LINUX.ORG.RU
ФорумSecurity

QR code PAM модуль, неужели до сих пор нет?

 , ,


0

1

Чтобы смартфоном щёлкнул и готово, без вебкам челленджа, всё по HTTP.

Согласование секрета:

  • управляющей утилитой генерим, показываем на экране тем же самым QR
  • приложением фоткаем, сохраняем на смартфоне секрет в хранилище, при желании навешиваем биометрию

Flow:

  • генерим payload, шифруем общим секретом, отправляем на сервер, показываем QR с id
  • приложением фоткаем QR, по id забираем с сервера payload, расшифровываем, показываем на экране, предлагаем aprove/decline и отправляем ответ
  • чекаем сервер на предмет ответа

Или сложно и не нужно?

★★★★★
взломали сервер?
Отключить запрос пароля, если нет за пк долгое время. как?

Чего в итоге добиться хочешь? Назови пару примеров применения, желательно очевидно полезных. Цирк с телефоном вместо ввода пароля не выглядит сколь-либо оправданным.

WitcherGeralt ★★
()

А ты точно не pam_oath хочешь? Про генерацию payload не совсем понял - нужно зашифровать на сервере, расшифровать на клиенте, потом ответ зашифровать на клиенте, расшифровать на сервере (если я правильно понял описание), чтобы что?

micronekodesu ★★★
()
Ответ на: комментарий от WitcherGeralt

Цирк с телефоном вместо ввода пароля не выглядит сколь-либо оправданным.

Обслуживание киосков с сенсорным экраном, например. Это не отменит наличие физической клавиатуры в чемоданчике техника, но сократит варианты её использования.

vvn_black ★★★★★
() автор топика
Ответ на: комментарий от micronekodesu

Про генерацию payload не совсем понял

Payload генерит и шифрует точка на которой надо авторизоваться. Расшифровывается и отображается в приложении на смартфоне, ответ шифруется там же. Сервер - просто транспорт.

чтобы что?

Чтобы быть уверенным что ты авторизуешь то, что действительно хочешь. Условно, показал на экране «вишенку» и видишь «вишенку» на экране смартфона - ok.

vvn_black ★★★★★
() автор топика
Ответ на: комментарий от WitcherGeralt

Цирк с телефоном вместо ввода пароля не выглядит сколь-либо оправданным

Почему бы и нет? Вместо телефона можно сделать бейдж и пока ты сидишь перед компом всё будет автоматом разблокироваться/подтверждаться что требует пароля. Такой вот faceid для нищих.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Такое уже есть, через веб-кам https://github.com/mlabouardy/pam-qrcode

Моя хотелка, всё-таки использовать смартфон как аутентификатор, используя Android keystore. Жалко, что такая штука «пропадает».

vvn_black ★★★★★
() автор топика
Ответ на: комментарий от WitcherGeralt

Цирк с телефоном вместо ввода пароля не выглядит сколь-либо оправданным.

Хм? В онлайн-банк так входить просто шикардос: вместо того, чтобы судорожно вспоминать пароли или лезть в KeePassXC, просто берешь телефон, фейсайдишишься и чекаешь код с экрана.

Zhbert ★★★★★
()
Ответ на: комментарий от WitcherGeralt

Ну я мимо проходил, увидел слова знакомые, высказался…

Zhbert ★★★★★
()
Ответ на: комментарий от vvn_black

дык перепили под себя.
иль заплати комунить, умеющему запиливать хотелки с блекджеком и андроидами…

pfg ★★★★★
()
Ответ на: комментарий от pfg

Да, не вопрос. От других экспериментов по подобной схеме осталось android-приложение с функциональностью Key Management Service.

Но, как всегда катастрофически не хватает времени и мотивации.

vvn_black ★★★★★
() автор топика

А с qr пока все плохо - каждый шифрует чем хочет и как хочет. Из-за этого появилась куча приложений для входа через qr. Каждый кто реализовал вход через qr сделал свой, закрытый велосипед.

Если бы имелось такое ПО c описанием процесса, то его можно было бы применить в своих системах.

FreeOTP стал возможен благодаря стандартам.

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
взломали сервер?
Security
Отключить запрос пароля, если нет за пк долгое время. как?