понял

посоны а как можно два nginx в докере повесить на один порт?

Никак

https://www.thoughtworks.com/radar/tools/jenkins-as-a-deployment-pipeline

https://teamcity.jetbrains.com/project.html?projectId=MPS&tab=projectBuildChains

ой

оказывается в тимсити ваша свистоперделка тоже есть!

ажо с 6 версии

шо за свистоперделка?

pipeline

никрасива!

и нимаргает!

и кривых соплей нет

это дело разве?

это

а группы по безопасности есть?

у меня тут куча вопросов про paswordless аутентификацию юзеров

пиши тут или создай

у меня тут куча вопросов про paswordless аутентификацию юзеров

группы есть, но они либо general и не ответят на вопрос, либо более узконаправленные и не подскажут продакшеновых бест практис

я бы задал их сюда и в девопс

и может быть сюда: https://telegram.me/secinfosec

http://blog.reportchef.com/2016/08/23/the-ultimate-list-of-300-slack-communities/ (не к телеграму конечно, но может кому будет интересно)

Приветики

Не могу найти нормальных исследований на тему безопасности passwordless аутентификации с TOTP, в частности как единственного фактора.

Ткните лицом, я не верю что нет :(

(это про сюда)

На вики есть ссылки на парочку статей

там почти везде в разрезе 2FA

Не то шоб исследования конечно.

Это тоже уже видел? http://security.stackexchange.com/questions/37203/what-are-the-security-implications-of-using-totp-for-single-factor-authenticatio

йеп

на SE я уже там по тегу TOTP пролистал все топики

там тоже народ в основном про 2FA

А в чем интерес, кстати, кроме исто теоретического?

практический интерес

Чувак в том топике прав, любой человек имеющий сид/хэш будет иметь и доступ. Несколько инсекурно.

любая аутентификация на секретах так работает :)

любой человек имеющий пароль, будет иметь доступ

ну да, так а в чем тогда смысл делать TOTP? :)

без второго фактора

в чём смысл в пароле, как в первом факторе?

95% пользователей туда введут говно

которое у них введено ещё на сотне сайтов

ну… :) тада проще генерить и не давать менять на самопридуманные

его никто не будет запомнать

и будут пользоваться «восстановить пароль»

что приводит нас к TOTP :D

у нас сейчас именно схема «генерить» была реализована

мы генерируем 6 значний пасскод

проблема в том, что мы присылаем его по почте

а это значит что он не обеспечивает ретроспективной защиты

ресетить его сразу после логина :)

что приводит нас к TOTP :D

^^^

ага ага. извратненько, но…

а че не сделать 2ФА и не мучаться?

потому что в пароле как факторе смысла нет?

я исхожу из того что 95% людей срали на пароли

https://haveibeenpwned.com меня в этом поддерживает

как следствие, зачем лишний фактор, если он говно? :)

я пока вижу несколько векторов атаки

если TOTP передаётся по почте, это незащищённый канал

так-же как и смс

ну так привяжи просто authenticator какой-нить и все.

без паролей

но заставлять ставить TOTP софт — жлобство

зависит от целевой аудитории

ERROR: S client not available

по этому надо дать выбор

кратко объяснив чо не так с каждым из способов

а аутентификатором гугловским тоже всё плохо

там сиды плейнтекстом хранятся

ну короче, я вот хотел почитать бородатых мужей и серьёзных тёток на этот счёт

именно поэтому пароль, даже если говно и интересен :)

чтоб понять ваще какая модель рисков есть

и какие меры можно принять

потому шо попасть так, шоб и сид стырить и пароль, это надо постараться

исходя из того что у большинства пользователей пароли везде одинаковые и сводятся к небольшому словарю с высокой эффективностью, то пароль стырить очень просто :)

потому что его не надо тырить

у TOTP по каналам связи есть очевидный минус с точки зрения UX

нет гарантии доставки в нужное время

но заставлять ставить TOTP софт — жлобство

http://sakurity.com/blog/2015/04/10/email_password_manager.html подумай в эту сторону

«http://sakurity.com» нет, спасибо

а что не так ? у него интересные мысли по поводу 2фа и паролей

A ты 5ю главу RFC 6238 читал?

A ты 5ю главу RFC 6238 читал?

йеп

ну так а чего тебе еще нехватат? :)

а что не так ? у него интересные мысли по поводу 2фа и паролей

там про сам TOTP механизм и его защиту

а не про факторы риска использования этого механизма

http://www.rfc-editor.org/rfc/pdfrfc/rfc4226.txt.pdf

Appendix A

в частности А.5, но и А.4 тоже

яж говорю, это всё про сами алгоритмы

а не про схему атуентификации

ну так фактор риска очевиден, не?

в том то и дело, что не очевиден

То же самое, что и с обычным паролем

минус факт того, что у тебя есть time step

нет, с паролями это не имеет ничего общего, потому что модель угроз уже другая