id: Гость   вход   регистрация
текущее время 08:06 23/01/2020
Автор темы: rekby, тема открыта 11/06/2012 21:43 Печать
Категории: хард, аппаратное шифрование, смарт-карты
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ХранениеПаролейСАппаратнойЗащитойВMacOS
создать
просмотр
ссылки

Хранение паролей с аппаратной защитой в Mac OS


Требуется хранить много паролей, часть из них важные и позволяют получить доступ к личным банковским счетам, административный доступ к многочисленным серверам и т.п.


Направленная атака конкретно на мой компьютер маловероятна, но возможна как часть атаки на компьютеры сотрудников компании в целом, если кто-то захочет к нам попасть.


Текущее решение – под Mac OS запускается Parallels, внутри Parallels запускается KeePass с плагином CertKeyProvider, сертификат шифрования хранится на eToken.


Хотелось бы избавиться от прослойки с Parallels, т.к. этот же токен используется для авторизации по сертификату на сайтах и переключать его туда-сюда неудобно, использование именно eToken – не принципиально, можно использовать любой аппаратный токен, с которого нельзя простым способом скопировать то что используется для шифрования.


 
На страницу: 1, 2 След.
Комментарии
— Гость (05/07/2012 01:49)   <#>
наша модель угрозы не предполагает (?) попадание токена в руки злоумышленника, мы храним его очень бережно. Это примерно уровень физического доступа к компьютеру, с которого производятся банковские операции.
Как раз банки утверждают, что токены достаточно безопасны, даже если будут по неосторожности утеряны владельцем (что, конечно же, не так).
— Гость (05/07/2012 01:58)   <#>
Действительно, непонятно, какую защиту может обеспечить токен в виде тупенькой железки с кнопочками, если система полностью скомпрометирована? Допустим мы можем подтвердить сумму перевода, введя её на устройстве. Но ведь зловред может просто переслать деньги не туда, куда мы хотим.

Как правило банковский токен либо однокнопочный, выдающий по нажатию кнопки одноразовый код. Либо выглядит как калькулятор на котором вводят последние цифры счетов откуда и куда переводим, сумму и пин-код. Такие токены не ломают, но и клиенты банков их не шибко приветствуют. Я год назад делал девайс для электромеханической автоматизации работы с таким токеном (снимает и распознает экран, нажимает на кнопки) так как требовалось делать много переводов, а использовать официальные способы автоматизации было нельзя.
— Гость (05/07/2012 02:10)   <#>
Хоть от чего-то он защищает?
Демагогия. Так можно и XOR оправдать — от младшей сестры защитит.
решают вопрос
Я на это чуть выше уже ответил. Плохо решают.
Как раз банки утверждают
А зачем им это? Лишние проблемы для клиентов ищут? Показывают всю крутость их технологии — дескать и врагу отдать можно, не вскроет?
вводят последние цифры счетов откуда и куда переводим
Вот это уже интереснее. Можно пойти чуть дальше и заставить вводить всю важную информацию, относящуюся к операции. Ориентироваться при этом на бумажную распечатку инструкции, тому, что на экране монитора, верить нельзя.
— Гость (05/07/2012 03:46)   <#>
Такие токены не ломают, но и клиенты банков их не шибко приветствуют.
В некоторых европейских банках у вас не спрашивают приветствия или выбора. Эта обязательная опция, если вы вообще планируете использовать homebanking.

А зачем им это? Лишние проблемы для клиентов ищут? Показывают всю крутость их технологии — дескать и врагу отдать можно, не вскроет?
/comment53957

Так можно и XOR оправдать — от младшей сестры защитит.
Не стоит приравнивать программно-хардварную защиту от кражи секретного ключа к защите от младшей сестры.
— Гость (05/07/2012 08:07)   <#>
В некоторых европейских банках у вас не спрашивают приветствия или выбора

Как раз с таким случаем и приходилось иметь дело. Банк создает трудности, клиенты их героически преодолевают.
— Гость (05/07/2012 08:16)   <#>
Банк создает трудности, клиенты их героически преодолевают.

Позволю себе с вами не согласиться. С учётом /comment53957, эта мера достаточно эффективна. Да даже и без зоопарка троянов быть хоть сколько-нибудь уверенным можно лишь заходя в homebanking от специально созданного пользователя и под отдельными иксами. Сомневаюсь, что многие такой мерой воспользуются. Даже я ей не пользуюсь.

С технической точки зрения основная, ИМХО, претензия к кардридеру — много всего вводить в десятичном формате. Если бы банк использовал для всего хотя бы 16теричные числа (а лучше всю латиницу), кнопок приходилось бы нажимать существенно меньше. А так только для одной авторизации требуется ввести: около 10 цифр — ID карты, ещё около 10 цифр — номер карты, пароль и 8 цифр ответа на кардридере.
— Гость (05/07/2012 10:12)   <#>
Я спрашивал не почему используют токены, а почему говорят что в случае их кражи всё в порядке?
— Гость (05/07/2012 10:14)   <#>
Рекламы и больших продаж ради, наверно.
— unknown (05/07/2012 15:25)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
/comment54069
— Алекс1111 (20/12/2012 16:48)   <#>
Как удалось заставить Keepass понимать etoken? Windows 7 х64, Keepass 2.09, CertKeyProvider, etoken 32k. Keepass eToken и сертификаты на нём не видит.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3