Comments 45
я за кольцо!
+3
«А одно — Всесильное, властелину Сервера» (я в таком переводе в детстве читал)
+2
Для восстановления кольца, пришлите, пожалуйста, палец в службу техподдержки…
+2
было бы, мне кажется, практично иметь usb-ключ который так же работал и по Bluetooth — так его можно было бы использовать с мобильными устройствами, и легко заряжать. NFC неудобно — нужно чтобы устройство всегда было рядом с телефоном, а с Bluetooth можно быть в удобном удалении и в то же время иметь возможность подключения других устройств. Ну и всегда должен быть fallback к доступу через обычную авторизауцию — пароль, серию вопросов,…
+1
спасибо за перевод статьи. для тех, кто легко читает по английски, приведу ссылки на пару документов, показавшихся мне интересными:
1. статья с инфографикой, поясняющая почему парольная аутентификация пользователей устарела.
B частности, проблема особенно обостряется из-за повсеместного разрешения сотрудникам корпораций работать с корпоративными программами и данными на своих мобильных устройствах (смартфонах, планшетниках); тенденция, получившая термин «Bring Your Own Device» (BYOD).
2. последний новостной релиз от FIDO Alliance, перечисляет компании, которые недавно присоединились к этому Альянсу и технологии, которые будут поддерживаться спецификациями от FIDO, включая (разрешите не переводить):
1. статья с инфографикой, поясняющая почему парольная аутентификация пользователей устарела.
B частности, проблема особенно обостряется из-за повсеместного разрешения сотрудникам корпораций работать с корпоративными программами и данными на своих мобильных устройствах (смартфонах, планшетниках); тенденция, получившая термин «Bring Your Own Device» (BYOD).
2. последний новостной релиз от FIDO Alliance, перечисляет компании, которые недавно присоединились к этому Альянсу и технологии, которые будут поддерживаться спецификациями от FIDO, включая (разрешите не переводить):
- biometrics such as fingerprint scanners
- voice and facial recognition
- Trusted Platform Modules (TPM)
- USB Security Tokens
- Near Field Communication (NFC)
- One Time Passwords (OTP) и др.
0
Это чтобы проще было за пользователями следить? Не хочу! Мне, например, удобно держать множество учеток, по одной на каждом сайте, и нехрен каждой собаке знать, что ник_1 с одного сайта и ник_2 с другого — это один и тот же человек. Не знаю почему, но не хочу. Для менее параноидальных уже вроде есть возможность логиниться под «социальными» учетками — вот там хоть сетчатку сканируйте, но оставьте возможность пользоваться услугами анонимно!
+4
Если использовать биометрические данные, то потребуется дополнительное железо для снятия данных.
Если же говорить о программном или аппаратном комплексе, то для этого уже изобрели RSA-ключи и брелоки с одноразовыми паролями.
Основная и главная фишка пароля в том, что его можно хранить в мозгу без дополнительных устройств и программных комплексов. Для того, чтобы нейтрализовать «устаревшие» пароли, имхо, потребуется найти способ, обладающий таким же качеством.
Если же говорить о программном или аппаратном комплексе, то для этого уже изобрели RSA-ключи и брелоки с одноразовыми паролями.
Основная и главная фишка пароля в том, что его можно хранить в мозгу без дополнительных устройств и программных комплексов. Для того, чтобы нейтрализовать «устаревшие» пароли, имхо, потребуется найти способ, обладающий таким же качеством.
+1
Вторая фишка — его легко поменять в случае компроментации. В принципе, при развитии тренда биометрические сканеры могут стать штатными устройствами, но вот что делать при их компроментации не понятно. Перспективно выглядят, имхо, голосовые пароли, то есть и кодовая фраза, которую легко поменять, и биометрия в одном флаконе, но что будет если простудился, например, или напился :)? Насколько высок и как постоянен будет уровень ложноотрицательных срабатываний?
+1
Ну помоему уже есть такие плагины, которые хранят пароли от остальных сайтов под мастер-паролем у себя на сервере, х**и велик то изобретать?
+1
LastPass, например
+1
Всё равно всё завязано на пароли.
0
Я все в толк не возьму че в них плохого то?
0
Относительно легко перехватить (кейлогеры, сниферы и т. п., в конце-концов просто за пальцами наблюдать глазами или камерой). Сложность запоминания кучи сложных паролей для разных ресурсов, а завязывать всё на один (хоть просто один пароль, хоть мастер-пароль) небезопасно..
