Пользователь
30,2
рейтинг
18 января 2013 в 23:40

Разработка → Google объявил войну паролям



История взломов и массовых утечек 2012 года показывает, что пароли дискредитировали себя как надёжное средство защиты конфиденциальной информации. Нужно искать альтернативу. Поэтому компания Google организовала ряд экспериментов с использованием альтернативных методов аутентификации. Один из них предполагает использование миниатюрных криптографических карт Yubico, изображённых на фотографии. Если вставить такую карту в разъём USB, то вы автоматически входите в свой аккаунт Google, без ввода пароля.

Для полной поддержки новых методов авторизации нужно будет модифицировать браузер Chrome, и компания Google готова это сделать. В этом случае не нужно устанавливать никакого дополнительного программного обеспечения. Система будет очень простой и дружественной как для пользователей, так и для веб-разработчиков.

Чтобы зарегистрироваться на новом сайте, вы заходите на него, вставляете карту — и регистрируетесь одним нажатием кнопки. Вполне вероятно, что на новые методы аутентификации с подачи Google перейдут и другие веб-сервисы.

Аутентификация с помощью криптографической карты похожа на использование обычного ключа, которым вы открываете дверь своей квартиры. Нужно физически вставить ключ в замок.

Сотрудники Google говорят, что в будущем можно упростить этот процесс, используя беспроводные протоколы. Ключ может быть прошит в телефоне или в чипе, которую вы носите в кольце на карте. Достаточно поднести телефон к компьютеру или приблизить руку к приёмнику — и вы авторизованы в системе. Для дополнительной защиты можно сопроводить процесс и дополнительным вводом одноразового кода, но это уже лучше, чем запоминать длинные парольные фразы или 20-значные комбинации символов.



Сотрудники Google приводят ещё один интересный факт — растущую популярность двухфакторной аутентификации, когда дополнительно к паролю приходит одноразовый код на телефон. Серьёзный скачок популярности этого метода аутентификации произошёл после известного случая с полным взломом аккаунтов журналиста Мэта Хонана. Эта история широко освещалась в прессе: в один день журналист обнаружил, что его твиттер увели, а файлы на ноутбуке и «айфоне» стёрли через сервисы Find My Phone и Find My Mac. Временный пароль для AppleId злоумышленник получил через службу поддержки Apple Care по телефону, сообщив о якобы забытом пароле и подтвердив свою личность по фрагментам личных данных. На полученный AppleId злоумышленник восстановил также «забытый» пароль от Gmail, завершив разрушение цифровой жизни Мэта Хонана. В течение двух дней после того эпического хака количество пользователей двухфакторной аутентификации Google выросло на четверть миллиона.

Анатолий Ализар @alizar
карма
749,5
рейтинг 30,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (279)

  • +77
    <сарказм>Т.е. теперь пароль можно будет не только забыть, но и потерять? :) </сарказм>

    В целом интересная вещица, но если уж идти к максимальной безопасности и удобству, не проще ли привязать всё это к отпечатку пальца? Технология не дорогая, палец всегда при себе. А для людей с ограниченными возможностями (отсутствием пальцев или с проблемами с кожей) уже такие вот карточки и использовать.
    • +26
      А палец «потерять» значит нельзя? :-)))))
      • +41
        эмм… можно… но согласитесь, количество забытых в рабочих компьютерах флэшек всё же больше, чем количество забытых на работе пальцев :)

        в случае потери карты/пальца/кольца всё равно ведь будет предусмотрено переопределение ключей доступа)
        • НЛО прилетело и опубликовало эту надпись здесь
          • +2
            Ну, лично в моем случае я не представляю, кому потребуется подделывать мои пальцы :) А в целом, да… всё можно подделать… и палец, и пароль сбрутить или подсмотреть, и карточку эту скопировать или украсть…

            Но как вариант для усложнения задачи — комбинация из отпечатков пальцев. Заодно чисто для фана озвучку к сканеру сделать… наиграть мелодию можно будет)
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                А вот не скажите: ваши пальцы на каждой клавише + мышь
          • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                • +4
                  А во время плавания?
                  • +15
                    ластами
                    • +5
                      «Атака через склеенные ласты» приобретает новый смысл
            • +18
              Раньше стыдились дырок в носках, теперь новые носки будут делать с дырками, чтобы не снимать их, для того, чтобы почитать почту.
              • +6
                Носок с дыркой — это же утечка конфиденциальной информации.
                • НЛО прилетело и опубликовало эту надпись здесь
                • +2
                  выражение «дыра в системе» приобретает буквальный смысл.
            • +2
              «Делаем маникюр, педикюр, дублируем ключи» )
        • +9
          Слесари смеются над вашим комментарием!
          • +20
            а хорошие слесари смеются над смеющимися над моим комментарием слесарями )
            • 0
              i = i + 1;
              • 0
                i++
                Тогда уж так.
                • +1
                  Тогда уж ++i наверное.
                  • +1
                    тогда уж

                    A < — (A) + $01
                    • +4
                      «хорошие слесари» настолько суровы?
                  • 0
                    Так если других действий в этом шаге нет, то разницы никакой. Порядок действий один и тот же. Или я не прав?
                    • +1
                      Если i — экземпляр класса (например, vector<T>::iterator), то ++i вызывает оператор инкремента и возвращает ссылку на изменённый объект. i++ делает копию объекта i, применяет оператор инкремента к первоначальному объекту, возвращает копию, сделанную до инкремента, как этого требует семантика выражения i++ (поскольку копия создана временно, сразу после выполнения стейтмента вызывается деструктор копии).

                      www.parashift.com/c++-faq/increment-pre-post-speed.html
        • +3
          но согласитесь, количество забытых в рабочих компьютерах флэшек всё же больше, чем количество забытых на работе пальцев

          Расскажите это фрезировщикам :)
          • +2
            они вместе со слесарями смеются? :)
      • +38
        Можно восстановить палец по отпечатку носа или через смс.
      • +7
        Как-то разрушители легенд обманули сканер такой, то ли двумя, то ли тремя способами.
        • –1
          Да я ж и не говорил, что это идеальная защита. Всё можно взломать и подделать, умельцы всегда найдутся.

          В конце концов, если кому-то очень сильно понадобится доступ к информации, терморектальный криптоанализ никто не отменял, и пароли никакие не помогут.
          • +1
            Не фак. Если такую вот криптофлэшечку сломать в микроволновке или запереть в сейфе на работе, то никакой криптоанализ не поможет. Это делает терморектальные методы бессмысленными.
            • +6
              А потом докажи товарищам с анализатором, что у тебя нет запасного варианта для доступа к информации.
            • 0
              Это Вы просто не сталкивались с мастерами терморектального криптоанализа.
        • –1
          У нас есть Российская компания, которая гарантирует защиту от подделок любыми способами. Куча международных побед.
          У них есть свои сканеры с разрешающей способностью 1000DPI. Сканирующая поверхность не плоская а полукруглая.
          Они надеются внерится в банковский сектор, чтобы обойтись без пинкодов в банкоматах. Тут просто нужно быть немного больше вкурсе про эти вещи. Тут комментариев многов основном обывательских. Мир на месте не стоит.
          • +4
            У биометрических сканеров и крипто-токенов разные области применения.

