Comments | sporaw: Фактически новая веха в интернете

sporaw

Фактически новая веха в интернете - WebAuthn

Mar 08, 2019 04:02

Посмотрим, что будет на практике (т.е. станет ли это практикой и если станет, то в каком объеме и где именно ( Read more... )

hacking

Comments 9

anonymous March 8 2019, 07:42:49 UTC

Раньше пользователь ходил по каким угодно сайтам и провайдер может быть видел ip-адрес, но не видел деталей (из-за https). Теперь же всегда будет третья сторона, которая про пользователя будет знать когда и куда он ходил, а может и ещё что-то. Ведь именно за этим делаются "сервисы хранения паролей", иначе зачем сервис, достаточно pwdhash. Идея вообще не нова, более 10 лет назад пытались поднять OAuth -- не взлетело. Там теоретически на своем домене можно свой сервер было поднять. А можно ли сейчас? А то "открытый стандарт" и слова про TPM как-то плохо сочетаются. Кончится как всегда блобами шпионского кода в браузере.

tupitochka March 8 2019, 11:52:16 UTC

Есть такая сторона, это Гугл. У меня все пароли хранятся в аккаунте Хрома от Гугла.

ext_2038817 March 8 2019, 08:00:10 UTC

Отличная идея завязать все пароли на физическом устройстве. Один из авторов этого стандарта на хабре прямо говорил -- мол теперь телефоны станут "ключами от дома", поэтому надо самостоятельно позаботиться о том, чтобы у вас были дубликаты, и чтобы они не попадали в чужие руки.

tupitochka March 8 2019, 11:50:26 UTC

Ничего сверхъестественного в этом подходе нет. Напоминает подключение к Линуксу через Putty c использованием RSA-2048 ключа из файла, вместо пароля. Про сам файл даже знать не обязательно. Будет выглядеть как-то так: при включении устройства хозяином, вводится мастер-пароль, который разблокирует хранилище паролей. Аппаратное или программное, не важно. После чего можно ходить по интернету без паролей, с одним логином. Устройство само будет подставлять нужные пароли где надо, и они даже не будут показываться, поскольку состоят из длинных и сложных последовательностей. Взломать такой пароль перебором невозможно. Обмен перехватывать бесполезно.
https://tupitochka.livejournal.com/571701.html

tupitochka March 8 2019, 18:04:13 UTC

> используется алгоритм ECDSA над кривой P-256

...одобренный NSA.

tupitochka March 9 2019, 23:30:24 UTC

https://tools.ietf.org/rfc/rfc6605

tupitochka March 9 2019, 23:31:09 UTC

https://tools.ietf.org/rfc/rfc6605

Current estimates are that ECDSA with curve P-256 has an approximate
equivalent strength to RSA with 3072-bit keys.

angry_elf March 8 2019, 17:51:58 UTC

https://xkcd.com/927/

sourann March 10 2019, 09:41:05 UTC

Логично предположить, что все элиты заинтересованы в том, чтобы интернет вообще перестал быть анонимным, свободным и стал тотально контролируемым. К такому выводу приходят так или иначе все (элиты и спецслужбы) кроме, разумеется, хомячков, мнение которых не представляет вообще никакой ценности. Так что все очевидно - все холопы должны быть поставлены на полный контроль, чтобы в конце концов можно было оставить только полезных холопов, а бесполезных и тем более вредных - по команде выпилить выключить.