0
Ну да а украсть электронный ключ или подделать, как подделывают банковские карты конечно же нельзя, его так же можно сломать и потерять, и как потом быстро вернуть доступ — богу известно. Пароли конечно имеют недостатки, но пока что успешно используются повсеместно. Нужен метод аутентификации не подразумевающий усложнение процесса выше чем ввоод пароля.
0
Я против электронных ключей (токенов, карт и т. п.) при бытовом использовании. Наиболее оптимальным мне видится считывание мыслей, произносимых «про себя». Раньше много о подобных технологиях писали, но что-то не слышно давно.
0
Банковские карты не подделывают, а скиммерят. Токен соскиммерить нельзя. Взлом токена конечно возможен, но весьма нетривиален по затратам. Сломать и потерять можно, поэтому нужно иметь запасной токен (или на крайний случай возможность откатиться на программный токен) и альтернативный способ входа. У Гугла сейчас для этого используются одноразовые пароли, хранящиеся в надежном месте.
А «метод аутентификации не подразумевающий усложнение процесса выше чем ввоод пароля» конечно найдут — для чего альянс и образовали — но не скоро имхо. :)
А «метод аутентификации не подразумевающий усложнение процесса выше чем ввоод пароля» конечно найдут — для чего альянс и образовали — но не скоро имхо. :)
0
Ну я как бы метод скимминга под подделкой и имел ввиду, не обязательно скимерить весь токен, достаточно генерируемую им нагрузочную информацию скопировать и воспроизвести.
0
Мммм… хотите попробовать? Токен магнитных полос не имеет, что там скиммерить? Можно его вскрыть и извлечь seed (весьма нетривиальная задача) и потом использовать программный токен (аппаратный уже будет врядли пригоден к использованию).
Я не говорю что это невозможно — но при текущих технологиях это даже сложнее скиммеринга кредитки. К тому времени можно залогинится с одноразовым паролем и подключить другой токен.
Я не говорю что это невозможно — но при текущих технологиях это даже сложнее скиммеринга кредитки. К тому времени можно залогинится с одноразовым паролем и подключить другой токен.
0
Ну как говориться в век инженерного прогресса, любой процесс можно автоматизировать и довести до безупречного исполнения при необходимости, думаю примеры из жизни излишне.
0
Можно, кто ж спорит. Нет абсолютных защит. Защита надежна когда стоимость взлома >> прибыли от взлома. Кто будет ломать токен ради доступа к гуглоаккаунту? :)
0
Проблема всех этих способов авторизации с помощью токенов и колец в том, что их можно просто у человека спереть (или отобрать), не говоря уже о том, что их можно потерять. Как убедиться, что логинится именно владелец? Не сетчатку же сканировать. Надо попросить ввести такую информацию, которая может быть известна только ему. Ну, то есть пароль. А если есть пароль, зачем тогда токены? Не могу увидеть никакого возможного решения выхода из этого порочного круга.
0
Токены обычно запаролены.
0
Информацию можно выбить или подглядеть. Без биометрии ничего приличного сделать не получится. Но тут возникает проблема компроментации. Что бы не сканировалось, но оно преобразуется в байты, а эти байты на каком-то этапе можно подменить. Различные криптоалгоритмы, насколько я понимаю, лишь усложняют задачу подмены, но не делают её невозможной (речь не об обратном вычислении хэшей). А свои биометрические данные изменить сложновато. Голосовые или «мысленные» (как в «читать „про себя“) пароли выглядят наиболее привлекательно, по-моему. Кодовая фраза, которую легко изменить, плюс индивидуальная биометрия.
0
Я когда читаю про все эти токены и прочие подобные вещи, сразу задумываюсь о том, что частенько мне приходится работать под несколькими аккаунтами. Причём несколько — это больше 5. И что в этом случае мне делать? 5 токенов или пачка колец? Это не практично в данной ситуации.
+1
Пока редактировал, закончилось время редактирования, поэтому отдельным комментарием:
По теме пароля:
На мой взгляд, не с того конца копают. Ведь если задуматься, то проблема не в пароле, а в отношении людей к ним. Безграмотность в этой области большей части населения, безответственность и сложность создания/запоминания криптостойких паролей — это главные проблемы, а не пароль.
Такое ощущение, что лучше бы разрабатывать системы/схемы/методики составления и запоминания «сложных» паролей для «обычных» пользователей.