            Биометрию нельзя использовать с терминалов, к которым у сервиса нет доверия (неизвестные компьютеры и т.п.)

            Для входа в gmail по сканеру отпечатка никто не будет подделывать палец резиновым муляжом. Достаточно один раз записать сигналы, которые приходят со сканера отпечатка (например, отсканировав пальцы, пока их владелец спит) и потом передавать их куда угодно.

            Биометрию можно использовать с доверенного терминала (банкомат в людном месте) и в этом случае только можно говорить о защите от подделки (резинового муляжа пальца). Поскольку бывают случаи компроментации банкоматов, то и здесь у смарт-карт есть некоторые преимущества.
            • 0
              Что-то не пойму. Я разве что-то опровергал из ваших слов?)
              А по поводу резины и подделки это уже давно не актуально в нормальных сканерах. Это уже пройденый этап.
              • +1
                Это не к вам лично, а ко всей «биометрической» ветке.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              и каким же это образом, разрешите поинтересоваться, моя фотография пальца отдаст злоумышленнику мои копеечки?)
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Окей, есть картинка пальца. И куды ее?) На стенку?)
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      Возможно, но он не сработает. ) Мулежи распознаются.
                      Даже если супер муляж: существует возможно задать очередность пальцев как пин код:
                      1-2-3
                      Да и к тому же есть «тревожный палец», если человека принуждают обналичивать деньги. Можно сделать фейковый счет пользователя и выдать фейковые деньги)
                      Все там ужо продумано) И помоему это офигенно — никаких карт от банкомата.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          Безопаснее, раз на это переходят.) Мир к этому идет в любом случае. За бугром уже есть банкоматы такие. И у нас будут только не скоро.) Разработчики говорят что просто тяжело смириться с мыслью — что это надежнее для банковских шишек.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              У нас помоему вся промышленность радиодеталей до -25. Что не возьмешь деталь -там указан диапазон рабочий.
                              Мне кажется если будет -100 то начнется эффект сверхпроводимости и работать оно еще быстрее будет))))
                              Я думаю все ок и со снегом и температурой будет. Размещают же банкоматы как я вижу в основном в помещениях ровно с целью меньше проблем из за перепадов температур и влажности и быдла.
                              Датчики фотографические используются ( про которые я говорю ) — на выходе bmp.
                              Сдается мне, можно попробовать и в мороз потестировать. Но я не видел пока таких, все они, помоему, для внутреннего использования.
                              • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Мне больше интересно что там с пылью.
                              • 0
                                Ну а разве это секрет какой? Конечно датчики нужно в чистоте содержать.
                                • 0
                                  Ну и получаем плоскую панель, а не такой полукруглый сканер, как где-то тут мелькал. И штат протирщиков оптики.
                                  • 0
                                    Да все нормально. Все только начинается. Съемка в ИК — исключает многие пылинки. Но само собой свет должен проходить сквозь вандальное стекло. Если сканируем ладонь — то это плоскость.
                          • +2
                            Безопаснее, раз на это переходят.

                            1. Смарт-карта защищает от физического взлома банкомата или канала связи.
                            Био-сканер — не защищает, т.к. проверка на муляж-не муляж происходит внутри сканера. Если сканер сказал — не муляж, банк вынужден доверять.

                            2. У нас при вводе пальцесчитывателей обнаружилось, что нескольких сотрудников сканер вообще за людей не считает. Как ни прикладывай, фиксации отпечатка нет. Поэтому в любом случае нужен запасной вариант (пароль, карточка)

                            3. Согласно статье, типичный сканер может уверенно отличать 3000 отпечатков. Что будет для банка с миллионом клиентов?

                            Оказывается, там есть хитрость, гибридная аутентификация: www.osp.ru/news/2012/0416/13012641/
                            Если сканер определил, что отпечаток принадлежит возможно 10 из 1.000.000 клиентов, то сузить список до одного можно по пин-коду и дате рождения.
                            • 0
                              1.смарт карта к сожалению не защищает от физического воздействия. Все что нужно от банкомата, раздолбать его чем по тяжелее))) плевать на карты и отпечатки)
                              Сканер делает картинку — сервер выносит вердикт в виде вероятности. Я все же думаю это математика а сканер делает снимок в ИК. Как работает проверка на муляж я не знаю. И никто не скажет)

                              2. Вы биолинковские сканеры c 500dpi используете плоские — почем они были?
                              Ну просто это ерунда какая-то, что значит не принимает отпечатки. Значит хреново работает.)

                              3. Если клиентов миллион, используем ладонь или большее количество пальцев.
                              Ну или да, какая нибудь гибридная идентификация.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  Как раз все это и подделывается я думаю. Температура у пальца ее нету. С мороза он все +5 покажет. После стирки в горячей воде все +40. Электропроводность тоже не константа как и теплопроводность. Хороший сканер, возможно не только ИК, да математика.
                                  С возможностью таких 3D принтеров интересно. Надо мне уточнить про это дело.
                              • 0
                                2. Вы биолинковские сканеры c 500dpi используете плоские — почем они были?
                                Ну просто это ерунда какая-то, что значит не принимает отпечатки. Значит хреново работает.)


                                фирма L1 — вот такие
                                • 0
                                  Мне говорили, что плоские сканеры не очень надежны. Из за них в опрелеленных случаях требовалось по очереди прикладывать палец разными углами для регистрации.

                                  За то вот таких нет больше ни у кого.

                                  Получает развертку пальца, там призма специальная.
                                  А этот сразу на два пальца.

                                  При условии что там 1000dpi

                                  Не нравится то, что они под винду только. Это не всем критично, мне просто принципиально не нравятся привязка к платформе.
                              • 0
                                1.смарт карта к сожалению не защищает от физического воздействия. Все что нужно от банкомата, раздолбать его чем по тяжелее))) плевать на карты и отпечатки)

                                В смысле, защищается клиент, а не банк. Если банкомат раздолбать, со счётов списаний не будет.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          По барабану, узор отпечатка — целая наука. Там фишек и рюшек с алгоритмами просто вагон. Порез я думаю ничем не отличается от грязи на датчике. Так что это в пределах нормы.Конечно, используются вторичный палец если порез уж почти пол пальца — в идеале — ладонь нужна если дело пахнет керосином).
      • +11
        image
        • 0
          Что за ужас?
          • +6
            кадр из «особое мнение»
            идентификация по глазу
            там же и методы обхода…
          • +2
            Вроде бы Особое мнение
          • 0
            Мир спасать вы думали легко? )
      • +4
        Какой великий смысл, полный доверия друг к другу, будет звучать в словах в ЗАГСе — «В знак любви, обменяйтесь кольцами»…
        • +3
          Ага, с такой технологией доступ к жене будет иметь только муж, потому что у других мужиков «пароли не подходят».
          • 0
            Напомнило фильм Фантоцци, где он в роли римского солдата вернулся после 30 летнего похода к жене, а у нее пояс верности, ключ от которого был успешно посеян в боях).
        • +1
          «В знак любви, обменяйтесь флешками» — это по-современному.
      • +6
        Для паролей никто не отменял «социальную инженерию» или терморектальный криптоанализ.
        А для пальцев есть такое устройство:
        image
        • +4
          Больше похоже на гильотину для пальцев
          • +9
            Ой, это она и есть)
            • +3
              Это для сигар…
    • +2
      отпечаток пальца можно скопировать
      • +3
        «Штирлиц, а вас я попрошу остаться...»
      • –2
        Скопировать можно все, для пальца по-крайней мере не нужен свободный USB
        • 0
          usb токен скопировать нельзя (хотя бы теоретически) — это не «пассивная» информация.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              Токен можно эмулировать, если у хакера есть физический доступ к системе, которая осуществляет проверку токена (например, есть возможность установить драйвер ядра и подломать проверки).

