(no subject)

[stas]

Любопытно, какие-то публичные сайты, кроме PayPal, используют security key для защиты пользователей? Копеечная ведь штука. Банки должны бы всем бесплатно раздавать, ан нет - ничего подобного, ни одного банка, который бы это делал, не знаю - вместо этого какая-то лажа типа "кличка вратаря дворовой футбольной команды, игру которой вы видели однажды в 1980-м году" и т.п.

Comments

[stas]

Как его легко избежать, если биометрия - этот тот же пароль, только его никогда нельзя поменять?
Кража целого компьютера решается вынесением аутентикационного ключа за его пределы. Сейчас это делается путем паролей и клички вратаря, но с этим есть проблема - кличку вратаря никто не помнить, паролей слишком много и правильно ими управлять (т.е. регулярно менять и поддерживать правильность) люди не могут.

[stas]

Брелок же решает проблему password management. Разумеется, есть и другие проблемы :)

[digest.livejournal.com]

Так же, как легко избежать перехват пароля при сегодняшней авторизации. Я могу взять отдельное биометрическое устройство со встроенным protected storage, где хранянтся открытые ключи валидных авторизаторов. Далее я могу а) убедиться, что авторизацию запросил имеющий на это право, б) получить от авторизатора envelope и в) передать биоданные зашифрованными в достаточно надежной степени. Вся проблема в том, что это будет отдельное устройство, а не целый распространенный стандартный класс устройств.

Под кражей компьютера я имел в виду его зомбирование или кейлогеры. Неоднозначно выразился.

[stas]

Так же, как легко избежать перехват пароля при сегодняшней авторизации.

A никак его нельзя избежать. В том-то и проблема с phishing-ом и троянами.

Я могу взять отдельное биометрическое устройство со встроенным protected storage, где хранянтся открытые ключи валидных авторизаторов.

Ну это опять же брелок, да? :)

в) передать биоданные зашифрованными в достаточно надежной степени.

Все это хорошо, но это значит полный протокол между устройством и сервером - т.е. гемор с драйверами, совместимостью, защитой драйверов от man-in-the-middle и т.п. Ну и плюс в каждое устройство надо будет встраивать свой ключик - т.е. опять же тот же брелочек, только в профиль.

Под кражей компьютера я имел в виду его зомбирование или кейлогеры. Неоднозначно выразился.

кейлогеры информацию из брелока украсть не могут, поэтому релевантны лишь в 30 секунд, прошедшие после ввода последнего ключа. А если на каждое действие, меняющее счет, спрашивать новый ключ - то нерелевантны вообще.

[digest.livejournal.com]

A никак его нельзя избежать. В том-то и проблема с phishing-ом и троянами.

Ну передаст троян зашифрованный трафик авторизации, и что?

Ну это опять же брелок, да? :)

Да :). Но я недаром мечтаю о распространенном устройстве. Будь оно в идеале в каждом компьютере и лэптопе, нам не придется ничего носить с собой.

но это значит полный протокол между устройством и сервером - т.е. гемор с драйверами, совместимостью, защитой драйверов от man-in-the-middle и т.п.

Да существуют протоколы, работают уже годами. От драйвера никаких премудростей не ожидается, попытка взлома возможна только во внутреннем smartcard устройства, но это уже совсем другой уровень.

у и плюс в каждое устройство надо будет встраивать свой ключик

Не обязательно. Это уже по желанию. Корпоративные авторизаторы, возможно, захотят единственный ключик компании, для общего пользования можно обойтись ключом CA, скажем, 3го класса, подписывающего валидные authentication серверы.

А если на каждое действие, меняющее счет, спрашивать новый ключ - то нерелевантны вообще.

Я в ветке уже привел три причины, по которым нельзя запрашивать новый ключ на каждое важное действие.

[stas]

Ну передаст троян зашифрованный трафик авторизации, и что?

Не зашифрованный трафик он передаст, а то, что пользователь на клавиатуре набирает.

