[зануда mode on]
Насчет «бумеров», это термин не совсем применим. Всплеск рождаемости в 60-е годы был в США. В СССР это скорее сороковые (резкий всплеск) или девяностые (постепенное возрастание с последующим уменьшением)
Население Российской империи, СССР и постсоветского пространства:
Да, сейчас получше. FIDO стандарт молодой, меняется на глазах.
По поводу Yubikey (и иже с ними), там у всех есть модуль TOTP, к Fido не имеющий отношения, тем не менее так как работает на том же устройстве, многие их воспринимают как одно целое.
Так вот, там изначально похожая проблема, можно взять чужой ключ, перевести время вперед, нагенерить сотню OTP кодов и вернуть на место. Вскрывать даже не нужно — но второй фактор уже скомпрометирован. По какой-то причине, никто про это новости не пишет
не многие сервисы позволяют добавить больше одного ключа
наоборот, многие позволяют. Ограничение в один ключ из сервисов которые я использую, только у твиттера, и то их с первого дня за это ругают
в контексте статьи, раз это про гугл титан — Google Account позволяет несколько ключей. Сколько — нигде не написано, у меня вот столько:
1. получить имя пользователя и пароль целевого аккаунта
2. чтобы выкрасть ключ безопасности у владельца
3. Залогиниться
4. Добавить свой U2F ключ
5. Вернуть ключ из п.2 владельцу
1. получить имя пользователя и пароль целевого аккаунта
2. чтобы выкрасть ключ безопасности у владельца
и останавливаемся — если первые 2 пункта можно выполнить, дальше мучиться не надо, я и без оборудования (типа осциллограф-масциллограф) могу продолжить атаку, а именно:
1. получить имя пользователя и пароль целевого аккаунта
2. чтобы выкрасть ключ безопасности у владельца
3. Залогиниться
4. Добавить свой U2F ключ
5. Вернуть ключ из п.2 владельцу
да, новый ключ будет в списке устройств, но если жертва попалась на фишинг (см. 1) и позволила выкрасть ключ (см п.2), то и лишнее устройство может не заметить
Заимствования и даже адекватные замены слов нормальны. Я могу понять когда используется англицизм для понятия типа коагуляция. Но не могу понять и смириться что в моем родном азербайджанском официально есть слова «uçot» и «predmet» (учёт и предмет соотв). А анекдотов на эту тему вспоминается огромное количество.
Например:
В автобусе два пассажира обсуждают водителя — один другому говорит:-бах, бу шоферин не противны рожасы вар!
на что водитель услышав их разговор отвечает им:-сам ты противный
Удивленный азербайджанец: откуда наш язык знаешь?
Странно защищают, даже в официальных текстах используется:
parking (фр. Stationnement)
weekend (фр. Fin de [la] semaine)
И таких примеров куча. Это с прямым переводом. А есть ещё и с кривым: угадайте что означает по-французски «training»?
А кто говорил про английский? Я писал про утверждение, что «bruit» переводится с французского как «сплетни, слухи», что неверно. Это не редкое слово, а самое что ни на есть частоупотребляемое
То есть как такового «бума» не было вообще?
Насчет «бумеров», это термин не совсем применим. Всплеск рождаемости в 60-е годы был в США. В СССР это скорее сороковые (резкий всплеск) или девяностые (постепенное возрастание с последующим уменьшением)
Население Российской империи, СССР и постсоветского пространства:
По поводу Yubikey (и иже с ними), там у всех есть модуль TOTP, к Fido не имеющий отношения, тем не менее так как работает на том же устройстве, многие их воспринимают как одно целое.
Так вот, там изначально похожая проблема, можно взять чужой ключ, перевести время вперед, нагенерить сотню OTP кодов и вернуть на место. Вскрывать даже не нужно — но второй фактор уже скомпрометирован. По какой-то причине, никто про это новости не пишет
наоборот, многие позволяют. Ограничение в один ключ из сервисов которые я использую, только у твиттера, и то их с первого дня за это ругают
в контексте статьи, раз это про гугл титан — Google Account позволяет несколько ключей. Сколько — нигде не написано, у меня вот столько:
2. чтобы выкрасть ключ безопасности у владельца
3. Залогиниться
4. Добавить свой U2F ключ
5. Вернуть ключ из п.2 владельцу
и останавливаемся — если первые 2 пункта можно выполнить, дальше мучиться не надо, я и без оборудования (типа осциллограф-масциллограф) могу продолжить атаку, а именно:
1. получить имя пользователя и пароль целевого аккаунта
2. чтобы выкрасть ключ безопасности у владельца
3. Залогиниться
4. Добавить свой U2F ключ
5. Вернуть ключ из п.2 владельцу
да, новый ключ будет в списке устройств, но если жертва попалась на фишинг (см. 1) и позволила выкрасть ключ (см п.2), то и лишнее устройство может не заметить
Причём знание французского ничего не меняет
Да, именно треники. (А Тренировка — entraînement)
Заимствования и даже адекватные замены слов нормальны. Я могу понять когда используется англицизм для понятия типа коагуляция. Но не могу понять и смириться что в моем родном азербайджанском официально есть слова «uçot» и «predmet» (учёт и предмет соотв). А анекдотов на эту тему вспоминается огромное количество.
Например:
В автобусе два пассажира обсуждают водителя — один другому говорит:-бах, бу шоферин не противны рожасы вар!
на что водитель услышав их разговор отвечает им:-сам ты противный
Удивленный азербайджанец: откуда наш язык знаешь?
По азербайджански немного от татарского отличается:
«mənim balalarım tatarca bir söz bilmirlər» (у меня клавиатура настроена уже :) )
Странно защищают, даже в официальных текстах используется:
И таких примеров куча. Это с прямым переводом. А есть ещё и с кривым: угадайте что означает по-французски «training»?
Совершенно верно. Пока немного громоздко получилось, идут работы по миниатюризации.
Есть более компактная версия, но без юсб и на 10 профилей https://www.token2.com/shop/product/token2-molto-1-i-multi-profile-totp-hardware-token
В статье упоминается применение этих ключей для генерации OTP (что является дополнительной функцией, а не основной). Если и у вас такая же задача, гляньте на эти устройства: https://www.token2.net/shop/category/usb-programmable-tokens
А кто говорил про английский? Я писал про утверждение, что «bruit» переводится с французского как «сплетни, слухи», что неверно. Это не редкое слово, а самое что ни на есть частоупотребляемое