Хранение паролей с аппаратной защитой в Mac OS
Требуется хранить много паролей, часть из них важные и позволяют получить доступ к личным банковским счетам, административный доступ к многочисленным серверам и т.п.
Направленная атака конкретно на мой компьютер маловероятна, но возможна как часть атаки на компьютеры сотрудников компании в целом, если кто-то захочет к нам попасть.
Текущее решение – под Mac OS запускается Parallels, внутри Parallels запускается KeePass с плагином CertKeyProvider, сертификат шифрования хранится на eToken.
Хотелось бы избавиться от прослойки с Parallels, т.к. этот же токен используется для авторизации по сертификату на сайтах и переключать его туда-сюда неудобно, использование именно eToken – не принципиально, можно использовать любой аппаратный токен, с которого нельзя простым способом скопировать то что используется для шифрования.
Как правило банковский токен либо однокнопочный, выдающий по нажатию кнопки одноразовый код. Либо выглядит как калькулятор на котором вводят последние цифры счетов откуда и куда переводим, сумму и пин-код. Такие токены не ломают, но и клиенты банков их не шибко приветствуют. Я год назад делал девайс для электромеханической автоматизации работы с таким токеном (снимает и распознает экран, нажимает на кнопки) так как требовалось делать много переводов, а использовать официальные способы автоматизации было нельзя.
Я на это чуть выше уже ответил. Плохо решают.
А зачем им это? Лишние проблемы для клиентов ищут? Показывают всю крутость их технологии — дескать и врагу отдать можно, не вскроет?
Вот это уже интереснее. Можно пойти чуть дальше и заставить вводить всю важную информацию, относящуюся к операции. Ориентироваться при этом на бумажную распечатку инструкции, тому, что на экране монитора, верить нельзя.
/comment53957
Не стоит приравнивать программно-хардварную защиту от кражи секретного ключа к защите от младшей сестры.
Как раз с таким случаем и приходилось иметь дело. Банк создает трудности, клиенты их героически преодолевают.
Позволю себе с вами не согласиться. С учётом /comment53957, эта мера достаточно эффективна. Да даже и без зоопарка троянов быть хоть сколько-нибудь уверенным можно лишь заходя в homebanking от специально созданного пользователя и под отдельными иксами. Сомневаюсь, что многие такой мерой воспользуются. Даже я ей не пользуюсь.
С технической точки зрения основная, ИМХО, претензия к кардридеру — много всего вводить в десятичном формате. Если бы банк использовал для всего хотя бы 16теричные числа (а лучше всю латиницу), кнопок приходилось бы нажимать существенно меньше. А так только для одной авторизации требуется ввести: около 10 цифр — ID карты, ещё около 10 цифр — номер карты, пароль и 8 цифр ответа на кардридере.
комментариев: 9796 документов: 488 редакций: 5664