Идея любопытная. Но такой usb-ключик во вражеский комп лучше не совать.

Понятное дело

Я когда писал диплом, интересовался такими алгоритмами авторизации. Если использовать не просто флешку, а USB-токен с процом и оперативкой (такие есть в продаже) можно генерить сеансовые ключи и совать его во вражеские компы;-)

железные токены уже не актуальны, ныне рулят удаленные софтварные токены, высылающие пасскод на мобилу

> железные токены уже не актуальны, ныне рулят удаленные софтварные токены, высылающие пасскод на мобилу

а пример реализации или пара ссылок подтвердила бы данную "вызывающе неверную информацию" ;-)

Ты чё! СМС это секъюрно!

Не слышал о таких.

>высылающие пасскод на мобилу

1. SMS ходит без шифрования и легко может быть перехвачено.

2. Большой пасс читать с мобилы и набирать не удобно, а пасс будет надежным от ~ 12 символов

Вывод: твой пост вызывающе неверная информация

http://pam-x509.sourceforge.net/

И чего тока не придумают чтоб зазря бабла срубить! Как ни крути - самое узкое место - момент передачи ключика с носителя в комп. А уж вражеский или свой - дело десятое.

>высылающие пасскод на мобилу

> 1. SMS ходит без шифрования и легко может быть перехвачено.

> 2. Большой пасс читать с мобилы и набирать не удобно, а пасс будет надежным от ~ 12 символов

> Вывод: твой пост вызывающе неверная информация

Вы чего-то не понимаете. Если пароль одноразовый и валиден, скажем, 2 минуты после отправки - то, соотвественно, его секьюрность должна быть только на две минуты переборной атаки. Т.е. 6 цифр вполне достаточно.

Перехватить SMS, конечно, можно, но не так легко, как некоторым хотелось бы. А еще можно звонить на мобилу и "железным голосом" диктовать цифры ;)

>>Вы чего-то не понимаете. Если пароль одноразовый и валиден, скажем, 2 минуты...

Нуно каким нить образом сказать машине что я Вася Пупкин и перехватить пассворд высылаемый на его телефон. Самый простой способ - подойти к рабочему месту Васи в обед. Там рядом и мобила его лежит. Наворотов много, толку нет. Чуть сложнее - заиметь такую же как у Васи симку :).

>Вы чего-то не понимаете. Если пароль одноразовый и валиден, скажем, 2 минуты после отправки - то, соотвественно, его секьюрность должна быть только на две минуты переборной атаки. Т.е. 6 цифр вполне достаточно.

Это вы не понимаете, что смс можно перехватить и воспользоваться пассом _раньше_чем законный обладатель. Вам вполне оператор сотовой связи может сделать "отказ в обслуживании" после запроса пасса, и передать пасс хакеру.

>Перехватить SMS, конечно, можно, но не так легко, как некоторым хотелось бы. А еще можно звонить на мобилу и "железным голосом" диктовать цифры ;)

.1. Можно клонировать симку

2. Можно сканить эфир и дешифровать переговоры и сообщения

3. Можно купить оператора сотовой связи

> Это вы не понимаете, что смс можно перехватить и воспользоваться пассом _раньше_чем законный обладатель.

Например, пароль открывает дверь датацентр. И что, атакующий будет оттирать вас плечом, и вводить тот же пароль? ;)

Я не говорю, что эта схема супер-пупер. Я говорю, что она вполне имеет право на жизнь в определенных ситуациях

А если потенциальный хакер может "купить оператора сотовой связи" - то криптография вас не спасет. Ему будет проще прийти с паяльником и интерфейсить оный в вашим анальным отверстием до тех пор, пока вы ему сами все не откроете...

А как такая система будет отправлять пароль на мобильник? Через СМС-гейт, или е-майлом? Или к ней будет приаттачен мобильник?

Самый лучший ключ - GRUB на дискете(на комп не ставится).8) Я такое один раз видел. Ненадежно, зато оригинально.

>1. Можно клонировать симку 2. Можно сканить эфир и дешифровать переговоры и сообщения 3. Можно купить оператора сотовой связи

А ещё можно надавать юзеру по почкам или взять в заложники родственников...

>А ещё можно надавать юзеру по почкам или взять в заложники родственников...

А если юзер - Путин?

>Я не говорю, что эта схема супер-пупер. Я говорю, что она вполне имеет право на жизнь в определенных ситуациях

В схеме есть серьезные изъяны - она не имеет права называться надежной.

реймановец

> система будет отправлять пароль на мобильник?
очень просто - либо через свой стационарный мобильник (например, siemens tc35) либо вообще по SMPP буде оно разрешено ОПСОСом.

А что, у Путина нет почек? ;)

это все довольно понятно. а вот (мечтательно) нельзя ли так извернуться, чтобы ключик, воткнутый в тонкий клиент (linux/freebsd с rdesktop) в какой-то форме передавался на terminal server и использовался для авторизации там (там программа самописная можно сделать все, что угодно)?

кто-нибудь подобное делал/слышал?

---vk

ну вообще-то у вас соединение по сети, а это накладывает еще одну прослойку, в том числе и в плане безопасности. Так как всякие usb sticks, smartcards и тому подобное расчитаны на то, чтобы их непосредственно подключали в машину с которой надо работать, то по-всей видимости, рассматривая вашу проблему, такое никто не делал. Если вы действительно можете контролировать принимающую данные сторону (прога у вас самописная), то можете в rdesktop написать какое-нибудь расширение, которое будет отправлять данные со smartcard в вашу программу.

Не, народ! Любые схемы с парой ключей работают надёжно только тогда, когда приватный ключ не доступен компу, а сеансовый кляч генерится смартовым устройством, которое выше упоминалось или подобным. Иначе приватный ключ может просто потерять свою девственную приватность - и всё. Надёжную передачу ключа на такой девайс еще можно как-то организовать, главное, что бы устройство АППАРАТНО не позволяло считать этот ключ. Но и это все - не надёжно. Карточку или там USB-stick можно отнять и тыкать пока не надоест. Биометрия рулит, при чем уже и мыши появились такие. Видел в новом кернеле драйвер даже. Но и тут есть свои минусы - палец порезал или утюгом обжег - можешь гулять... Короче, на каждую хитрую схему АА найдется куча своих минусов :) Alex Lukin

> по-всей видимости, рассматривая вашу проблему, такое никто не делал.

я вдумчиво почитал man rdesktop и понял, что можно:

1. примонтировать флешку (тем же usbd).

2. замапить ее на сервер с клиента -- в rdp это предусмотрено.

делать пока не пробовал, но, видимо, это легче всего делается именно так.

---vk