id: Гость   вход   регистрация
текущее время 16:21 28/03/2024
Автор темы: inkelyad, тема открыта 31/07/2015 23:26 Печать
Категории: криптография, протоколы, аутентификация, операционные системы
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ДвухфакторнаяАвторизацияОтMicrosoft
создать
просмотр
ссылки

Двухфакторная аутентификация от Microsoft


Приветствую.


Поскольку новая Windows 10 от Microsoft очень любит использовать учетку этой самой Microsoft для входа в систему, решил посмотреть, как у них сейчас устроен двухфакторный вход.


С удивлением обнаружил, что они его слегка поменяли. Вместо стандартного rfc6238 алгоритма, что у них когда-то был, они настаивают на чем-то своем. (При небольшом желании можно вернуться и на старый способ, но сейчас речь не об этом).


Сейчас это работает так:
1) Говоришь на сайте 'хочу второй фактор'
2) Тебя отправляют скачивать приложение
3) И в этот момент в этом приложении нужно не как раньше, просканировать QR код, а залогиниться в нем с имененем Microsoft учетки и паролем. Сайт все это время терпеливо ждет.
4) После этого на этапе второго фактора тебя просят не ввести сгенерированный одноразовый пароль, а приложение показывает id попытки логина (он же показывается на форме входа) и спрашивает 'пустить?'. Впрочем, если связи нет, то одноразовый пароль оно тоже может.


Теперь вопрос – есть где-нибудь описание того, как это работает и стоит ли подобным пользоваться? Или все-таки стоит немного попрыгать и вернуться к старому rfc6238 аутентификатору?


 
Комментарии
— pgprubot (01/08/2015 00:14)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Вы про «есть ли где-нибудь описание того, стоит ли пользоваться проприетарными операционными системами с закрытым исходным кодом, по уши заполненными троянами с удалённым доступом для всех, кому ни лень?»?


... GNU/Linux. Разговоры о безопасности на винде не имеют смысла.
— inkelyad (01/08/2015 00:48)   профиль/связь   <#>
комментариев: 2   документов: 3   редакций: 2
Разговоры имеют смысл. Речь идет о нормальных людях, а не о полных параноиках. У этих людей на машине ничего особенно ценного нет, но неприятностей, связанных с уводом учетки, им все-таки хочется избежать. Описанная схема – она насколько устойчива к праздношатающимся зловредам?

Ну и поскольку результат получился ну очень удобным, есть вопрос о том, стоит ли реализовывать похожую схему где-нибудь у себя. И как? Не изобретать же протокол самому – явно очевидных и не очень дыр наделаешь.
— sentaus (01/08/2015 11:10)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Описанная схема

Здесь никакой схемы не описано.

она насколько устойчива

Нельзя ничего определённого сказать без понимания деталей. В данном случае вы можете только полагаться на репутацию производителя.
— inkelyad (01/08/2015 12:46)   профиль/связь   <#>
комментариев: 2   документов: 3   редакций: 2
Здесь никакой схемы не описано.

Описана. Так, как она выглядит с точки зрения пользователя.
А вот как оно изнутри устроено – найти не смог. Все результаты гугления выводят на описание того, как оно раньше работало.
Потому на этом сайте и спросил.
— sentaus (01/08/2015 12:55, исправлен 01/08/2015 12:58)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
А вот как оно изнутри устроено – найти не смог.

А никто и не знает, похоже. Может, хорошо, может, не очень. Повторюсь, деталей никаких нет – ориентируйтесь на репутацию производителя.

— pgprubot (02/08/2015 07:50)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Относительно нормальная проприетарная схема аутентификации — вот эта. Она могла бы применяться более широко (не только для банков) там, где никакой анонимности всё равно нет.
Общая оценка документа [показать форму]
средний балл: +3респондентов: 1