(no subject)

[stas]

Любопытно, какие-то публичные сайты, кроме PayPal, используют security key для защиты пользователей? Копеечная ведь штука. Банки должны бы всем бесплатно раздавать, ан нет - ничего подобного, ни одного банка, который бы это делал, не знаю - вместо этого какая-то лажа типа "кличка вратаря дворовой футбольной команды, игру которой вы видели однажды в 1980-м году" и т.п.

Comments

[digest.livejournal.com]

Кражу или перехват биометрии достаточно легко избежать, весь вопрос тут в распространении какого-то одного нормального стандарта. Само собой разумеется, так решится лишь вопрос с authentication. Кражу открытой сессии и вообще целого компьютера одна аутентикация не решит никогда. Но и брелок не решает ничего сверх аутентикации. При том обладает массой недостатков.

[yankel.livejournal.com]

Вопрос, сколько приходится похищенных сессий в риал тайм(когда реально что то насрать) на обыкновенное воровство трояном пароля, который будет задействован вором через определнное время.
Брелок позволил бы нейтрализовать все проблемы с простым воровством паролей

[digest.livejournal.com]

Пока есть обыкновенные пароли, их будут красть и задействовать через определенное время. Когда распространение получат одноразовые, красть начнут в рилтайме. Повторный запрос нового одноразового пароля для важных операций проблематичен по трем причинам: 1. пароль тривиально не сменится за короткий промежуток времени; 2. аутентикацию проводит один ресурс, в то время сам сервис предоставляется другим. Скрещивать ресурсы или перегружать авторизационный запросами сервисного не есть правильно. Иначе там появятся другого рода дыры. Сервисному ресурсу (аппликация "Банк" в нашем случае) вообще не должно быть ничего известно про авторизацию. Открытие канала (например как 802.1x), как и его шифровка (например, SSL) осуществляется другими уровнями; 3. приучение пользователя постоянно вводить пароль -- есть неверное социальное решение, ведь из 10 запросов пароля 5 могут принадлежать трояну.

Брелок, без сомнения, решает некоторые второстепенные проблемы, добавляя при этом несколько новых ГЛАВНЫХ проблем.

[yankel.livejournal.com]

Но перехватов в риалт тайм будет просто на несколько порядков меньше, чем простых похищений паролей.
Для риал тайма нужно, как минимум, молниеносние личное вмешательство хакера. Понятно, что риск остается. Но отпадает куча простых ломак.

[digest.livejournal.com]

Но отпадает куча простых ломак

Простые ломаки не грабят банки онлайн :)

С молниеносным вмешательством тоже что-нить придумают. Я вполне представляю себе скрипт, срабатывающий на ввод url-a банка и соответственно эмулирующий ввод пользователя при получении экрана после успешной авторизации. Банков не так много, так что заточить скрипт даже под группу банков (напр. "все израильские") достаточно реальная задача.

[yankel.livejournal.com]

Именно что могут грабануть.
Научиться пользоваться троянами каким нибудь засранцам не так уж трудно.
Перевод небольших сумм по паре тысяч с нескольких десятков счетов на какой нибудь счет в банк Хадоар не вызовет подозрения. Пока клиенты опомнятся, он уже бабло снимет.
Понятно, что счет будет открыт с помощью нашего сраного удостоверения личности, которое он напечатает на принтере дома.

[yankel.livejournal.com]

А вот скрипты, о которых ты пишешь, это уже очень высокий уровень. Так просто не реализуем.

[digest.livejournal.com]

Так и зомбирующий компьютеры троян требует высокого уровня. Проблема в том, что пишут его одни, а используют другие. Для использования высокого уровня уже не требуется.

[stas]

Сервисному ресурсу (аппликация "Банк" в нашем случае) вообще не должно быть ничего известно про авторизацию. Открытие канала (например как 802.1x), как и его шифровка (например, SSL) осуществляется другими уровнями;

Это вы про интернет или про межбанковские коммуникации?