              А попробуйте придумать, как проэмулировать такую схему:
              С сайта в токен передаётся случайная строка, она подписывается 1024-битным приватным ключом и отсылается на сайт, к внутренностям которого у хакера нет доступа. Сайт проверяет, что подписана именно переданная сйчас строка. Ключ хранится в оперативной памяти токена и при попытке обесточить чип, чтобы его исследовать под микроскопом, просто исчезает.
            • 0
              Задача немного другая. Надо скопировать токен так, чтобы владелец оригинала ничего не заметил.

      • 0
        нет, не любой. Если у вас идентификация по отпечатку разверткой в 120 градусов то вы не скопируете такой отпечаток ни откуда. Все отпечатки со стекла и прочего просто не будут иметь достаточно информаии.
        • 0
          Ну подумаешь: надо будет отсканировать не один стакан, а несколько.
          Воду / чай / кофе в офисе часто пьете?
          • 0
            Вы беретесь всегда одинаково за стакан.) Потом в фотошопе клеим )) Я говорил о существующих сканерах, которые получают развертку пальца. Видели, наверное, в хрониках как делают прокатку пальца следователи. Аналогично. Такой отпечаток вы ни с какой поверхности не получите.
            Тем более методы иммитации отпечаток уже не прокатывают из за высокой разрешающей способности сканеров и хитроумных алгоритмов.
            Да и по одному отпечатку никто не выдает деньги. В идеале используется отпечаток всей ладони руки. В другом случае всегда пара пальцев рук или сколько угодно. Все это уже хорошо продумано и налажено. Вопрос стоит сейчас о внедрении этой технологии в банковский сектор, а не то что стоит игра свеч или нет). Все это ужо продумано) Радует что это и российские разработки тоже))

            Кстати я к офису плохо отношения имею, нас не так много там)
    • +1
      Тоже сразу подумал зачем этот бред с хардварными ключами, ведь ничего нового тут нет, это давно уже существует и никакого удобства в этом нет, может просто пиар Yubico. Другое дело биометрическая аутентификация, ничего лишнего с собой носить не нужно (забыть/потерять соответственно сложнее), потенциальная возможность логиниться в самые различные системы без каких либо ключей и паролей, невозможность передать «ключ» другому и тд. Да отпечаток пальца можно подделать (а хардварный ключ можно как минимум спереть и вероятно скопировать тоже), но это направление можно развить до использования других критериев уникальности.
      • +1
        В мире нет ничего нового, но почему-то никто этим старым не пользуется, пока его насильно не продвинут. По-моему уже пора криптоключи вводить в дело, они надёжнее пальцевых отпечатков, которые подделать можно и по фотографии. Я не хочу носить перчатки, лучше буду носить USB крипто ключ, совмещённый заодно с защищённой флешкой.
        • 0
          А мне больше нравится недавняя идея с имплантантом в руке. Его и потерять сложнее, а в случае если надо заменить, не так уж и больно вытаскивается/вставляется.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              На расстояние в 10 сантиметров. Вероятность конечно есть, но плюсов больше. А для защиты можно использовать пароль к самой капсуле или что то подобное. Ну если совсем страховаться, то перчатка из фольги или дистанционное включение-отключение или имплантировать какое нибудь активирующее капсулу устройство в палец, чтобы данные с капсулы были доступны только при загнутом пальце к капсуле, скажем на расстояние не больше 1 сантиметра… То есть считать данные не сведя пальцы будет невозможно.
              • 0
                Главное, чтобы имплантаты принудительными не сделали, они всё же на любителя — далеко не всем понравится что-то вживлять.
                • +1
                  Ну предполагается, что будет несколько способов авторизации на выбор, один из них имплантант.
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  ммм, может тогда вживить его в предплечье и активировать второй рукой? или вообще за ухо, а при активации (поднесении пальца к уху) радиус действия увеличится на метр. Небезопасно, если использовать в общественных местах.

                  В конце концов можно же что то придумать.
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • +1
                      Согласен.
                      Но согласитесь, выглядело бы это забавно «Достаньте большим пальцем правой ноги, до левого уха для авторизации вконтакте», это как минимум бы заставило народ заниматься спортом, чтобы суметь это сделать
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • +1
                          Это было бы неудобно, но очень полезно. Если лень отжиматься, то хотя бы играть не будешь, может более полезное занятие придумается…
                          По широким плечам и накаченным сиськам можно будет узнавать целый слой населения. И большинство подростков будут физическими развитыми.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • +1
                              Я все же надеюсь, что ограничат продажу алкоголя и курение в общественных местах… Может зажигалки сделать с авторизацией? проверка на возраст какая нибудь, и открывашки тоже… Сейчас уже почти не осталось идиотов, что открывают бутылки зубами или об забор и прикуривает спичками. Одиннадцатиклассники сейчас даже не знают, что такое карбид и как использовать горлышко от бутылки с напальчником…
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  А детям до 18 вообще ограничить доступ в интернет аккаунтами read-only, интернет стал бы совсем другим… Эх, мечты…
                              • 0
                                Я открывашкой для пива не пользовался уже несколько лет — у меня всё откручивается.
                                • 0
                                  Хорошее пиво должно открываться, а не откручиваться.
                                  • 0
                                    У хорошего пива пробка керамическая.
                                    • 0
                                      Хорошее пиво тогда уж хранится в бочке и не больше трех дней.
          • 0
            И он сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его. Откровение Ионна 13:16
      • +2
        Потому безопасной считается двухфакторная (или более) аутентификация: выбрать два из «ты это знаешь», «у тебя это есть» и «это — часть тебя».
        Токены относятся ко второму типу. По задумке, их, разумеется, нельзя скопировать (в случае криптографии это значит, что люди, не имеющие отношения к спецслужбам, вряд ли получат приватный ключ ранее чем через 10-20 лет). Но аутентификация только по вставлению токена — это однофакторная аутентификация, не намного лучше простого пароля. А вот токен + пин-код к нему, чтобы брелок был бесполезен без частички знаний владельца, уже совсем другое дело.