Да существуют протоколы, работают уже годами. От драйвера никаких премудростей не ожидается

Я верю, что существует и не ожидается. А потом выходит Виста и все пользователи два года бомбардируют банк жалобами "я не могу подключить ваш ключ к своему компу", пока программисты налаживают драйвера. Я уж не говорю про всякие экзотические системы. Кому нужен этот гемор? Это ж все кучу денег стоит - каждый же будет по часу на телефоне сидеть и доставать службу поддержки. А в результате разозлится и вообще чего доброго в другой банк уйдет.
Дело ж не в существовании протоколов, а в том, чтобы они работали для любого пользователя в любой ситуации. Набрать 6 цифр способен любой человек, имеющий компьютер. А вот подключать разные хитрые устройства - это уже дело гораздо более геморное.

Я в ветке уже привел три причины, по которым нельзя запрашивать новый ключ на каждое важное действие.

Эти аргументы воспринимаются особо серьезно в свете того, что банки УЖЕ спрашивают ключ на каждое такое действие. Вы когда-нибудь в каспомате деньги пробовали переводить? :) Каспомат Леуми спрашивает. И сайт Леуми спрашивает.

[digest.livejournal.com]

Не зашифрованный трафик он передаст, а то, что пользователь на клавиатуре набирает

Не понял, откуда взялась клавиатура. Пользователь проводит палец, а шифрует и передает биометрический девайс.

А потом выходит Виста и все пользователи два года бомбардируют банк жалобами "я не могу подключить ваш ключ к своему компу", пока программисты налаживают драйвера. Я уж не говорю про всякие экзотические системы.

Smartcard authentication существует и слабо меняется чуть ли не с Win98 и в Линуксе он существует давным давно. Это же просто канал, там нечему меняться. Конкретный протокол -- это дело девайса и authentication сервера. Если банк не меняет авторизационный сервер, то и подходящие по протоколу девайсы будут продолжать работать.

Помимо прочего, банки не поддерживали, не поддерживают и не будут поддерживать экзотические системы. Они даже другой браузер не поддерживают в одной системе.

И самое главное: брелок -- он что, не должен поддерживаться? Да проще поддерживать 10 драйверов, нежели один физический девайс. Тот потерял, у этого ребенок полизал, у третьего батарейки сели, у четвертого теща наступила.

Фишка в том, что OTP-решения НИКОГДА не смогут стать универсальными. И отвечать за них должен будет раздающий *свои* девайсы клиентам. А если найти универсальное решение, банк сможет сбросить с себя груз техподдержки. Не занимается же он проблемами с мышью или CD-ROMами.

Вы когда-нибудь в каспомате деньги пробовали переводить? :) Каспомат Леуми спрашивает. И сайт Леуми спрашивает.

В каспомате не пробовал, но каспомат -- не пример. Там вмешательство извне ограничено, да и аутентикация тривиальная. Пинкод там запрашивают скорее для подтверждения намерений совершить серьезную операцию. Сайт же -- совсем другое дело. И если Леуми постоянно запрашивает пароли, это говорит лишь о профессионализме программистов Леуми. Мы же говорим о том, как ДОЛЖНО быть сделано.

[stas]

Smartcard authentication существует и слабо меняется чуть ли не с Win98 и в Линуксе он существует давным давно.

Это все в теории хорошо, а на практике я уже видел несколько девайсов, которые основаны на давно известных протоколах, а в Висте их драйвера не работают. Почему - неизвестно, производители обещают "вот-вот скоро сделаем, ну еще чуть-чуть подождите".

Помимо прочего, банки не поддерживали, не поддерживают и не будут поддерживать экзотические системы. Они даже другой браузер не поддерживают в одной системе.

В Израиле. Потому что дикие.

И самое главное: брелок -- он что, не должен поддерживаться?

Не должен. Циферки ввести и все. Не работает девайс - осотслал старых, получил новый, вся поддержка.

И если Леуми постоянно запрашивает пароли, это говорит лишь о профессионализме программистов Леуми. Мы же говорим о том, как ДОЛЖНО быть сделано.

Так и должно - авторизация запрашивается в момент, когда должно совершиться действие, где авторизация нужна, а не полчаса назад.