(no subject)

[stas]

Любопытно, какие-то публичные сайты, кроме PayPal, используют security key для защиты пользователей? Копеечная ведь штука. Банки должны бы всем бесплатно раздавать, ан нет - ничего подобного, ни одного банка, который бы это делал, не знаю - вместо этого какая-то лажа типа "кличка вратаря дворовой футбольной команды, игру которой вы видели однажды в 1980-м году" и т.п.

Comments

[digest.livejournal.com]

Совершенно дурацкая и неудобная штука. Помимо физического неудобства таскать ее с собой (сейчас мучаюсь с такой же корпоративной), она не отменяет кличку вратаря дворовой футбольной команды. И стоит, если не субсидировать, гораздо больше $5.

[yankel.livejournal.com]

А что бы ты предложил?

[digest.livejournal.com]

Хммм.. вопрос на мильён долларов :)
Во всяком случае не OTP решение.
И тем более не хардверный OTP.
И тем более не проприетарный.

Нужно что-то, что всегда с тобой, плюс стандартизованное и действительно широко применяемое. Вроде продвинутой биометрии, хотя сегодня там бардак полнейший... Пока не наведут порядок придется пользоваться паролями.

Не далее как в мае месяце, я был вынужден пройти 2 мили по палящим улицам LA только из-за того, что забыл такую корпоративную херню в номере гостиницы.

[yankel.livejournal.com]

Проблемка...
С биометрией еще долго похоже порядок не наведут.
А насчет хардверных решений, выбор надо бы народу дать. Например, не позволять без брелка каких либо важных действий, вроде переводов денег на крупные суммы.
А вообще, интересно, насколько можно было реализовать идею фицпатриковского OpenId? С брелком идентифицируешься супротив некого провайдера, а остальные получают от него добро.

[digest.livejournal.com]

Ян, я тебе там в твоем журнале уже написал, что аутентикация -- лишь малая часть секюрити. Ну зайдет зомбированный лох с десятью одноразовыми паролями из десяти разных брелоков в банк, и все: дорога злоумышленнику УЖЕ открыта.

С другой стороны заставлять таскать с собой физический девайс есть бред и неудобство.

OpenId не приносит ничего нового. Аутентикационные центры, системы и протоколы, всякие RADIUS-ы и шмадиусы существуют образно говоря сто лет. Вопрос давно сместился в социальную сферу: как подобрать НАДЕЖНОЕ, но и ДОСТУПНОЕ дояркам комплексное средство. Брелок -- плохое средство. Почему я на работе не могу выполнить срочно понадобившиеся мне важные действия из-за брелока, оставшегося дома? Хорошего же средства пока не придумали. Но думают вовсю :)

[yankel.livejournal.com]

Эхехе. Да прав-прав. Я уже видел ответ.

При наличии троянов на компе, хер решение будет...
Разве что массово вводить в дело что то вроде Х термниналов, которые загружаются с центрального сервера. Но это тоже не выход.

[digest.livejournal.com]

У банков счас мода пошла на виртуализацию: по идее в банк выходит полностью изолированная и контролируемая виртуальная машина. Но опять же решение не для доярок, куча сложностей с установками и поддержкой и отсутствие стандартизации.

[yankel.livejournal.com]

Хммм. Интересная идея. Установка виртуальной машины не так сложна.
Microsoft Virtual Machine вполне доступна для доярок.

[stas]

У банков счас мода пошла на виртуализацию: по идее в банк выходит полностью изолированная и контролируемая виртуальная машина.

Их ожидает много интересных сюрпризов ;)

[stas]

С троянами проблема до некоторой степени решается, например, требованием нового вывода машинки при выполнении операций, меняющих состояние счета. Это, конечно, будет немного геморройно - типа Висты - ну, если троянов завел, так не жалуйся :)

[yankel.livejournal.com]

Да верно. Меня Дайджест напором смутил.
Плюс, обычно счет не ломают в риал тайм.
Троян посылает пароли хакеру, а тот уже лезет в свободное время.
В случае со случайным кодом, пароль он в жопу может засунуть.

[yankel.livejournal.com]

Кстати, а брелочек можно заменить пелефончеГом.
При подключении, после того как ввел юзернэйм/пассворд, тебе кодик высылается SMSoм на зарегестрированный в банке номер.
Учитывая всеобщую пелефонизацию...

[stas]

Это, кстати, тоже тема - например, у Леуми есть такая штука, как моментальное сообщение о любой сделке больше какого-то предела по кредитке. Т.е. если в супер ходишь, т.п. - оно молчит, а если кто-то на твою карту телевизор купит в интернете - через 10 секунд ты об этом узнаешь. По-моему, очень прогрессивная штука, пока в других местах такого не видел.

[stas]

Биометрия проблематична - вывод биометрического устройства можно подделать и/или украсть точно тем же фишингом, которым крадут пароли. Только в отличие от пароля отпечаток пальца нельзя менять раз в месяц.

[digest.livejournal.com]

Кражу или перехват биометрии достаточно легко избежать, весь вопрос тут в распространении какого-то одного нормального стандарта. Само собой разумеется, так решится лишь вопрос с authentication. Кражу открытой сессии и вообще целого компьютера одна аутентикация не решит никогда. Но и брелок не решает ничего сверх аутентикации. При том обладает массой недостатков.