        Биометрия слабо годится, когда между считывателем и сервером аутентификации канал вовсе не доверенный (со взаимным доверием само собой). Потому во всех «домашних» применениях биометрической аутентификации она используется только для открытия контейнера, в котором будет сертификат или пароль, все это в пределах одного компьютера. Впрочем, и в недомашних обычно тоже.

        Конкретно про указанный в топике токен: он маленький. Я раньше таких не видел.
        • 0
          у рутокена появились устройства с размером в маленький файфай или бт свисток, по сути лишь слегка больше этих флешек, но поддержка токенов организована далеко не везде, наверное менее 1 процента ресурсов поддерживают аутентификацию хотя бы по сертификату.
        • 0
          Биометрию надо встраивать в токен, будет намного лучше простого пин-кода.
    • +25
      Ага. Вы ещё сетчатку глаза предложите…

      image
      • 0
        На практике, думаю, живой глаз отличить несложно. Зрачок не реагирует? До свидания.
        • 0
          При некотором изврате можно даже пульс считывать с сосудов в сетчатке (т.е. определить есть ли он вообще, и волнуется ли человек (т.е. не принуждают ли его к сканированию)).
          И до кучи — скорость реакции зрачка на свет (т.е. не под действием ли веществ сканируемый).
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Почему? Определяют пульс же с вебкамер. Тут была тема про увеличения динамики в видео. Отлов saturation кожи и выявление частоты колебаний. Так же отлов микродвижения вен на руке.
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Понял смысл) Я думаю все это ерунда. Если разбираетесь в устройстве глаза — такие пустяги как биохимические процессы не станут сюрпризами для разработчиков)
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • +2
                      Некоторые сорта чая, кстати, эффекты покруче чем кофе вызывают.
                      Никогда не забуду, как напившись вечером в гостях какого-то хитрого чая, потом всю ночь ворочался в полусне с бешенно стучащим сердцем.
                      • 0
                        Китайский лимонник. Говорят вообще дикая вещь.
                        • 0
                          Лимонник прекрасен. Как ягоды, так и лоза. К сожалению, растёт-с только на Дальнем Востоке. Эндемик-с.
        • 0
          В Саудовскую Аравию вы уже не въедине без процедуры сканирования глаза.
          • 0
            Летом вьезжал без сканирования в ОАЭ, хотя говорили что будут сканить. Камера у пограничника стояла, но в метре от лица — так сетчатку не отсканировать.
            • 0
              Я вот только про осень знаю. Когда паломничество начинается. Возможно осенью обязательное. Кстати визу регистрировали через сайт?
    • 0
      Собственно, на моем ноуте есть сканер отпечатков пальцев. Я использую его с софтиной AuthenTec TrueSuite — отлично работает.
      Авторизация на всех сайтах, вход в систему, защита папок на компе. Естественно, очень удобно, что когда рядом с тобой стоит толпа народа, не нужно палить всем свой пароль — просто проводишь пальцем и получаешь профит.

      Другие люди залогиниться не могут, перепробовали много пальцев.
      Может это и не 100% гарантия безопасности, но для повседневных задач крайне удобная штука.
      • 0
        А что за ноутбук? Lenovo?
        • +1
          Это у многих марок есть. У меня HP, к примеру.
        • 0
          Sony Vaio VPC-Z21V9R.
      • 0
        Тоже пользовался. Было очень удобно. Правда, при очередном обновлении системы (Ubuntu) всё отвалилось. А поднимать это и в первый раз было непросто, поэтому забил.

        Буду пользоваться, как только эта система начнет стабильно работать.
        • 0
          Я использую Win7 на этой машине.
          Старая версия софтины кривовато работала, но с новой проблем нет.
      • 0
        Это немного другое, открыть доступ к своему компу пальцем удобно, можно даже использовать его вместо ввода пин-кода, но подключаться к разным сайтам с помощью пальцевых отпечатков не получится, а если даже получится, то это плохая идея.
        • 0
          Если вы про то, что база владельца сайта с пальцами может утечь — то идея не очень плохая, если де-факто «палец» на сервер не передаётся, а вместо этого используется закрытый ключ, генерируемый на основе рельефа пальца и адреса сайта. То-есть, для каждого сайта ключ уникален, и технология надёжна. Но эту технологию надо ещё разработать и обкатать…
          • 0
            Плох только сам палец, который крадется легко и незаметно для вас.
            • 0
              Да-да, разрушителей мифов я смотрел. Я же не говорю про то, чтоб заменить сканером ключ от банковской ячейки…
        • 0
          Работает все следующим образом: вы заходите первый раз на сайт (скажем, gmail), вводите свой пароль, вылетает окно «хотите ли вы использовать отпечаток пальцев для авторизации», жмете «да», пароль запоминается в софтину TrueSuite, представляющая собой хранилище паролей (что-то очень похожее на KeyPass). Также сама софтина, на случай проблем со сканером, защищена паролем.

          В следующим раз, при заходе на gmail, вылезет окно авторизации через TrueSuite. Достаточно будет провести пальцем по сканеру, логин и пароль автоматически подставится и также автоматически будет нажата кнопка «Вход».
          Конечно, я не храню пароли в таком виде на PayPal, Интернет-банки и прочее денежное. Но использовать для Facebook, Twitter и другого социального — почему нет?
      • +1
        Если у вас сопрут ноут с целью получения доступа к данным, то считайте, что вы уже нацарапали пароль прямо на крышке — ваши отпечатки остались на клавиатуре и корпусе, а также на сотне предметов, которые вы хватаете каждый день. Так что вы «палите» свой пароль, сами того не замечая.
        • 0
          Ну смешно же :)
          Я не работаю на ФСБ. ЦРУ, Моссад, Кремль или что-то там еще. Если у меня украдут ноут, то это будут какие-нибудь классические наркоманы или кто-нибудь еще из не шибко интеллектуального сброда. В этот же день мой ноут уедет в какой-нибудь ломбард или в митино, где просто переставят винду и выложат ноут на прилавок. Так будет в 99.999% случаев.

          И, как я уже сказал выше, я храню в таком виде только доступ к частоиспользуемым соцсетям, форумам, блогам и т.д. На платежные системы и банки у меня стоят сложные пароли. Но и это в большинстве случае не имеет значение, т.к. денежные операции без подтверждения с мобилы у меня во всевозможных сервисах запрещены.

          А так Вас послушать, все норовят украсть мой отпечаток пальцев, кого-нибудь убить и потом подставит. Ага.
          • 0
            В исходном комментарии вы ничего не написали о том, что используете этот способ авторизации только для наименее ответственных сервисов, за то упомянули «защиту папок», где, в принципе, лежать может что угодно. Поменяли условия задачи, а теперь предлагаете посмеяться над моим комментарием? Отличная риторика.

            Что же касается «да кому я нужен» — вы может никому и не нужны. Однако делитесь своим опытом, предлагаете его другим (умалчивая о том, что он распространяется только на то, что вам все равно не важно), не говоря ничего о слабых сторонах. А другие может кому и нужны. И для этого не надо быть сотрудником спецслужб. Бывали случаи, когда телефоны и ноуты воровали по заказу не только у партнеров (и конкурентов) по мелкому бизнесу, но и у родственников (во время судебных процессов по разделу наследства бабки, которая не Рокфеллер, но для некоторых людей и $150k за бабкину квартиру — сумма существенная).