Тут мне вспоминается предложение одной девушки, которое впоследствии я частенько использовал — в качестве пароля использовать математические формулы. Для людей, не дружащих с формулами, можно разработать иные простые способы.
По теме пароля:
На мой взгляд, не с того конца копают. Ведь если задуматься, то проблема не в пароле, а в отношении людей к ним. Безграмотность в этой области большей части населения, безответственность и сложность создания/запоминания криптостойких паролей — это главные проблемы, а не пароль.
Такое ощущение, что лучше бы разрабатывать системы/схемы/методики составления и запоминания «сложных» паролей для «обычных» пользователей.
Тут мне вспоминается предложение одной девушки, которое впоследствии я частенько использовал — в качестве пароля использовать математические формулы. Для людей, не дружащих с формулами, можно разработать иные простые способы.
0
Ну да, вся проблема в людях. Вторая проблема — люди не поменяются. Значит придется менять систему аутентификации…
Хотя как по мне двухфакторной аутентификации по программному токену на смартфоне или отдельному аппаратному — вполне достаточно.
Другое дело что двухфакторная аутентификация — не панацея, и не поможет от более сложных атак.
Хотя как по мне двухфакторной аутентификации по программному токену на смартфоне или отдельному аппаратному — вполне достаточно.
Другое дело что двухфакторная аутентификация — не панацея, и не поможет от более сложных атак.
0
Разрешите по-дискутировать.
«Люди не поменяются».
Возьмём ребёнка, у которого ещё не воспитаны условные рефлексы и который постоянно натыкается на безусловные рефлексы (отдёргивать руку при взаимодействии с горячим). Ребёнок вырос. Он многое знает — не надо хвататься мокрыми руками за оголённые провода (от этого провода ржавеют и портятся), если идёт снег — холодно и т.п.
То же самое с образованностью в сфере безопасности, в частности, использования паролей. Сначала человек ставит что-нибудь совсем простое (допустимое системой по длине) — «пароль», «123», т.п. Образованность растёт — пароли изменяются, становятся более криптостойкими.
По этой причине, если постоянно добровольно-принудительно обучать безопасности паролей, то со временем у человека криптостойкие пароли будут «на автомате».
Да, возможно, человек не занимается саморазвитием и будет столь же безответственным — потеряет телефон/пин-код/токен/всё_вместе/т.п., но в среднем его пароли будут более устойчивыми, при этом напрягаться он будет также, как при составлении пароля «123».
Честно вам скажу, я до сих пор совершенно спокойно могу оставить/забыть телефон/ключи/флешку дома/на_работе. И как я пройду аутентификацию, завязанную на телефоне/ключах/флешке/т.п.? А голова всегда со мной.
«Люди не поменяются».
Возьмём ребёнка, у которого ещё не воспитаны условные рефлексы и который постоянно натыкается на безусловные рефлексы (отдёргивать руку при взаимодействии с горячим). Ребёнок вырос. Он многое знает — не надо хвататься мокрыми руками за оголённые провода (от этого провода ржавеют и портятся), если идёт снег — холодно и т.п.
То же самое с образованностью в сфере безопасности, в частности, использования паролей. Сначала человек ставит что-нибудь совсем простое (допустимое системой по длине) — «пароль», «123», т.п. Образованность растёт — пароли изменяются, становятся более криптостойкими.
По этой причине, если постоянно добровольно-принудительно обучать безопасности паролей, то со временем у человека криптостойкие пароли будут «на автомате».
Да, возможно, человек не занимается саморазвитием и будет столь же безответственным — потеряет телефон/пин-код/токен/всё_вместе/т.п., но в среднем его пароли будут более устойчивыми, при этом напрягаться он будет также, как при составлении пароля «123».
Честно вам скажу, я до сих пор совершенно спокойно могу оставить/забыть телефон/ключи/флешку дома/на_работе. И как я пройду аутентификацию, завязанную на телефоне/ключах/флешке/т.п.? А голова всегда со мной.
+1
Может память нужно тренировать, чтобы не забывать телефон/ключи/флешку? :)
A если серьезно — ну не верю я в «добровольно-принудительно обучение безопасности паролей». Людям это не нужно — они не будут это делать.
И еще мне кажется вы смотрите на проблему слишком узко. Криптостойкий пароль спасет только от перебора, а с перебором можно бороться и другими способами. А как вы защититесь от клавиатурных шпионов? (можно долго спорить откуда они взялись, но допустим вам надо проверить почту с чужого компа). А от MitM атак?
