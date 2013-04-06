|
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
Ну это решение проприетарного Штоапа. При чём здесь Jabber вцелом? Виноват только тем, что Всосап тоже использовал XMPP ?
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
NPM, походу, решил себя закопать.
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.
Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.
TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту
> Не всё в жизни - это браузер. По крайней мере, у меня.
Браузеры используют системное хранилище ключей по идее
Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..
еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.
> Файл можно незаметно украсть. Лаптоп — нет.
если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет
ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр
FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное пров...
Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярным...
Что значит могли Делали Стандартизировали не для этого А чтобы всех на него...
А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.
> А в процессорах - SGX, SEV и TrustZone.
Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?
Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.
> хочешь на сайт? Докажи,
> что у тебя какое надо устройство. Не доказал? Ну значит ты
> нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того,
> что хозяева не одобрили.
FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.
>Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет
Могут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат. Вы находитесь здесь.
Ноджыэса - подмял майкрософт Так что его ждет та же участь что гитхаб, скайп и ...
> Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?
Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
такое впечатление, что они спросили совета как жыть - у чатгопоты.
(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт запасных настроено, но у среднего обывателя он был ровно один.)
а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт запасных настроено, но у
> среднего обывателя он был ровно один.)
Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.
Ну и не говоря о том что железные ключи практически бессмертные.
>Ну и не говоря о том что железные ключи практически бессмертные.
Да что тут ключи, вы ведь и сами до 150 лет дожить небось надеялись, а там и бессмертия достичь...
> Ну и не говоря о том что железные ключи практически бессмертные.
А о том что делать если они все же сдохли или про@#$лись мы подумаем - потом. Хотя для начала - про@#$тся девелоперы. Ибо задолбаются канкан танцевать за право поработать бесплатно на корпорацию майкрософт. Это и так то - не бог весть какая привилегия.
SSH/GPG используешь? Железные токены имеет смысл брать как минимум ради него, просто потому что это удобно и безопасно
Никто не заставлял до этого людей использовать железки, много разработчиков к ним успели привыкнуть задолго до того как npm решил их потребовать.
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".
Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
> ну отправят на восстановление FIDO2... и получат код сами.
Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.
Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.
тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.
ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.
Для CI предлагается OIDC (последний пункт), без постоянных токенов.
И как оно поможет не получить секрет в момент штатной сборки и, напомню, тут же...
Он за пределы CI не выходит Атаки на CI конечно существуют, спасибо кривизне гит...
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.
Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.
Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.
Мой менеджер паролей (битварден) даже если не смог угадать форму, показывает только креды от сайта, на котором я нахожусь.
Если мне надо куда-то зайти,а менеджер не показывает логины и их надо искать - это небольшой такой колокол, что происходит какая-то стрёмная хрень.
> А что из предложенного спасёт ?
Fido2. Нормальная криптография вместо паролей, и проверка кто на самом деле ключ запрашивает идёт в железке, его нельзя так просто перехватить.
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.
ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG
p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
Не, время эту лапшу на уши вешать давно прошло. Сейчас время "ультраправых" политиков: нам не будут лапшу науши вешать про "вот он ГНУ, но ничего никуда никому не сольёт", вместо этого будут через колено ломать: заходить будете через госуслуги, а кто не хочет через госуслуги заходить - тот вообще никак заходить не будет.
> через госуслуги заходить - тот вообще никак заходить не будет.
Ага, в зимбабве или как там его - уже попробовали. И тут вдруг хипстеры как полезли на улицы из всех щелей. И таки вон те - несколько напряглись с такой фигни. Ж@па то - не казенная, за нее стремновато.
Шиза крепчала. Не нужно. Не взлетит. Красная полоска тоже не нужна. Хватит. Достаточно.
> в репозитории NPM решено реализовать дополнительные меры защиты:
Предлагаю более эффективный вариант - запретить прием пакетов. К чему все эти голимые полумеры и издевательства над хипстерами? Это пожалуй единственный вариант как сделать безопасно при хипстерах в роли разработчиков, который и правда будет работать на практике.
И правильно, давно пора. Все эти токены, все это для соевых хипстеров. Нормальная защита начинается с двухфакторки по смс, а заканчивается на ограничении входа с определенного статического айпи.
У нормальных разработчиков есть выделенка со статикой, а уж вторую симку купить, вставив её в "бабушкофон" который всегда будет лежать на одном месте и никуда не выноситься, это раз плюнуть.
