https://opennet.ru/openforum/vsluhforumID3/114985.html Недавняя подстановка (https://www.opennet.ru/opennews/art.shtml?num=48960) вредоносного ПО в популярный NPM-модуль eslint, привела к отправке злоумышленникам SSH-ключей доступа, хранящихся в домашней директории нескольких тысяч разработчиков. Многие разработчики не придали этому должного внимания из-за того, что их ключи были зашифрованы с использованием пароля. Тем не менее по умолчанию в SSH для закрытых RSA-ключей применяется устаревший и ненадёжный (https://latacora.singles/2018/08/03/the-default-openssh.html) метод шифрования, использующий блочный шифр AES с ключом в виде MD5-хэша от заданного пользователем пароля (с солью). Функция bcrypt_pbkdf, обеспечивающая должную защиту от подбора, применяется только для ключей на базе эллиптических кривых (Ed25519).<br><br><br>Применение по умолчанию неэффективного шифрования на базе MD5, производительность подбора хэшей для которого на современном оборудовании может достигать миллиардов проверок в секунду, не только сводит на нет пользу от шифрования ключа, но и, по мне https://opennet.ru/openforum/vsluhforumID3/114985.html#81 Sun, 05 Sep 2021 01:35:56 GMT Snap все еще живее всех живых<br> https://opennet.ru/openforum/vsluhforumID3/114985.html#80 Mon, 13 Aug 2018 08:48:28 GMT &gt;&gt; единственный способ украсть его - это взломать ваш кипасс <br>&gt; что наверняка является тривиальной и многократно-решённой задачей, так как защититься <br>&gt; от взлома по факту не возможно при условии что злоумышленник софт <br>&gt; запускает прямо у тебя на компьютере, и при этом соблазн решить <br>&gt; задачу взлома именно Keepass* (а не чего-то другого) высокий так как <br>&gt; достоверно ясно что там будут пароли <br><br>Но согласитесь, что украсть зашифрованный ssh-rsa ключ и украсть зашифорванную базу keepass - две совершенно разные вещи.<br>Как минимум на один вектор атаки меньше.<br> https://opennet.ru/openforum/vsluhforumID3/114985.html#79 Mon, 13 Aug 2018 08:28:17 GMT &gt; единственный способ украсть его - это взломать ваш кипасс<br><br>что наверняка является тривиальной и многократно-решённой задачей, так как защититься от взлома по факту не возможно при условии что злоумышленник софт запускает прямо у тебя на компьютере, и при этом соблазн решить задачу взлома именно Keepass* (а не чего-то другого) высокий так как достоверно ясно что там будут пароли<br> https://opennet.ru/openforum/vsluhforumID3/114985.html#78 Wed, 08 Aug 2018 09:49:13 GMT &gt; ну стикеры на мониторе немного получше. Камеру только заклеивать не забывай, и <br>&gt; на мобиле, с которой ходишь мимо этого монитора, тоже.<br><br>Лучше тем, что их не очень удобно таскать с собой, перепечатывать, как и хранить на них автогенерированные пароли 12+ знаков? Сомнительное преимущество.<br>А чтобы угнать пароли со стикера с помощью камеры, нужен доступ к этой самой камере, но тогда угон паролей со стикеров будет не самой насущной твоей проблемой.<br><br>&gt;&gt; Не, если у вас в форточках все еще можно сделать OpenProcess(PROCESS_VM_READ &#8230;) <br>&gt;&gt; любого пользовательского процесса без доп. привилегий, то это все таки ваши, <br>&gt; а у "вас" какие дополнительные привиллегии нужны пользователю, чтобы подцепиться отладчиком <br>&gt; (о ужас, ему доступна память процесса!) к собственному процессу?<br>&gt; У вас,как и в форточках, давным-давно уже вся мультиюзерность чисто для галочки, <br><br>Ну да, все ж дурны-ы-ы-е, не догадываются, куда им до опеннетчиков &#8230; <br>https://github.com/openssh/openssh-portable/blob/5ee3fb5affd7646 https://opennet.ru/openforum/vsluhforumID3/114985.html#77 Wed, 08 Aug 2018 09:12:34 GMT &gt;&gt; удостовериться, что приватный ключ был сгенерен внутри токена <br>&gt; И насколько надежные ключи оно генерит?<br><br>от васяна - вполне надежные, даже если вам попалась версия с багом.<br><br>но вот пользоваться этим для ssh, и быть застрахованным от такого же васяна, но получившего доступ к вашей системе - не получится (во всяком случае, без геморроя).<br><br> https://opennet.ru/openforum/vsluhforumID3/114985.html#76 Wed, 08 Aug 2018 09:10:33 GMT &gt; не понятна претензия к юбикею: он умеет быть смарткартой аж двумя способами. <br><br>ну так прочитайте внимательно, о чем речь.<br>умеет. только у меня настоящих смарткарт -полные карманы. По цене пластмассы и без геморроя с покупкой.<br><br>а работать в качестве законченного решения - не умеет (умеет другими способам, которые, обычно, и используют - либо извлекая из него ключ, либо используя его otp, разумеется, хакнувшему тебя васяну все это тоже доступно, кнопка - защита никакая). Соответственно, ненужен.<br><br>правильное использование смарткарты, о котором вам писали - вообще не предполагает ее сования в компьютер.<br><br> https://opennet.ru/openforum/vsluhforumID3/114985.html#75 Wed, 08 Aug 2018 06:22:24 GMT &gt; удостовериться, что приватный ключ был сгенерен внутри токена<br><br>И насколько надежные ключи оно генерит?<br> https://opennet.ru/openforum/vsluhforumID3/114985.html#74 Wed, 08 Aug 2018 00:38:58 GMT не понятна претензия к юбикею: он умеет быть смарткартой аж двумя способами. гуглить yubikey piv и yubikey openpgp. в первом случае даже есть спец. процедура аттестации, позволяющая удостовериться, что приватный ключ был сгенерен внутри токена и поэтому точно неизвлекаем / не сдублирован где-то еще. оба способа вполне себе популярны и рекомендуемы<br> https://opennet.ru/openforum/vsluhforumID3/114985.html#73 Tue, 07 Aug 2018 20:21:41 GMT &gt; Да ну? Правда? Защищает только от угона ФФ-файла с паролями (причем так, <br><br>а зачем его угонять, если наиболее вероятный вектор - сам файрфокс, точнее открытый в нем сайт? когда мне понадобился дамп этих паролей - первое, что нашел гугль, был какой-то банальный скрипт, который просто вывел их все текстом в очередной таб. Не думаю что нельзя было вместо этого вывести в POST.<br><br>&gt; А вообще, речь шла о "ненужности" паролехранилок и попытке с моей стороны <br>&gt; показать, что "альтернативы" еще хуже. Так что не будь таким занудой <br><br>ну стикеры на мониторе немного получше. Камеру только заклеивать не забывай, и на мобиле, с которой ходишь мимо этого монитора, тоже.<br><br>&gt; Кроме лейтенанта и товарища прапорщика есть возможность про*бать или "задарить" какому <br>&gt; нибудь Васяну IRL.<br><br>ну так васян тоже умеет отжимать мабилы, а не подбирать пароли. Тут я буду спать спокойно - во всяком случае, после их неторопливой смены.<br><br>&gt; Не, если у вас в форточках все еще можно сделать OpenProcess(PROCESS_VM_READ &#8230;) <br>&gt; любо