приучение пользователя постоянно вводить пароль -- есть неверное социальное решение, ведь из 10 запросов пароля 5 могут принадлежать трояну

Не постоянно, а только при выполнении операций типа перевода денег. Банковский сайл Леуми, например, это уже делает. И каспоматы тоже.

[yankel.livejournal.com]

Да и брокерские конторы при покупке/продаже акций требуют введение второго пароля.

[stas]

Как его легко избежать, если биометрия - этот тот же пароль, только его никогда нельзя поменять?
Кража целого компьютера решается вынесением аутентикационного ключа за его пределы. Сейчас это делается путем паролей и клички вратаря, но с этим есть проблема - кличку вратаря никто не помнить, паролей слишком много и правильно ими управлять (т.е. регулярно менять и поддерживать правильность) люди не могут.

[stas]

Брелок же решает проблему password management. Разумеется, есть и другие проблемы :)

[digest.livejournal.com]

Так же, как легко избежать перехват пароля при сегодняшней авторизации. Я могу взять отдельное биометрическое устройство со встроенным protected storage, где хранянтся открытые ключи валидных авторизаторов. Далее я могу а) убедиться, что авторизацию запросил имеющий на это право, б) получить от авторизатора envelope и в) передать биоданные зашифрованными в достаточно надежной степени. Вся проблема в том, что это будет отдельное устройство, а не целый распространенный стандартный класс устройств.

Под кражей компьютера я имел в виду его зомбирование или кейлогеры. Неоднозначно выразился.

[stas]

Так же, как легко избежать перехват пароля при сегодняшней авторизации.

A никак его нельзя избежать. В том-то и проблема с phishing-ом и троянами.

Я могу взять отдельное биометрическое устройство со встроенным protected storage, где хранянтся открытые ключи валидных авторизаторов.

Ну это опять же брелок, да? :)

в) передать биоданные зашифрованными в достаточно надежной степени.

Все это хорошо, но это значит полный протокол между устройством и сервером - т.е. гемор с драйверами, совместимостью, защитой драйверов от man-in-the-middle и т.п. Ну и плюс в каждое устройство надо будет встраивать свой ключик - т.е. опять же тот же брелочек, только в профиль.

Под кражей компьютера я имел в виду его зомбирование или кейлогеры. Неоднозначно выразился.

кейлогеры информацию из брелока украсть не могут, поэтому релевантны лишь в 30 секунд, прошедшие после ввода последнего ключа. А если на каждое действие, меняющее счет, спрашивать новый ключ - то нерелевантны вообще.

[digest.livejournal.com]

A никак его нельзя избежать. В том-то и проблема с phishing-ом и троянами.

Ну передаст троян зашифрованный трафик авторизации, и что?

Ну это опять же брелок, да? :)

Да :). Но я недаром мечтаю о распространенном устройстве. Будь оно в идеале в каждом компьютере и лэптопе, нам не придется ничего носить с собой.

но это значит полный протокол между устройством и сервером - т.е. гемор с драйверами, совместимостью, защитой драйверов от man-in-the-middle и т.п.

Да существуют протоколы, работают уже годами. От драйвера никаких премудростей не ожидается, попытка взлома возможна только во внутреннем smartcard устройства, но это уже совсем другой уровень.

у и плюс в каждое устройство надо будет встраивать свой ключик

Не обязательно. Это уже по желанию. Корпоративные авторизаторы, возможно, захотят единственный ключик компании, для общего пользования можно обойтись ключом CA, скажем, 3го класса, подписывающего валидные authentication серверы.

А если на каждое действие, меняющее счет, спрашивать новый ключ - то нерелевантны вообще.

Я в ветке уже привел три причины, по которым нельзя запрашивать новый ключ на каждое важное действие.

[stas]

Ну передаст троян зашифрованный трафик авторизации, и что?

Не зашифрованный трафик он передаст, а то, что пользователь на клавиатуре набирает.

