acasă › top ›De ce nu trebuie să utilizați din nou Google Authenticator din nou
Nu există suficientă siguranță. Pe de altă parte, folosirea bug-urilor sau a securității slabe vă poate oferi o iluzie nesigură a securității, în timp ce rămâneți vulnerabili la tot felul de amenințări.
Cum funcționează TOTP?
O parolă temporară unică, popularizată în mare parte de către Google Authenticator, vă confirmă identitatea pe baza unui secret comun. Acest secret trebuie să fie cunoscut de dvs. și de furnizorul dvs.
Ambele părți generează același hash din aceleași date sursă, partajând secretul în momentul înregistrării.
Care este inadecvarea TOTP?
Metoda este foarte simplu de folosit, însă nu este lipsită de câteva vulnerabilități și inconveniente.
2. Backup prea mult voluminos. Trebuie să faceți mai mulți pași pentru a crea un secret de rezervă. În plus, serviciile bune oferă de obicei coduri de rezervă, mai degrabă decât să solicite în mod explicit un secret. Dacă vă pierdeți secretul și vă conectați împreună cu codul de rezervă, va trebui să efectuați întregul proces de înregistrare a TOTP din nou.
3. Codurile de rezervă sunt trimise prin Internet, care este complet nesigură.
5. Secretul este afișat în text simplu sau în cod QR. Nu poate fi reprezentat sub forma unui hash. Acest lucru înseamnă, de asemenea, că secretul este cel mai probabil stocat ca fișier text pe serverele furnizorului.
6. Secretul poate fi dezvăluit la momentul înregistrării. deoarece furnizorul trebuie să vă dea secretul generat. Utilizând TOTP, trebuie să credeți în capacitatea furnizorilor de a proteja confidențialitatea secretului. Dar poți să crezi?
Cum funcționează FIDO / U2F?
Standardul U2F, dezvoltat de Alianța FIDO, a fost creat de corporații de tehnologie, cum ar fi Google și Microsoft, sub influența vulnerabilităților întâlnite în TOTP. U2F folosește criptografia cu chei publice pentru a vă confirma identitatea (Reddit - "Explică că sunt de cinci ani"). Spre deosebire de TOTP, în această versiune, tu ești singurul care știe secretul (cheia privată).
Serverul vă trimite o solicitare, care este apoi semnată cu o cheie secretă (privată). Mesajul rezultat este trimis înapoi la server, care poate verifica identitatea din cauza prezenței cheii publice în baza de date.
Beneficiile U2F:
1. Secretul (cheia privată) nu este trimis niciodată pe Internet.
2. Ușor de utilizat. Nu este nevoie să utilizați coduri unice.
3. Confidențialitate. Cu un secret, nu sunt asociate informații personale.
4. Backup este teoretic mai ușor. Cu toate acestea, nu este întotdeauna posibil; de exemplu, nu puteți face backup Yubikey.
Întrucât, în cazul utilizării U2F, nu există secret de două părți și nu există baze de date confidențiale stocate de furnizor, hackerul nu poate fura pur și simplu toate bazele și să obțină acces. În schimb, el trebuie să vâneze pentru utilizatori individuali, ceea ce este mult mai costisitor în ceea ce privește finanțele și timpul.
În plus, puteți să vă păstrați secretul (cheia privată). Pe de o parte, te face responsabil pentru propria securitate, dar pe de altă parte - nu mai trebuie să ai încredere în companie pentru a-ți proteja secretele (cheile private).
TREZOR - U2F "nashenski"
TREZOR este o soluție hardware separată, concepută pentru a stoca cheile private și pentru a funcționa ca un mediu de calculator izolat. Inițial conceput ca un portofel "de fier" sigur pentru Bitcoin, domeniul de aplicare al aplicației a fost extins în mod semnificativ datorită extensibilității criptografiei asimetrice. Acum, TREZOR poate servi drept jet de fier sigur pentru U2F, de asemenea, trebuie să confirmați datele de conectare prin apăsarea butonului de pe dispozitiv.