[yankel.livejournal.com]

Вопрос, сколько приходится похищенных сессий в риал тайм(когда реально что то насрать) на обыкновенное воровство трояном пароля, который будет задействован вором через определнное время.
Брелок позволил бы нейтрализовать все проблемы с простым воровством паролей

[digest.livejournal.com]

Пока есть обыкновенные пароли, их будут красть и задействовать через определенное время. Когда распространение получат одноразовые, красть начнут в рилтайме. Повторный запрос нового одноразового пароля для важных операций проблематичен по трем причинам: 1. пароль тривиально не сменится за короткий промежуток времени; 2. аутентикацию проводит один ресурс, в то время сам сервис предоставляется другим. Скрещивать ресурсы или перегружать авторизационный запросами сервисного не есть правильно. Иначе там появятся другого рода дыры. Сервисному ресурсу (аппликация "Банк" в нашем случае) вообще не должно быть ничего известно про авторизацию. Открытие канала (например как 802.1x), как и его шифровка (например, SSL) осуществляется другими уровнями; 3. приучение пользователя постоянно вводить пароль -- есть неверное социальное решение, ведь из 10 запросов пароля 5 могут принадлежать трояну.

Брелок, без сомнения, решает некоторые второстепенные проблемы, добавляя при этом несколько новых ГЛАВНЫХ проблем.

[yankel.livejournal.com]

Но перехватов в риалт тайм будет просто на несколько порядков меньше, чем простых похищений паролей.
Для риал тайма нужно, как минимум, молниеносние личное вмешательство хакера. Понятно, что риск остается. Но отпадает куча простых ломак.

[digest.livejournal.com]

Но отпадает куча простых ломак

Простые ломаки не грабят банки онлайн :)

С молниеносным вмешательством тоже что-нить придумают. Я вполне представляю себе скрипт, срабатывающий на ввод url-a банка и соответственно эмулирующий ввод пользователя при получении экрана после успешной авторизации. Банков не так много, так что заточить скрипт даже под группу банков (напр. "все израильские") достаточно реальная задача.

[stas]

Сервисному ресурсу (аппликация "Банк" в нашем случае) вообще не должно быть ничего известно про авторизацию. Открытие канала (например как 802.1x), как и его шифровка (например, SSL) осуществляется другими уровнями;

Это вы про интернет или про межбанковские коммуникации?

приучение пользователя постоянно вводить пароль -- есть неверное социальное решение, ведь из 10 запросов пароля 5 могут принадлежать трояну

Не постоянно, а только при выполнении операций типа перевода денег. Банковский сайл Леуми, например, это уже делает. И каспоматы тоже.

[stas]

Как его легко избежать, если биометрия - этот тот же пароль, только его никогда нельзя поменять?
Кража целого компьютера решается вынесением аутентикационного ключа за его пределы. Сейчас это делается путем паролей и клички вратаря, но с этим есть проблема - кличку вратаря никто не помнить, паролей слишком много и правильно ими управлять (т.е. регулярно менять и поддерживать правильность) люди не могут.

[stas]

Брелок же решает проблему password management. Разумеется, есть и другие проблемы :)

[digest.livejournal.com]

Так же, как легко избежать перехват пароля при сегодняшней авторизации. Я могу взять отдельное биометрическое устройство со встроенным protected storage, где хранянтся открытые ключи валидных авторизаторов. Далее я могу а) убедиться, что авторизацию запросил имеющий на это право, б) получить от авторизатора envelope и в) передать биоданные зашифрованными в достаточно надежной степени. Вся проблема в том, что это будет отдельное устройство, а не целый распространенный стандартный класс устройств.

Под кражей компьютера я имел в виду его зомбирование или кейлогеры. Неоднозначно выразился.

[stas]

Так же, как легко избежать перехват пароля при сегодняшней авторизации.

A никак его нельзя избежать. В том-то и проблема с phishing-ом и троянами.

Я могу взять отдельное биометрическое устройство со встроенным protected storage, где хранянтся открытые ключи валидных авторизаторов.

Ну это опять же брелок, да? :)

в) передать биоданные зашифрованными в достаточно надежной степени.

Все это хорошо, но это значит полный протокол между устройством и сервером - т.е. гемор с драйверами, совместимостью, защитой драйверов от man-in-the-middle и т.п. Ну и плюс в каждое устройство надо будет встраивать свой ключик - т.е. опять же тот же брелочек, только в профиль.

Под кражей компьютера я имел в виду его зомбирование или кейлогеры. Неоднозначно выразился.

кейлогеры информацию из брелока украсть не могут, поэтому релевантны лишь в 30 секунд, прошедшие после ввода последнего ключа. А если на каждое действие, меняющее счет, спрашивать новый ключ - то нерелевантны вообще.

[stas]

Да какое там неудобство - я ее таскаю, и ничего. Не больше ключа от машины, и меньше половины брелоков, которые некоторые люди себе на ключи цепляют. Кличка же в этом случае нужна только, если забыл пароль - да и то можно отменить для банков, имеющих много физических отделений.