            А еще не сбрасывайте со счетов психов, завистников и ревнивых людей. Это не значит, что надо превращаться в параноика, а значит всего лишь то, что использовать супер-дырявые, но «красивые» способы авторизации вместо менее эффектных на вид, но за то более надежных — вот это действительно смешно.
    • 0
      Вы не знаете, что такое сарказм, если судить по вашему предложению. Может вы считаете, что сарказм становится сарказмом с помощью тегов или смайлика?
    • +4
      Биометрическое можно использовать разве что на локалхосте, где есть гарантия, что данные от сканера отпечатков пальцев не подделаны, для веб-сервисов нужно что-нибудь криптографическое.

      Такое, кстати, можно реализовать уже сейчас и без каких-либо проблем: публичный ключ сообщается сайту через какой-нибудь левый сервер вроде гугла, а приватный хранится на флешке. При авторизации подключается флешка, сайт отправляет кодированное случайное сообщение, программа его расшифровывает при помощи ключа с флешки, вычисляет его хеш и отправляет обратно.
      • 0
        вы будете удивлены, но то, о чем вы говорите — уже давно есть и используется повсеместно. Называется SSL
        • 0
          В целом, да.

          Только SSL обычно в другую сторону используют :)
          • +1
            В SSL есть и клиентская аутентификация.
          • +1
            как тут уже написали — есть и персональные сертификаты, что позволяет обеспечивать аутентификацию, помимо обеспечения конфиденциальности и целостности, а так же еще и обеспечение неоспоримости авторства.
            • 0
              Значит ничего и изобретать не надо
    • +2
      Всё хорошо если бы пальцы были неограниченны.
      То есть допустим в google авторизация на пальцах, кто-то случайно сливает все пальцы пользователей и можно спокойно запустить брутфорс по базе на ещё кучу популярных сайтов.
      • 0
        Выше уже предложили подмешивать к отпечаткам еще и адрес сайта, чтобы не хранить все в чистом виде. + можно на компьютере иметь какой-то свой супер-пароль, который так же будет подмешиваться. В итоге взлом одного сервиса не повлечет к взлому остальных.
    • 0
      На данный момент далекооооо не все компьютеры оснащены сканером отпечатков пальцев. А вот USB порт есть практически везде. Может быть в будущем, когда эти сканеры будут устанавливать повсеместно, а не только в некоторые модели ноутбуков. Они же хотят уже сейчас что-то придумать, как я понимаю. И для широкой публики.
      • +1
        Миниатюрная криптографическая карта со встроеным сканером отпечатков пальцев с подключением по USB? Это было бы еще круче :).
        • 0
          дак есть уже пачка флешек со сканерами отпечатков. стоят тоже относительно недорого.
          Правда эти копеечные сканера и обходятся на ура, наколько я помню.
    • +1
      Вы серьезно предлагаете возложить авторизацию на нечто, копию чего каждый человек оставляет в несчетном количестве мест каждый день? Использование отпечатков пальцев — это подарок злоумышленникам.
      Хотите влезть в почту вашего соседа? Вам нужно всего лишь протереть ручку его двери перед его возвращением с работы, а потом, вооружившись порошком графита (простой карандаш и минута работы ножом), кисточкой и куском прозрачной липкой ленты вы еще меньше чем за минуту получите его отпечатки, пригодные для последующего изготовления копий.
      Технологию получения копий «в материале», достаточных для обмана простых биометрических датчиков, описывать не стану — об этом можно почитать в различных докладах по стойкости считывателей отпечатков.
      • –1
        Информация о мулежах для сканеров отпечатков пальцев устарела. Нужны кошерные сканеры и все будет нормально.
        • +1
          В каком смысле «устарела»? Дешевые дрянные сканеры до сих пор встраиваются в ноуты в немалом количестве. И муляжи как работали с этими типами сканеров десять лет назад, так и работают.
          Безусловно, есть (и были) более совершенные сканеры, однако в массовом продукте они отсутствуют, и способ авторизации, который был описан в комментарии, на который я отвечал, был и остается в реальной практике большой дырой.
  • 0
    > идти к максимальной безопасности

    Нет. Так все еще лучше
  • +56
    В моем ноуте так много свободных usb…
    • +1
      UBS Hub, и сами устройства можно делать «сквозными», когда одно в другое подключается.
      • +7
        USB HUB, имхо, это усстройство которое нужно только в случае крайней необходимости, а не для повседневного использования. Иначе ноут превращается из портативного устройства в такого себе осьминога, за которым нужно таскать еще пачку проводов от зарядки, мышки, наушников, с торчащей сбоку флешкой, а в вашем случае с хабом, из которого что только не торчит.
        Хаб это выход, но крайний, а не универсальный способ.
        Ну и напомню любителям посморить — это мое имхо, никого не заставляю думать так же.
        • 0
          Вы совершенно правы. Тем более в мире уже имеются всякие там NFC, аля билеты в метро. + чипы NFC встраивают в телфоны, в которых есть SIM'ка, которая, вот здесь я не уверен, могла бы быть использована как составная часть уникального ключа…
  • +13
    Старина-пароль еще долго прослужит человеку.
    Крипто-ключи — штука красивая, конечно. Но очень неудобная, во всяком случае для меня.
    Представил этот ад с моими двумя ноутбуками, одним системником, связкой ключей (которая всегда в куртке и содержит 6 ключей, 2 электронных ключа-брейлока и 2 почтовых ключа. Такой металлический ежик) и фантастической способностью проебать какую-нибудь флэшку в квартире и потом 2 дня её искать.
    • +3
      Ну, если оно будет в формате кольца, то все ок, пусть хоть 10.
      • +1
        Поддерживаю, кольцо с RFID как-то надежнее.
        • 0
          если такую систему соединить скажем с 4 значным паролем и полной блокировкой через 3 неверных ввода (как пластиковые карты) то помоему интересная и удобная система, а если не в кольцо тот же самый чип в чехол телефона.
        • 0
          А если кто-нить не тот прочитает?
          • 0
            То все — смерть, хаос, разрушение и потрясение устоев :).
            • 0
              А если серьезно, RFID-же читается спокойно, насколько мне известно. Там вроде достаточно с ридером просто рядом пройти :)
              • +1
                В таком случае почему по вашей карте метро уже не ездит вся Москва? :)
                • +2
                  Наверное потому что киевские карты метро не работают в Москве :D?
                  • 0
                    «стены слишком толстые, сигнал не проходит» ©
                • 0
                  Никто в тюрьму не хочет из-за такой мелочи.
                  Раскрывается такая афёра на раз-два.
                • 0
                  Метро-карточки ведь перезаписываемые!
                  В таком случае можно легко защититься от клонирования.

                  При выдаче новой карты назначаем ей GUID.
                  Например, {345C8244-43A3-4E32-A368-65F073B76F36}.

