Раньше пользователь ходил по каким угодно сайтам и провайдер может быть видел ip-адрес, но не видел деталей (из-за https). Теперь же всегда будет третья сторона, которая про пользователя будет знать когда и куда он ходил, а может и ещё что-то. Ведь именно за этим делаются "сервисы хранения паролей", иначе зачем сервис, достаточно pwdhash. Идея вообще не нова, более 10 лет назад пытались поднять OAuth -- не взлетело. Там теоретически на своем домене можно свой сервер было поднять. А можно ли сейчас? А то "открытый стандарт" и слова про TPM как-то плохо сочетаются. Кончится как всегда блобами шпионского кода в браузере.
Отличная идея завязать все пароли на физическом устройстве. Один из авторов этого стандарта на хабре прямо говорил -- мол теперь телефоны станут "ключами от дома", поэтому надо самостоятельно позаботиться о том, чтобы у вас были дубликаты, и чтобы они не попадали в чужие руки.
Ничего сверхъестественного в этом подходе нет. Напоминает подключение к Линуксу через Putty c использованием RSA-2048 ключа из файла, вместо пароля. Про сам файл даже знать не обязательно. Будет выглядеть как-то так: при включении устройства хозяином, вводится мастер-пароль, который разблокирует хранилище паролей. Аппаратное или программное, не важно. После чего можно ходить по интернету без паролей, с одним логином. Устройство само будет подставлять нужные пароли где надо, и они даже не будут показываться, поскольку состоят из длинных и сложных последовательностей. Взломать такой пароль перебором невозможно. Обмен перехватывать бесполезно. https://tupitochka.livejournal.com/571701.html
Логично предположить, что все элиты заинтересованы в том, чтобы интернет вообще перестал быть анонимным, свободным и стал тотально контролируемым. К такому выводу приходят так или иначе все (элиты и спецслужбы) кроме, разумеется, хомячков, мнение которых не представляет вообще никакой ценности. Так что все очевидно - все холопы должны быть поставлены на полный контроль, чтобы в конце концов можно было оставить только полезных холопов, а бесполезных и тем более вредных - по команде выпилить выключить.
Comments 9
Reply
Reply
Reply
https://tupitochka.livejournal.com/571701.html
Reply
...одобренный NSA.
Reply
Reply
Current estimates are that ECDSA with curve P-256 has an approximate
equivalent strength to RSA with 3072-bit keys.
Reply
Reply
Reply
Leave a comment