Да существуют протоколы, работают уже годами. От драйвера никаких премудростей не ожидается

Я верю, что существует и не ожидается. А потом выходит Виста и все пользователи два года бомбардируют банк жалобами "я не могу подключить ваш ключ к своему компу", пока программисты налаживают драйвера. Я уж не говорю про всякие экзотические системы. Кому нужен этот гемор? Это ж все кучу денег стоит - каждый же будет по часу на телефоне сидеть и доставать службу поддержки. А в результате разозлится и вообще чего доброго в другой банк уйдет.
Дело ж не в существовании протоколов, а в том, чтобы они работали для любого пользователя в любой ситуации. Набрать 6 цифр способен любой человек, имеющий компьютер. А вот подключать разные хитрые устройства - это уже дело гораздо более геморное.

Я в ветке уже привел три причины, по которым нельзя запрашивать новый ключ на каждое важное действие.

Эти аргументы воспринимаются особо серьезно в свете того, что банки УЖЕ спрашивают ключ на каждое такое действие. Вы когда-нибудь в каспомате деньги пробовали переводить? :) Каспомат Леуми спрашивает. И сайт Леуми спрашивает.

[digest.livejournal.com]

Не зашифрованный трафик он передаст, а то, что пользователь на клавиатуре набирает

Не понял, откуда взялась клавиатура. Пользователь проводит палец, а шифрует и передает биометрический девайс.

А потом выходит Виста и все пользователи два года бомбардируют банк жалобами "я не могу подключить ваш ключ к своему компу", пока программисты налаживают драйвера. Я уж не говорю про всякие экзотические системы.

Smartcard authentication существует и слабо меняется чуть ли не с Win98 и в Линуксе он существует давным давно. Это же просто канал, там нечему меняться. Конкретный протокол -- это дело девайса и authentication сервера. Если банк не меняет авторизационный сервер, то и подходящие по протоколу девайсы будут продолжать работать.

Помимо прочего, банки не поддерживали, не поддерживают и не будут поддерживать экзотические системы. Они даже другой браузер не поддерживают в одной системе.

И самое главное: брелок -- он что, не должен поддерживаться? Да проще поддерживать 10 драйверов, нежели один физический девайс. Тот потерял, у этого ребенок полизал, у третьего батарейки сели, у четвертого теща наступила.

Фишка в том, что OTP-решения НИКОГДА не смогут стать универсальными. И отвечать за них должен будет раздающий *свои* девайсы клиентам. А если найти универсальное решение, банк сможет сбросить с себя груз техподдержки. Не занимается же он проблемами с мышью или CD-ROMами.

Вы когда-нибудь в каспомате деньги пробовали переводить? :) Каспомат Леуми спрашивает. И сайт Леуми спрашивает.

В каспомате не пробовал, но каспомат -- не пример. Там вмешательство извне ограничено, да и аутентикация тривиальная. Пинкод там запрашивают скорее для подтверждения намерений совершить серьезную операцию. Сайт же -- совсем другое дело. И если Леуми постоянно запрашивает пароли, это говорит лишь о профессионализме программистов Леуми. Мы же говорим о том, как ДОЛЖНО быть сделано.

[stas]

Smartcard authentication существует и слабо меняется чуть ли не с Win98 и в Линуксе он существует давным давно.

Это все в теории хорошо, а на практике я уже видел несколько девайсов, которые основаны на давно известных протоколах, а в Висте их драйвера не работают. Почему - неизвестно, производители обещают "вот-вот скоро сделаем, ну еще чуть-чуть подождите".

Помимо прочего, банки не поддерживали, не поддерживают и не будут поддерживать экзотические системы. Они даже другой браузер не поддерживают в одной системе.

В Израиле. Потому что дикие.

И самое главное: брелок -- он что, не должен поддерживаться?

Не должен. Циферки ввести и все. Не работает девайс - осотслал старых, получил новый, вся поддержка.

И если Леуми постоянно запрашивает пароли, это говорит лишь о профессионализме программистов Леуми. Мы же говорим о том, как ДОЛЖНО быть сделано.

Так и должно - авторизация запрашивается в момент, когда должно совершиться действие, где авторизация нужна, а не полчаса назад.