                  В базу данных метрополитена пишем:
                  ({345C8244-43A3-4E32-A368-65F073B76F36}, 10 проходов).

                  При проходе вычёркиваем из базы этот GUID, пишем новый на карточку и в базу:
                  ({54B7061A-D56C-40E5-B85B-58146446C782}, 9 проходов)

                  И пусть себе копируют ))))
                  • +1
                    Кстати, при этом требования к синхронизации данных между станциями не такие уж серьезные: в пределах станции нужно обрабатывать проходы компании людей по одной карте — это в рамках чуть ли ни одного турникета, а на другой станции эта карточка появится не раньше, чем через минуты.
                  • 0
                    оно так и есть, только синхронизация с бд не в реальном времени между аппаратом и базой. Информация о поездках есть на карте. Потому если делают клоны — они довольно быстро сдуваются как только происходит синхронизация.
      • +1
        Один зарезервируйте на случай брака :-|
      • +42
        to rule them all…

      • +2
        а если скажем 12? ;-)
        • 0
          на один палец кольца три налазят легко.
          • +7
            Зачем останавливаться на пальцах? :)
            image
      • +2
        я в принципе никакие вещи на тело немогу вешать: часы, кольца, цепочки -отвлекают.
      • 0
        Ха. За всю жизь единственное кольцо, которое держится у меня на пальцах — обручальное(но оно сидит так, что служит для меня эдаким индикатором отёков: когда руки хоть немного отекают — снять его становится вообще невозможно). Все остальные теряю в течение буквально пары дней. Так что кольцо — не выход.
        • 0
          >служит для меня эдаким индикатором
          Если проходит красавчик, читаем с кольца мантру:
          ты любящая жена и мать, ты любящая жена и мать)
  • +12
    Ключ может быть прошит в телефоне или в чипе, которую вы носите в кольце на карте. Достаточно поднести телефон к компьютеру или приблизить руку к приёмнику — и вы авторизованы в системе.

    2 ситуации:
    «Не хочешь подержать мой ноут? Смотри какой он легкий! Только кольцо не снимай!»
    «А давай проверим что тоньше твой телефон или мой ноут?»
    В макдаке прошелся по залу с кучей ноутов на столике) везде авторизовался))
    • +5
      Зато над неосведомленными-то как можно будет стебаться! Подходишь к человеку с ноутом, водишь над ним (ноутом) руками, приговаривая что-нибудь на латыни для пущего эффекта, а его из почты выкидывает в аккаунт некого Вельзевула :)
      • +10
        Ага, а он также спокойно, бормоча что то себе под нос, начинает выкладывать на стол — крест, чеснок, осиновый кол…
      • 0
        Интересная мысль.
    • +2
      На самом деле давно жду такую железку, даже сам ее придумал. Ноут перед тем как запросить пароль должен сам представится асиметричным ключем и если он не знаком ключе-хранилки она или спросит хозяина ввести пин-код или просто проигнорирует. В общем вариантов много и думаю будет удобно. В общем по сути это обычный ssl.
  • +1
    Хм… у меня вот планшет Asus Nexus 7. В нем USB не предусмотрено вообще от слова «совсем». Карточек памяти тоже не предусмотрено.
    И что, мне его придется рутить, чтобы через хитрый переходник втыкать этот девайс в мини-usb?
    • +1
      NFC видимо
      • –7
        Как вариант, да. А то я пока никак не могу придумать, для чего мне в незалежнiй NFC и где его можно использовать
    • +6
      Это был маркетинговй ход гугла, сделать Asus Nexus 7 без необходимых слотов, популяризовать Yubico, выпустить Asus Nexus 7.1 с необходимыми портами :)
      • –3
        image
        :)
    • +1
      USB OTG?
  • +3
    И гопническое «дай мобилу позвонить» приобретает новый смысл))
    • НЛО прилетело и опубликовало эту надпись здесь
  • +10
    Теперь чтобы прочитать почту спецслужбам достаточно будет провести обыск…
    • 0
      Зачем)) просто приемник поднести к человеку))
      • +13
        зато какой брутфорс… захватил человеков и побольше и води ими по системнику.
        • +1
          Ага)) или зашел в вагон метро, достал ноутбук…
          • 0
            Или встал на станции возле тоннеля, достал ноутбук… ;)
    • –1
      Для них это будет не намного проще терморектального способа получения символьных паролей.
      • –1
        На столь нецивилизованные способы всё же мало кто решается из государств и их служб. А вот устроить обыск — пожалуйста. Того же Навального или Собчак.
  • +4
    Сотрудники Google приводят ещё один интересный факт — растущую популярность двухфакторной аутентификации, когда дополнительно к паролю приходит одноразовый код на телефон.

    О, да. Я тоже невольно приложил к этому руку несколько дней назад. Когда просто не смог проверить почту, в обход предложения всё же использовать двухфакторную авторизацию (ну или, возможно, просто не нашёл как проверить в обход этого настойчивого предложения) :)
    Хотя, с некоторыми операторами бывает непросто получить код авторизации.
    • 0
      Можно обойтись без SMS, есть личное приложение, генерирующее каждую минуту по новому пин-коду.
      • 0
        И одноразовыми паролями. Гугл предоставил достаточно вариантов, чтобы не париться из-за операторов.
  • +10
    Три кольца всевластия отдал он благородному ФСБ, семь — высокотехнологичному ФБР,…
    • +13
      матчасть, матчасть. Всевластия — одно ;))
      • –19
        Я где-то писал, что дословно цитирую Толкиена? Или может у него или у Перумова ФБР и ФСБ упоминалось?

        У меня и своей фаназии хватает, в отличие от спэйсдайверов, что прочитав мой комент про три кольца в 00:31 берут идею на вооружение и размещают картинку повыше в 00:38.
        • +16
          Why so butthurt?
        • +5
          лол.
  • +5
    Для полной поддержки новых методов авторизации нужно будет модифицировать браузер Chrome, и компания Google готова это сделать.

    А для остальных браузеров они не готовы это сделать? Или я должен буду перейти на хром, чтобы пользоваться сервисами гугла?
    • +3
      Сразу на Chrome Os. Никакая ваша личная информация не уйдёт за пределы Google! А если вы приобретете ещё и Chrome Book, то ключ бесплатно встроят прямо в него! Торопитесь, пока мы не придумали, что ещё у вас можно продавать.
  • +12
    Это как носить бумажку с паролем, имхо украсть такой usb-брелок легче, чем брутфорсить и социнженирить.
  • +1
    Я правильно понимаю, что пока криптоключ в компе, то сохраняется авторизация в гуглопочте?
    Т.е. ключ придется постоянно дергать туда-сюда, ибо если я за компом, но мне гуглопочта не нужена в данную минуту, какая нибудь зараза, используя этот криптоконтейнер, сможет авторизироваться на почте и вообще на всех ресурсах, пароли от которых там лежат…
    Так что ли? Как это контролируется?
    Или производители дают 100% гарантии, что авторизация возможна только на сайте, ключ к которому там хранится?
    • 0
      На работе используется доступ к ВПН через Yubico. При запуске свн — вводится пароль, прикосновением в ключу вводится секретная часть и авторизируется. Все, ключ больше не нужен.