A если серьезно — ну не верю я в «добровольно-принудительно обучение безопасности паролей». Людям это не нужно — они не будут это делать.
И еще мне кажется вы смотрите на проблему слишком узко. Криптостойкий пароль спасет только от перебора, а с перебором можно бороться и другими способами. А как вы защититесь от клавиатурных шпионов? (можно долго спорить откуда они взялись, но допустим вам надо проверить почту с чужого компа). А от MitM атак?
0
А тут не в памяти дело, а в автоматизме некоторых действий. Вот вчера забыл телефон дома, потому что когда уже оделся, сунул его в карман куртки, проверил, что всё остальное не забыл, мне позвонили я его из кармана достал, поговорил и автоматом положил на стол и пошел по своим делам в полной уверенности, что всё с собой, ведь я проверял.
0
Ну то ж шутил я, сам все забываю. :)
Но токен обычно носится с ключами и на работе это никого не напрягает. В банковской области, например, использование токенов для доступа в корпоративную сеть — обычное дело. Забыл токен — ССЗБ — поехал за ним домой.
Тут то же самое — но для доступа к, скажем, гугловому аккаунту.
Но токен обычно носится с ключами и на работе это никого не напрягает. В банковской области, например, использование токенов для доступа в корпоративную сеть — обычное дело. Забыл токен — ССЗБ — поехал за ним домой.
Тут то же самое — но для доступа к, скажем, гугловому аккаунту.
0
На работе это обязанность, навязанная извне. Плюс контролируемое окружение(какой-нибудь снифер затруднительно установить даже на свой компьютер, не говоря о чужом). Плюс оперативная инфраструктура — если не забыл, а потерял, то старый оперативно заблокируют и выдадут новый. Что делать, если потерял токен от гуглоаккаунта? Ждать пока Почта России новый доставит? И как идентифицировать себя перед гуглом, что это ты заказываешь себе новый токен, а не злоумышленник?
0
Ну, не первый раз замужем. В смысле Гугл уже все предусмотрел — www.google.com/landing/2step/#tab=how-it-protects
На случай утери генерится 10 одноразовых ключей, распечатываются на бумажке изаучиваются сьедаются носятся с собой хранится в надежном месте.
На случай утери генерится 10 одноразовых ключей, распечатываются на бумажке и
0
Вы всё правильно говорите про то, что пароль — не панацея. Согласен. Но вы ведь согласитесь, что и другие имеющиеся способы также можно при желании скомпромитировать. Т.е. я о чём — проблема не только в пароле, а в статье так подано, будто всё зло из пароля растёт.
Соглашусь, что просто повышением образованности также дело не решишь — полагаю, как и в любой сложной задаче решение должно быть комплексным. Т.е. просто смена способа аутентификации также проблему полностью не решит. Согласны?
Соглашусь, что просто повышением образованности также дело не решишь — полагаю, как и в любой сложной задаче решение должно быть комплексным. Т.е. просто смена способа аутентификации также проблему полностью не решит. Согласны?
0
в результате ставишь систему на виртуальную машину, а она тебе — перед первым входом задайте пожалуйста пароль вида: Qw2!23sx, иначе не дам пользоваться мной.
Занавес)
Занавес)
0
У паролей две основных проблемы — сложность запоминания кучи сложных индивидуальных для разных ресурсов паролей и относительно простая возможность их перехвата. Один пароль выучить при более-менее регулярном использовании относительно не сложно — много разных методик есть. Проблема в том, что одного пароля недостаточно.
0
Согласен. Но в статье речь о том, что проблема именно в пароле, а не в том, что его недостаточно (:
Хотя, возможно, я что-то упустил. Если это так, прошу прощения.
Хотя, возможно, я что-то упустил. Если это так, прошу прощения.
0
Я имел в виду, что повсеместное распространение системы «буквенно-цифровых» паролей вынуждает пользователей придумывать и запоминать один-два-три (редко больше) одинаковых паролей для доступа к разным ресурсам (явно, через системы хранения паролей с мастер-паролем или с очевидным методом генерации «уникальных» паролей — не суть). А при относительной простоте перехвата этого мастер-пароля, скомпрометированными окажутся все ресурсы. Это и есть собственно основная проблема паролей, по-моему.
0
Sign up to leave a comment.
Google присоединился к FIDO Alliance для поиска надежной альтернативы парольной аутентификации пользователей