https://www.opennet.ru/openforum/vsluhforumID3/118908.html В кодовую базу OpenSSH добавлена экспериментальная поддержка двухфакторной аутентификации с использованием устройств, поддерживающих протокол U2F, развиваемый альянсом FIDO. U2F позволяет создавать недорогие аппаратные токены для подтверждения физического присутствия пользователя, взаимодействие с которыми производится через USB, Bluetooth или NFC. Подобные устройства продвигаются в качестве средства для двухфакторной аутентификации на сайтах, уже поддерживаются основными браузерами и выпускаются различными производителями, включая Yubico, Feitian, Thetis и Kensington...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51800<br> https://www.opennet.ru/openforum/vsluhforumID3/118908.html#81 Wed, 13 Nov 2019 17:51:02 GMT Офигеть секрет, который обычно знают как минимум сослуживцы или члены семьи.<br> https://www.opennet.ru/openforum/vsluhforumID3/118908.html#80 Sat, 09 Nov 2019 00:11:57 GMT На yubikey вроде можно было и так записать ssh ключ вместе с pgp<br> https://www.opennet.ru/openforum/vsluhforumID3/118908.html#79 Fri, 08 Nov 2019 18:13:11 GMT Многие забывают что логин - это ТОЖЕ секрет, ничуть не меньше чем пароль. <br><br>логин - раз, пароль - два = Двухфакторная Аутентификация. :)<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/118908.html#78 Thu, 07 Nov 2019 21:37:02 GMT &gt;&gt; Однако, я думал что с чипованной банковской картой можно побеседовать об ассимитричной <br>&gt;&gt; криптографии. Я неправ?<br>&gt; прав, оно примерно такое и есть - но с ньюансами. Вот в <br>&gt; том плане, что для подключения карты никакие коды не спрашивают. А <br>&gt; значит - что-то знают заранее, и это что-то становится известно еще <br>&gt; при ее выпуске. Можно ли это что-то спросить у карты постфактум <br>&gt; - неизвестно. (то есть не зашифровано ли оно чисто так случайно <br>&gt; ключиком visa inc прямо в процессе генерации)<br><br>"Им" не требуется ничего спрашивать у карты при подключении, потому что публичный ключ который предъявляет карта при хэндшейке, подписан банком эмитентом или кем-то доверенным в тусовке. Это только кустарю пришлось бы сверяться, тот ли это ключ который карта показывала в прошлый раз, или нет, оверхед не критичный.<br><br>&gt; Возможно, ответ действительно лежит где-то неглубоко на emvco.com, но лично я не <br>&gt; готов копать - слишком мал шанс на успех.<br><br>Спасибо за наводку.<br><br>&gt; А насчет неподделываемости - все хорошо. https://www.opennet.ru/openforum/vsluhforumID3/118908.html#77 Thu, 07 Nov 2019 20:04:43 GMT &gt; Однако, я думал что с чипованной банковской картой можно побеседовать об ассимитричной<br>&gt; криптографии. Я неправ?<br><br>прав, оно примерно такое и есть - но с ньюансами. Вот в том плане, что для подключения карты никакие коды не спрашивают. А значит - что-то знают заранее, и это что-то становится известно еще при ее выпуске. Можно ли это что-то спросить у карты постфактум - неизвестно. (то есть не зашифровано ли оно чисто так случайно ключиком visa inc прямо в процессе генерации)<br><br>Открытые ли это протоколы и криптография - неизвестно.<br><br>Возможно, ответ действительно лежит где-то неглубоко на emvco.com, но лично я не готов копать - слишком мал шанс на успех.<br><br>А насчет неподделываемости - все хорошо. В приличных странах zero liability. То есть visa inc отвечает собственными деньгами за любые операции с подделанными картами.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/118908.html#76 Thu, 07 Nov 2019 18:36:28 GMT &gt;&gt; По идее, ничего секретного от карты не требуется, а просто добыть пруф что она это она.<br>&gt; тебе нужен _неподделываемый_ пруф. Который ни второй раз использовать нельзя, ни имитировать. <br><br>Это в принципе достижимо, не требуя от карты раскрытия никакого секрета. Грубо:<br><br>Я: Карта, скажи-ка свой публичный ключ.