      По-этому ответ — криптоключ нужен тогда же когда и ввод пароля. На момент нажатия «ввести пароль».
  • +3
    Чего-то я не понял, хранить все пароли на одном носителе, которые периодически (для каждой авторизации) нужно пускать в потенциально-враждебную среду (хорошо, допустим на персональном компьютере с секьюрностью всё кошерно. А в публичных местах как с этим быть?).
    Если уж флешки при вытаскивании «не вовремя» могут сгореть, что натворит с этим ключом целенаправленно написанная вирусня?(а она будет, не сомневаюсь)
    • +2
      Нет, это не аналог защищенной флешки с паролями, и она не хранит основной пароль от аккаунта, это usb-клавитура, генерирующая одноразовый пароль при двухфакторной аутентификации.
      rus-linux.net/lib.php?name=/MyLDP/sec/yubikey1.html
      • +1
        прочитал технические детали и остался разочарован тем, что Yubikey не подписывает сообщение авторизации, а отправляет зашифрованный (статическим для девайса AES-ключом) приватный 48-битный ключ. Любой сервис, на котором авторизуемся, знает приватный ключ, т.е. для каждого сайта нужен отдельный Yubikey. При угоне базы ключей у сервиса, даже если сервис хранит только хеши, малая длина ключа позволяет найти ключи по хешам.
    • 0
      Флешка не может сгореть при любом вытаскивании, просто если на флешке есть файловая система без журналирования (например FAT), то вытащив в момент записи, потеряете файлы.
  • +1
    В принципе, если сам этот донгл будет защищен паролем, и, как предложено ранее, имел бы форму кольца, я бы пользовался. Это напоминает мне автомобили, которые не едут без «донгла», встроенного в брелок.
    • 0
      А вместо пароля прямо на этом устройстве сделать сканер отпечатков пальцев, работает только когда вставляется в компьютер рукой владельца. Если забыл вытащить, то через некоторое время для использования требуется снова прикоснуться к своему криптоключу. А чтобы при работе с несколькими компьютерами не вытаскивать постоянно, можно использовать несколько таких ключей.
  • +10
    Как вы умудрились в одном абзаце сказать и «нужно будет модифицировать браузер Chrome», и «не нужно устанавливать никакого дополнительного программного обеспечения»? А «браузер Chrome» по-вашему что?

    Вообще, конечно, супер аргументация: мы сделали двухфакторную авторизацию очень надоедливой и всучиваем её пользователям под любым предлогом — о, смотрите! пользователи выбирают её! — это значит они больше не доверяют паролям!

    А может это значит надоедливое всучивание всякой ерунды пользователям работает?

    Маркетологи как всегда в своём репертуаре…
    • +1
      Ключ не требует установки дополнительного ПО. Удобная работа с сайтами чтобы позволять авторизировать — может потребоваться в зависимости от того как оно будет реализовано.
    • +3
      да не, это продвижение в массы модной ныне во властной системе многих стран идеи о безусловной личностной аутентификации каждого пользователя сети. Привет интернет-пачпорт :)
  • +1
    Вместо использования каких-либо определенных карт, лучше бы довели до ума web crypto api — всем было бы хорошо.
  • +1
    И под кожу его вшить, чтобы не потерять
  • 0
    Мне больше нравится тема с RFID чипами, теми что в ладошку вживляют.

    Вот после прочтения статьи, как-то всё равно первая мысль — найдут же быстро способ взломать, скопировать, подделать… Нужно что-то кардинально новое!
    • 0
      *RFID
      • +1
        спасибо, поправил!
    • 0
      А все уже придумали.
      Комплексная биометрия (форма черепа, сетчатка глаза, структура вен на ладони, отпечатки, и т.д.) + возможно анализ голоса и некий одноразовый код. Ну и тут еще некоторые товарищи извращаются на предмет всяких штук, вроде «прочитай вслух вот этот текст, а наш софт проанализирует специфику чтения и скажет ты это или нет».
      Только вот это все будет стоить как самолет, занимать много места и требовать много времени и телодвижений.
      Поэтому и извращаются все на предмет поиска процедуры, чтобы и просто и быстро было, и достаточно безопасно.
    • +2
      И он сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание.
      • +1
        Как я ждал ЭТУ цитату!
    • 0
      Взломать криптоключ? А как насчёт взлома RFID?
    • +1
      RFID еще легче ломаются
  • +6
    Google объявил войну анонимности.
  • 0
    Да можно даже и без RFID, с обычным bluetooth, но с аппаратным включением криптомодуля только на время авторизации. Чтобы не могли считать какими-нибудь сканерами в том же метро.

    Нужна авторизация – сдвинул ползунок на телефоне, специальное приложение получило запрос сервера, расшифровало, передало по синезубу ответ – готово.

    А сами криптомодули можно отдельно делать, как симкарты, на случай поломки телефона. И анонимность остаётся, и защита обеспечивается.
    • +2
      мне в этом плане больше нравится реализация входа на privat24.ua – qr-код, приложением их же считал – все, авторизован. Никаких паролей и логинов, зашел один раз на телефоне и ходишь с ним
      • 0
        Т. е. приём запроса с сервера делают через QR-код, крипто-ключ зашит в приложении, а отправка ответа идёт напрямую с телефона?

        Да, так даже лучше – меньше требования к железу компьютера, с которого нужен вход – мониторы-то, в отличие от bluetooth, везде есть.
        Единственное, у телефона должна быть камера и доступ к интернету (хотя, в общем-то, ответ банку можно и по SMS передать), но на современных аппаратах это не проблема.
        • 0
          И доступ к дешифрующему модулю я всё же сделал бы аппаратно включаемым человеком только на время авторизации, для безопасности.
          Но это, конечно, требует аппаратной доработки телефона.
    • 0
      Нужна авторизация – сдвинул ползунок на телефоне


      Не, ползунок не устраивает настоящих параноиков.
      Мало ли что там может наавторизовываться, пока он в положении «вкл.»

      Лучше — кнопка. В статус-баре смартфона будет очередь запросов на авторизацию. Пользователь может или отклонить запрос сделав по нему зачёркивающий жест, или, нажав аппаратную кнопку, удовлетворить один запрос, первый в очереди.

