RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

Никто не мешает взять файлы с репозитория NitroKey, SoloKeys, заказать платы и компоненты, самостоятельно спаять их.

О том и речь. 2FA с генераторами ключей сама по себе никакую безопасность не может гарантировать в принципе. Точно так же как покупка кисточки и красок вообще ни разу не гарантирует создание гениальных картин. Безопасность обеспечивает только правильное использование этой технологии.

Я так и поступил, заказал платы, заказал компоненты, знакомый работник ремонта телефонов спаял мне все вместе, залил прошивку и пользуюсь ими.

Вот это и есть настоящая забота о собственной безопасности, а не тупая вера в маркетинг корпораций добра.

Там где ты купил свой отдельный девайс для OTP и Yubikey остались не только твои персональные данные, но и серийники и пр. проданных тебе девайсов. Так что ты не только слил свою приватную инфу третьим лицам, но и добровольно таскаешь с собой дополнительный способ тебя однозначно идентифицировать и взять в оборот третьим лицам

Ты сейчас пытаешься намекнуть, что TOTP ключи генерируются с привязкой к серийнику устройства? Мне кажется, недалек тот день, когда от тебя появится пост про то, как соседи слушают твой вайфай через микроволновку.

Ты сейчас пытаешься намекнуть, что TOTP ключи генерируются с привязкой к серийнику устройства?

Нет никаких технических проблем это сделать. Кроме того, можно в генерируемые ключи закладывать легко извлекаемый серийник, что позволит тербующему 2FA сервису однозначно связать тебя с твоими приватными данными засвеченными при покупке девайса. С точки зрения безопасности и приватности ты просто обязан априори предполагать что корпорация производящая эти ключи именно так и делает, и это она должна доказывать, что это не так. И нет, не маркетинговыми высерами, а, например, публикацией схем и сырцов своих юбикеев, с возможностью самостоятельно реплицировать юбикей и сравнить его поведение с купленным. Но в данном случае я совсем не об этом.

Покупка тобой криптодевайса с серийником делает тебя промаркированной целью. Использование тобой криптодевайса с серийником легко становится 100% доказательством против тебя в случае чего. Это как ещё один паспорт с номером и всеми твоими данными, только выданный какой-то частной конторой который ты хранишь при себе, и при этом известно что он тебе выдан. Действия совершаемые тобой с использованием 2FA раскрывают тебя полностью для третьих лиц.

Например - ты на удалёнке работаешь программистом на какую-нибудь около-оборонку (или около-финансы, или около-ядерку), где дебилы решили что для доступа к каким-то внутренним удалённым сервисам нужна 2FA с использованием юбикея. Соостветственно, третье лицо с доступом к списку покупателей юбикея и какому-то промежуточному узлу сети через который ходит трафик между тобой и около-оборонкой/финансами/ядеркой, может легко идентифицировать всех сотрудников этой конторы со всеми вытекающими. От возможности ликвидации, до возможности шантажа или покупки.

Прям охеренная приватность и безопасность получается, ага. И никакие прокси-туннели не помогут скрыть факт покупки тобой юбикея который понадобился тебе для работы с конкретной организацией.

Прости, но ты несешь параноидальную херню

https://en.wikipedia.org/w/index.php?title=Time-based_one-time_password&useskin=vector#Algorithm

https://en.wikipedia.org/w/index.php?title=HMAC-based_one-time_password&useskin=vector#Algorithm

Секрет тебе передает сервер во время первоначального связывания с клиентом.

Не вообще никакой разницы между юбиком, freeotp и каким-нибудь, прости господи, microsoft authenticator.

Единственное, где используется серийник юбика, это YubiOTP, но 1) даже там можно изменить стартовую последовательность с SN на свою произвольную; 2) он в дикой природе вроде только у LastPass есть.

Единственное, где используется серийник юбика, это YubiOTP

Это тебе юбик сказал, или ты сам реверснул ключик и на 100% убедился в этом?

Но даже если серийник юбика не используется при генерации, что мешает производителю юбика хранить базёнку где серийники привязаны к тому что используется?

Да и как я уже сказал, сам по себе юбик это идентификатор тебя, не хуже паспорта, только данные у производителя юбика и у перепродавцов. По серийнику юбика тебя можно легко вычислить третьим лицам.

Да и самый главный вопрос - а нахрена юбикам вообще серийник? Вот зачем? Выпускали бы без серийника, да и всё. Все юбики идентичны, различить невозможно, Seed и функцию задаёт только юзер. Никто не знает кто и когда какой юбик купил, всё замечательно. Но почему-то серийник присутствует, да и ещё куча идентификаторов унутре, и на кристаллах микрух, и на плате и может даже на пластике корпуса внутри. Зачем? Это же специально надо делать, доп. расходы и всё такое.

Да и самый главный вопрос - а нахрена юбикам вообще серийник? Вот зачем? Выпускали бы без серийника, да и всё. Все юбики идентичны, различить невозможно, Seed и функцию задаёт только юзер.

Для YubiOTP же.

Это тебе юбик сказал, или ты сам реверснул ключик и на 100% убедился в этом?

Прочитай описание алгоритмов уже, наконец. Там НЕГДЕ быть ключу.

Да и как я уже сказал, сам по себе юбик это идентификатор тебя, не хуже паспорта, только данные у производителя юбика и у перепродавцов. По серийнику юбика тебя можно легко вычислить третьим лицам.

Хз, я свой на CTF выиграл, их там орги закупили несколько десятков и раздавали людям, которые никакие свои паспортные данные никому не предоставляли.

Многие компании точно так же закупают их сотнями и выдают в руки без всяких серийников (я таковые знаю минимум две).

А ты можешь всегда за кэш или там крипту покупать, зачем светить свои персданные, раз уж так переживаешь?

Прочитай описание алгоритмов уже, наконец. Там НЕГДЕ быть ключу.

Тогда зачем на юбикеях штампуют серийник?

Хз, я свой на CTF выиграл, их там орги закупили несколько десятков и раздавали людям, которые никакие свои паспортные данные никому не предоставляли.

Орги закупившие - известны, известны серийники партии. Известно кто в CTF участвовал, ибо участники сами о себе в социалочках всё выложили. Вопрос только у кого какой ключик, а то что он есть и он из этой партии - это уже не про безопасность.

Ты понимаешь что безопасность - это в первую очередь когда вообще никто со стороны не знает что ты вообще где-то авторизуешься и обмениваешься данными и у него нет возможности это узнать. Всё остальное - это уже попытки заклеить дырки в плотине синей изолентой.

Ты, кажется, разучился читать. Я тебе дважды сказал, зачем серийники.

Хорошая база, годная. С ее помощью можно еще одну нагенерить, уже на триллион паролей. Кто больше?