yopp
а аутентификатором гугловским тоже всё плохо
yopp
там сиды плейнтекстом хранятся
yopp
ну короче, я вот хотел почитать бородатых мужей и серьёзных тёток на этот счёт
Vladimir
именно поэтому пароль, даже если говно и интересен :)
yopp
чтоб понять ваще какая модель рисков есть
yopp
и какие меры можно принять
Vladimir
потому шо попасть так, шоб и сид стырить и пароль, это надо постараться
yopp
исходя из того что у большинства пользователей пароли везде одинаковые и сводятся к небольшому словарю с высокой эффективностью, то пароль стырить очень просто :)
yopp
потому что его не надо тырить
yopp
у TOTP по каналам связи есть очевидный минус с точки зрения UX
yopp
нет гарантии доставки в нужное время
Magistr
но заставлять ставить TOTP софт — жлобство
http://sakurity.com/blog/2015/04/10/email_password_manager.html подумай в эту сторону
yopp
«http://sakurity.com» нет, спасибо
Magistr
а что не так ? у него интересные мысли по поводу 2фа и паролей
Vladimir
A ты 5ю главу RFC 6238 читал?
Vladimir
ну так а чего тебе еще нехватат? :)
yopp
а что не так ? у него интересные мысли по поводу 2фа и паролей
там про сам TOTP механизм и его защиту
yopp
а не про факторы риска использования этого механизма
Vladimir
http://www.rfc-editor.org/rfc/pdfrfc/rfc4226.txt.pdf
Vladimir
Appendix A
Vladimir
в частности А.5, но и А.4 тоже
yopp
яж говорю, это всё про сами алгоритмы
yopp
а не про схему атуентификации
Vladimir
ну так фактор риска очевиден, не?
yopp
в том то и дело, что не очевиден
Vladimir
То же самое, что и с обычным паролем
Vladimir
минус факт того, что у тебя есть time step
yopp
нет, с паролями это не имеет ничего общего, потому что модель угроз уже другая
yopp
да, есть похожие угрозы
yopp
например я вижу что это предотвращает часть пассивных фишинговых атак
yopp
но не предотвращает активные атаки, которые по сути MiTM
Vladimir
> например я вижу что это предотвращает часть пассивных фишинговых атак
каким образом?
yopp
2FA не защищает от утечки пароля в этом случае
Vladimir
https://www.redhat.com/archives/freeipa-devel/2014-July/msg00194.html
Vladimir
Это тоже видел?
yopp
нет, это не видел
yopp
щас буду жрать и читать
yopp
спасибо
Vladimir
но с ресерчами беда конечно полная
yopp
Тоже такое. :(
yopp
http://sakurity.com/blog/2015/04/10/email_password_manager.html подумай в эту сторону
тут не учитывается говно на мобилках
yopp
я открыл на iOS твиттер апп, там увидел ссылку, ткнул, она открылась в WebView твиттер аппа, я ввёл почту, мне пришла ссылка, я на неё нажал, мне открыли сафари
yopp
это конечно решается, но там гемора на порядок больше
Magistr
не, я нерассматриваю мобилы как что-то с чего можно работать
yopp
а зря
yopp
десктопы сдохли почти
Magistr
мне нужна консоль ссх пачка вкладок и браузер, а еще впн и все это пихать в мобилу нет спасибо
Magistr
да несдохли они, текста набирать всеравно удобно с полноценной клавы
yopp
сдохли.
Magistr
а работать в дороге с мобилы фтопку
Magistr
я лучше отдохну
Aleksey
chatops же
yopp
http://www.statista.com/statistics/241462/global-mobile-phone-website-traffic-share/
Magistr
meh ci cd сначала до конца внедить надо
yopp
кстати
Magistr
пыриться в сайтики != работать
yopp
вот как вы решаете зоопарк с аутентификацией в кусках инфраструктуры?
Magistr
как будто что-то плохое
yopp
нет, не плохое, я всеми руками за преход от тупой коробки, к простому и удобному девайсу.
yopp
вот как вы решаете зоопарк с аутентификацией в кусках инфраструктуры?
но вот это тоже интересно
yopp
я вот не знаю чо делать
yopp
LDAP чтоли?
Vladimir
> @dd_bb
вот как вы решаете зоопарк с аутентификацией в кусках инфраструктуры?
RSA для VPN, YubiKey для ссх и всего прочего.
Vladimir
угу, и LDAP тоже
Dmitriy
вижу, 6 знаков
Dmitriy
это упражнение будет называться "забрутфорсь 6 цифр за 30 секунд"
Dmitriy
думаю, что обычно с первого захода ломать будут
Vladimir
> это упражнение будет называться "забрутфорсь 6 цифр за 30 секунд"
Мне так кажется что ОТП он все же подлиннее будет делать. Иначе я это на айфоне забрутфорсю меньше чем за 10 секунд :)
yopp
это упражнение будет называться "забрутфорсь 6 цифр за 30 секунд"
забрутфорсь с задержкой 50мс
yopp
(или с квадратично возрастающей задержкой после 3х неудачных попыток)
Max
Минутка боли
Max
пришибли реплику постгри за ненадобностью, теперь заббикс возбудился и кричит про патерю пакетов
Max
как эту хуету заткнуть
Max
бля...
Lex
вруби мейтенанс режим
Lex
для этой ноды