      Крипто-модуль по нажатию кнопки срабатывает только один раз.
      • 0
        Можно не усложнять очередью, всё равно не поймёшь, кто авторизоваться пытается. Лучше сделать, чтобы для входа требовалась ровно одна авторизация, и если запросили больше – это уже подозрительно.
        Соответственно, один сдвиг – одна авторизация. И кнопка всё же может случайно нажаться, ползунок понадёжнее.
  • 0
    Ну да, и чтобы прочитать почту на работе / в интернет-кафе / в гостях с хозяйского компа, мне потребуется устанавливать там последнюю версию хрома, и умолять админа разблокировать USB. Зашибись.
    • 0
      Кстати интересно — блокировка ЮСБ означает ли что нельзя вставить обычное устройство ввода типа клавиатуры?
      • 0
        Обычно она ставится по принципу «запрещено всё, что не разрешено», т.е. для санкционированных устройств, типа мыши и клавиатуры, прописывается явное разрешение.
        • +2
          Карта Yubikey ( по крайней мере моя ) представляется клавиатурой. Интересно, на компах с заблокированными портами ЮСБ что будет?..
    • +1
      А вводить свой пароль руками в интернет кафе не зашибись?
      • –2
        Что-то я не верю, чтобы интернет-кафе сколько-нибудь использовались для чтения почты. Среди нынешних первокуров уже встречаются такие, кто не открывал свою почту на компьютере крупнее смартфона. Также и вконтактики и прочие частные ленты — их читают постоянно, поэтому со смартфончика же.
  • +2
    На самом деле, такие девайсены оставляют огромное пространство для «исследований».
    Обычные пароли утекают отнюдь не из-за того что их кто то подглядел, руткиты реалия современного мира, так что при необходимости может иметь место и проброс токена\кардридера, просто фишинг на уровне руткиа проще и удобней.
    • 0
      Да, в том-то и плюс, что приходит ответ от системы, никак не зависящей от компьютера, и даже проброс токена, в отличие от угона пароля, даст доступ к аккаунту лишь до тех пор, пока токен вставлен в USB.

      А если используется система, никак физически не подключенная к компьютеру (которую NightWriter упомянул, например, если я его верно понял), то и задействовать руткит будет затруднительно – для подтверждения каждый раз потребуется физическое действие пользователя (считывание QR-кода).
  • –1
    Если возможно удаленное считывание — в общественном транспорте появится новый вид карманников
  • +1
    С такими методами значительно упрощается доступ к почте при задержании. Приняли, ключ изъяли, и вперёд. Пальцы и сетчатка тоже не вариант.
  • 0
    Позавчера еще размышлял на эту тему и тут на тебе. Конечно, это удобно. Можно зайти на сервис и одним кликом зарегистрироваться. Однако вопрос в защите этой самой регистрации. А если уведут базу сервиса? А если сам сервис окажется не сильно порядочным? Как будет производиться защита при регистрации, ведь я все равно отдаю ключ на сторонний сервер и мало ли.
    • 0
      Сам ключ на сторонний сайт не попадает, только одноразовые коды на его основе, которые при авторизации подтверждает центр, выпустивший ключ (Гугл, например).
  • 0
    Авторизация моей мечты:
    браслет или кольцо
    без проводов, по принципу RFID или по USB
    считывает идеомоторные сигналы, просачивающиеся в мышцы при мысленном произнесении запрошенной компьютером фразы или просто при наборе этой фразы на клавиатуре.

    В теории надежность должна быть не хуже чем почерк или голос.
    Украсть ваш мозг или хотя бы просто способ мыслить представляется затруднительным.
    Заставить продумать нужную фразу без вставки произвольных матюков тоже надо постараться еще придумать как.
    Под пытками сигнал будет искажен так, что это должен смочь определить компьютер и вызвать тревогу.
    Под сывороткой правды или алкоголем тоже должны быть заметные изменения в сигнале.
    Сигнал внутрь кольца подать снаружи довольно сложно вроде, ведь он регистрирует токи именно внутри себя по нервам внутри руки.
    • +1
      Т.е. в экстренной и стрессовой ситуации залогиниться и исправить что-то у меня не получится? Новопассит в комплекте выдается?
      • 0
        Если ситуация будет совсем стрессовой вы и пароль набрать не сможете из двух цифр и что это меняет?
    • 0
      С точки зрения криптографии, безопасность — нулевая.

      Если набор фраз будет конечен, троян на машине пользователя сможет записать перед отправкой на сайт все зафиксированные реакции на каждую фразу из набора.

      Если фраза каждый раз выбирается случайно, на сайте должна быть какая-то модель пользователя, которая предскажет реакцию на фразу. Хакер, собирая статистику, построит у себя такую же модель и при логине со своей машины в ответ на новую фразу передаст сигналы, которые должны возникнуть от этой фразы (не совпадающие конечно с настоящими, но достаточные, чтобы обмануть модель юзера на сайте).
      • 0
        Не вижу причин не сделать шифрование между самим браслетом/кольцом и гуглом.
  • 0
    Может я утрирую… но в чем проблема проэмулировать данное устройство, как те же HASP ключи? Понятно что для этого понадобится писать достаточно кода, но если технология будет развитая, то всегда найдутся люди которые это обойдут.
    • 0
      Например, как проэмулировать уникальный ответ (как вариант, с текущими временем и датой), зашифрованный крипто-картой?
      Шифрующий ключ находится на крипто-карте, дешифрующий — на авторизующем сервере.
      Ни тот, ни другой ни на компьютер, ни на промежуточные сайты не попадают.
      Практически, просто получается защищённый канал между крипто-картой и сервером авторизации.
  • –1
    Хотел бы указать на моя идею суперпароля — habrahabr.ru/post/161883/

    Минимальные изменения, ничего экстраординального и довольно неплохая защита, имхо конечно.
    • 0
      Чего минусуете-то?
      Многоуровневый доступ (админ / юзер) давно применяется, но вот с почтой его ещё не использовали, если не ошибаюсь.
      А вполне могли бы.
      Например, нужно дать кому-то прочитать только определённые письма, создаёшь временный пароль только на чтение этих писем – можно убедиться, что они в Вашем ящике есть, но полного доступа к почте не будет.
      • 0
        Кстати говоря, при аппаратной авторизации администратора почты обычные пароли для «гостевого» входа приобретают ещё больший смысл.
        Ведь физическую крипто-карту по электронной почте / SMS не передашь.
  • +2
    А есть источник на сайте гугла? Я полазил в ваших примерах, там тоже на других ссылаются. Как-то в эту глупость слабо верится.
  • +1
    Удобней через телефон.
  • +1
    Т.е. с нескольких мест залогиниться нереально одновременно?
    «Дорогая, зайди на мою почту и скачай...» — не получится

    Да и просто нести ключ из одной комнаты в другую, чтобы залогиниться на ноуте и на стационарнике — головная боль.

    Так что сработает, как дополнительный (опциональный), но не как единственный метод аутентификации…
  • 0
    oauth
  • 0
    У yabico очень странное решение, не нашел упоминаний про PKCS ♯11, но даже RADIUS у них свой.
  • 0
    И что же будет с Last Pass и им подобными?
    • 0
      lastpass вроде совместим с yabico )
  • 0
    Linux поддерживает?
    • 0
      да. Он эмитирует usb-клавиатуру.
  • +3
    По моему пора взяться за пропаганду паранойи среди рядовых пользователей.
    А то, с такими маркетологами, скоро новый почтовый ящик можно будет завести вживив очередной чип под кожу.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Не, на почту будет приходить спам с предложением удлинить руки.
        • НЛО прилетело и опубликовало эту надпись здесь

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.