1. Ușor de backup și restaurare. TREZOR vă cere să scrieți o așa-numită "recoltă de semințe" pe bucata de hârtie, prima dată când dispozitivul este pornit. Acesta este singurul proces unic pentru restul dispozitivului. Semințele de recuperare sunt toate secretele (cheile private) generate de dispozitiv și pot fi folosite în orice moment pentru a "restabili" punga dvs. hardware (sau "fier").
2. Numar nelimitat de personalitati U2F. toate acestea sunt salvate în cadrul unei singure copii de rezervă.
3. Secretul este stocat în siguranță în TREZOR. Nimeni nu-l va cunoaște, deoarece nu poate părăsi dispozitivul. Ei nu vor putea fura viruși sau hackeri.
5. Informații suplimentare privind utilizarea U2F în timpul configurării, utilizării și recuperării TREZOR pot fi găsite în postarea noastră pe blog. sau în documentația utilizatorului.
Distribuiți acest link:
Distribuiți prin Twitter Partajați pe Google
[...] Ați furat vreodată datele dvs. personale? Acest lucru este extrem de neplăcut. Trebuie să apelați companiile care ți-au emis cărți de credit cu solicitarea de a înlocui toate cardurile dvs. și de a le convinge să o facă gratuit. Este necesar să modificați parolele de acces la toate aplicațiile. Aceasta este, de asemenea, o teamă constantă ca cineva să poată apela operatorul dvs. de telefonie mobilă să utilizeze datele dvs. furate pentru a vă transfera numărul de serviciu unui alt operator și, astfel, să beneficieze de acces complet la mesajele dvs. text. Și accesul la mesaje text va deschide un drum hacker către toate serviciile dvs. online, chiar dacă sunteți suficient de prudenți și veți folosi autentificarea cu două factori. [...]
Acum 4 luni 28 zile
Blocarea în garda datelor personale - Bit • Știri
Distribuiți prin Twitter Partajați pe Google
[...] Ați furat vreodată datele dvs. personale? Acest lucru este extrem de neplăcut. Trebuie să apelați companiile care ți-au emis cărți de credit cu o solicitare de a înlocui toate cardurile dvs. și de a le convinge să o facă gratuit. Este necesar să modificați parolele de acces la toate aplicațiile. Aceasta este, de asemenea, o teamă constantă ca cineva să poată apela operatorul dvs. de telefonie mobilă să utilizeze datele dvs. furate pentru a vă transfera numărul de serviciu unui alt operator și, astfel, să beneficieze de acces complet la mesajele dvs. text. Și accesul la mesaje text va deschide un drum hacker către toate serviciile dvs. online, chiar dacă sunteți suficient de prudenți și veți folosi autentificarea cu două factori. [...]
Acum 4 luni 28 zile
Distribuiți prin Twitter Partajați pe Google
[...] grad de securitate, ca o aplicație numită Google Authenticator, care generează în mod aleatoriu coduri pentru "hardware" [...]
Acum 7 luni 20 zile
Cum am fost dezamagit de Roger Vera - Bit • Știri
Distribuiți prin Twitter Partajați pe Google
[...] întrebați, nu-i așa? De ce să colectezi la datele tale personale Gmail 20 de date criptoanarhiste, [...]
Distribuiți prin Twitter Partajați pe Google
Aplicația portofel Bitcoin nu trebuie neapărat să fie online pentru a afișa numărul de poșetă și cheia privată. Vă recomand să citiți despre ce fel de portofele există. Există o mulțime de articole, dar inerția de gândire a multor oameni este că portofelul de bitcoin este cumva legat de computerul dvs. și că pierderea, înlăturarea, prăbușirea computerelor va duce la pierderea de bitcoins, deloc (!). dacă, desigur, ați avut timp să vă ocupați de scrierea numărului portofelului și a cheii private. Aceste informații sunt suficiente pentru a fi ulterior, cu ajutorul oricărei pungă pentru a restabili accesul la portofel.
Acum 8 luni 24 zile
Distribuiți prin Twitter Partajați pe Google
Și dacă el, cu o șansă incredibil de mică, va genera un număr deja existent? Cum generează numere și semnături offline, fără să știe care dintre ele există deja.