<br>Карта: 12345678<br>Я: (сравниваю с ключом который она мне давала, когда мы знакомилисть) Узнаю брата Колю. Подпиши-ка мне своим секретным ключём вот эту рандомную последовательность: 44444444.<br>Карта: AABBCCDD<br>Я: (проверяю, соответсвтвует ли цифровая подпись публичному ключу, который мне знаком) Ты не пройдёшь!<br>Карта: Тогда AABBCCZZ<br>Я: (проверяю ещё раз) Дракарис! (если другой фактор аутентификации указан правильно, то пугаюсь, добавляю источник в бан и шлю себе алерт что другой фактор и данные карты утекли)<br><br>(Обмен данными с платёжным терминалом происходит несколько иначе, вульгаризацию можно посмотреть, например, здесь: http://brianchang.info/2016/03/19/chip-card-basics.html)<br><br>С магнитной карт https://www.opennet.ru/openforum/vsluhforumID3/118908.html#75 Thu, 07 Nov 2019 07:41:40 GMT &gt; и тыкать в стандартную читалку собственной банковской карточкой, в качестве ключа.<br><br>банковская карточка (оставляя в стороне особенности чипа) - банальная последовательность цифр и букв, совершенно от копирования не защищенная (если кто не в курсе - изначально вся система кредитных карт строилась исключительно на доверии, предполагалось, что потери от обмана будут незначительны, а заниматься этим должна полиция. Собственно, и по сей день много где ничего кроме цифр и букв не требуется для совершения сделки.) <br><br>С чипом все становится интересней, но читать спецификации - занятие на несколько месяцев, и не факт что нужные куски вообще в открытом доступе. Я уже говорил - я спрашивал инженеров, работающих с процессингом - они, к сожалению, оказались недостаточно в теме - слишком многое им перепадает в готовом виде, привинченное намертво к стойке и работающее неведомо каким образом. А найти тех, кто внедрял именно ту штуку с кодами - не удалось. Может их в подвале на чистых прудах замуровали живьем...<br><br>&gt; По и https://www.opennet.ru/openforum/vsluhforumID3/118908.html#74 Wed, 06 Nov 2019 22:16:35 GMT &gt;&gt; Т.е. дать устройству "понюхать" рандомную карту <br>&gt; какому устройству? ;-) Синяя фиговина - это просто кнопки и экран, у <br>&gt; нее своего мозга нет вообще, это просто возможность как-то общаться с <br>&gt; чипом карты.<br><br>Я о более минималистическом сценарии использования говорю. Оставить в покое синюю фиговину, и тыкать в стандартную читалку собственной банковской карточкой, в качестве ключа.<br>По идее, ничего секретного от карты не требуется, а просто добыть пруф что она это она.<br> https://www.opennet.ru/openforum/vsluhforumID3/118908.html#73 Wed, 06 Nov 2019 21:22:44 GMT &gt; молодец, а я вчера у лоха ипхон десятый отжал - и, представляешь, <br>&gt; не догнали!<br><br>Это вам не ко мне, а на форум для "чотких".<br><br>&gt; Все кто болтают что за это можно сесть лет на пять - <br>&gt; дураки и нехрен их слушать!<br>&gt; Ты _всерьез_, на самом деле, нарушил законы двух стран. Тебе _повезло_.<br>&gt; Надо быть полным дураком, чтобы так подставляться, когда на людей заводили вполне <br>&gt; реальные уголовные дела за вшивую моторолловскую мобилку.<br>&gt;&gt; Сам так покупал, на пакетике было написано USB Drive <br>&gt; у одного чувака на пакетике вообще было написано "соль поваренная". Визуально - <br>&gt; ну прям не отличишь. Но приняли его, почему-то, за наркоту.<br><br>Ой-вэй, подскажите адрес ближайшего отделения чтобы пойти сдаваться?<br><br>А теперь серьезно. НИКТО не будет проверять ваш пакетик с "флешечкой", ибо подобного добра в день проходит тысячи, спасибо всяким Али. И я уж не стану говорить вам, что U2F токен немного специфическая вещь, котору вряд ли бдут высматривать. Если же хотите совсем наверняка чтобы все "легально" - ну пожа