составлении пароля «123».
Честно вам скажу, я до сих пор совершенно спокойно могу оставить/забыть телефон/ключи/флешку дома/на_работе. И как я пройду аутентификацию, завязанную на телефоне/ключах/флешке/т.п.? А голова всегда со мной.
«Люди не поменяются».
Возьмём ребёнка, у которого ещё не воспитаны условные рефлексы и который постоянно натыкается на безусловные рефлексы (отдёргивать руку при взаимодействии с горячим). Ребёнок вырос. Он многое знает — не надо хвататься мокрыми руками за оголённые провода (от этого провода ржавеют и портятся), если идёт снег — холодно и т.п.
То же самое с образованностью в сфере безопасности, в частности, использования паролей. Сначала человек ставит что-нибудь совсем простое (допустимое системой по длине) — «пароль», «123», т.п. Образованность растёт — пароли изменяются, становятся более криптостойкими.
По этой причине, если постоянно добровольно-принудительно обучать безопасности паролей, то со временем у человека криптостойкие пароли будут «на автомате».
Да, возможно, человек не занимается саморазвитием и будет столь же безответственным — потеряет телефон/пин-код/токен/всё_вместе/т.п., но в среднем его пароли будут более устойчивыми, при этом напрягаться он будет также, как при составлении пароля «123».
Честно вам скажу, я до сих пор совершенно спокойно могу оставить/забыть телефон/ключи/флешку дома/на_работе. И как я пройду аутентификацию, завязанную на телефоне/ключах/флешке/т.п.? А голова всегда со мной.
Может память нужно тренировать, чтобы не забывать телефон/ключи/флешку? :)
A если серьезно — ну не верю я в «добровольно-принудительно обучение безопасности паролей». Людям это не нужно — они не будут это делать.
И еще мне кажется вы смотрите на проблему слишком узко. Криптостойкий пароль спасет только от перебора, а с перебором можно бороться и другими способами. А как вы защититесь от клавиатурных шпионов? (можно долго спорить откуда они взялись, но допустим вам надо проверить почту с чужого компа). А от MitM атак?
A если серьезно — ну не верю я в «добровольно-принудительно обучение безопасности паролей». Людям это не нужно — они не будут это делать.
И еще мне кажется вы смотрите на проблему слишком узко. Криптостойкий пароль спасет только от перебора, а с перебором можно бороться и другими способами. А как вы защититесь от клавиатурных шпионов? (можно долго спорить откуда они взялись, но допустим вам надо проверить почту с чужого компа). А от MitM атак?
А тут не в памяти дело, а в автоматизме некоторых действий. Вот вчера забыл телефон дома, потому что когда уже оделся, сунул его в карман куртки, проверил, что всё остальное не забыл, мне позвонили я его из кармана достал, поговорил и автоматом положил на стол и пошел по своим делам в полной уверенности, что всё с собой, ведь я проверял.
Ну то ж шутил я, сам все забываю. :)
Но токен обычно носится с ключами и на работе это никого не напрягает. В банковской области, например, использование токенов для доступа в корпоративную сеть — обычное дело. Забыл токен — ССЗБ — поехал за ним домой.
Тут то же самое — но для доступа к, скажем, гугловому аккаунту.
Но токен обычно носится с ключами и на работе это никого не напрягает. В банковской области, например, использование токенов для доступа в корпоративную сеть — обычное дело. Забыл токен — ССЗБ — поехал за ним домой.
Тут то же самое — но для доступа к, скажем, гугловому аккаунту.
На работе это обязанность, навязанная извне. Плюс контролируемое окружение(какой-нибудь снифер затруднительно установить даже на свой компьютер, не говоря о чужом). Плюс оперативная инфраструктура — если не забыл, а потерял, то старый оперативно заблокируют и выдадут новый. Что делать, если потерял токен от гуглоаккаунта? Ждать пока Почта России новый доставит? И как идентифицировать себя перед гуглом, что это ты заказываешь себе новый токен, а не злоумышленник?
Ну, не первый раз замужем. В смысле Гугл уже все предусмотрел — www.google.com/landing/2step/#tab=how-it-protects
На случай утери генерится 10 одноразовых ключей, распечатываются на бумажке изаучиваются сьедаются носятся с собой хранится в надежном месте.
На случай утери генерится 10 одноразовых ключей, распечатываются на бумажке и
Вы всё правильно говорите про то, что пароль — не панацея. Согласен. Но вы ведь согласитесь, что и другие имеющиеся способы также можно при желании скомпромитировать. Т.е. я о чём — проблема не только в пароле, а в статье так подано, будто всё зло из пароля растёт.
Соглашусь, что просто повышением образованности также дело не решишь — полагаю, как и в любой сложной задаче решение должно быть комплексным. Т.е. просто смена способа аутентификации также проблему полностью не решит. Согласны?
Соглашусь, что просто повышением образованности также дело не решишь — полагаю, как и в любой сложной задаче решение должно быть комплексным. Т.е. просто смена способа аутентификации также проблему полностью не решит. Согласны?
в результате ставишь систему на виртуальную машину, а она тебе — перед первым входом задайте пожалуйста пароль вида: Qw2!23sx, иначе не дам пользоваться мной.
Занавес)
Занавес)
У паролей две основных проблемы — сложность запоминания кучи сложных индивидуальных для разных ресурсов паролей и относительно простая возможность их перехвата. Один пароль выучить при более-менее регулярном использовании относительно не сложно — много разных методик есть. Проблема в том, что одного пароля недостаточно.
Согласен. Но в статье речь о том, что проблема именно в пароле, а не в том, что его недостаточно (:
Хотя, возможно, я что-то упустил. Если это так, прошу прощения.
Хотя, возможно, я что-то упустил. Если это так, прошу прощения.
Я имел в виду, что повсеместное распространение системы «буквенно-цифровых» паролей вынуждает пользователей придумывать и запоминать один-два-три (редко больше) одинаковых паролей для доступа к разным ресурсам (явно, через системы хранения паролей с мастер-паролем или с очевидным методом генерации «уникальных» паролей — не суть). А при относительной простоте перехвата этого мастер-пароля, скомпрометированными окажутся все ресурсы. Это и есть собственно основная проблема паролей, по-моему.
Sign up to leave a comment.
Google присоединился к FIDO Alliance для поиска надежной альтернативы парольной аутентификации пользователей