שְׁאֵלָה:
כיצד זיהוי מקוון של "מקל USB" יכול לעבוד?
user135452
2017-01-06 14:11:08 UTC
view on stackexchange narkive permalink

הבנק שלי חידש לאחרונה את אתר האינטרנט שלו והוא השתנה לטובה מבחינתי. במיוחד נראה כי האבטחה שופרה באופן דרמטי.

והכי חשוב, הם הציגו שיטת זיהוי די יוצאת דופן (שמעולם לא ראיתי זאת בעבר), אותה הם מכנים 'האישור האלקטרוני'. בעיקרון, אתה צריך ללכת לבנק באופן אישי והבחור נותן לך מקל USB זעיר וזול עם קיבולת נמוכה מאוד. מנקודה זו תידרש לחבר את המקל למחשב בכל פעם שתרצה להתחבר. המקל לבדו אינו מספיק, עליך להקליד את הסיסמה שלך - בעצם אימות דו-גורמי עם התקן USB להיות הגורם השני.

איך זה יכול לעבוד? כמובן, אני מאמין שמקל ה- USB מכיל אישורים / מפתחות הצפנה כלשהם, המשמשים בתהליך הכניסה. , אך הם אינם דורשים מהמשתמש להתקין תוכנה כלשהי במכונה. אני מוצא שזה מצמרר למדי שאתר שנגיש אליו מדפדפן אינטרנט עם ארגז חול, ללא תוסף / מודול / אפליקציה / סרגל כלים, יכול לראות את מקל ה- USB שהתחברת זה עתה. ולא רק ראה את המקל הזה, אבל קרא אותו והשתמש בתוכן שלו בצורה עמוקה מספיק כדי לרשום אותך לרמה הכי רגישה של אפליקציית הבנקאות המקוונת שלך.

אני לא אוהד גדול לחבר מכשירים לא ידועים למחשב שלי מלכתחילה, ונורת האזהרה שלי הבהיקה כשהסבירו לי את זה, אז הלכתי על שיטת זיהוי אחרת (אתה יכול לבחור). אני פשוט סקרן.

נ.ב: המדד ברור שאינו חל על האפליקציות הניידות שלהם, מכיוון שלסמארטפונים אין יציאות USB, אבל זה לא עניין גדול מכיוון שאי אפשר לעשות הרבה עם אפליקציית הטלפון שלהם. (זו בעיקר אפליקציית ייעוץ, לא משהו שאפשר באמת לבצע איתו תשלומים / העברות גדולים).

עריכה: לא נעשה שימוש בתיבת דו-שיח של קבצים פתוחים, מה שיבהיר את ההסבר למדי.

יש סיכוי שזה מקל ה- USB שמספק את מנהלי ההתקן הדרושים לחיבור עצמו לדפדפן?
אין לי מושג מכיוון שאני בעצם לא הבעלים של זה, אבל אמרו שהוא תואם ל"כל מכשיר שיש לו יציאת USB ", Windows, Mac, Linux ועוד, וכדי לעבוד מחוץ לקופסה.
באיזה מנהל התקן משתמש מקל ה- USB?האם זה רק מקל USB רגיל?יתכן שהוא מריץ סקריפט כלשהו ברקע הדומה למכשירי USB מסוג גומידוקקי המשתמשים במנהל התקן HID סטנדרטי ש- Windows כבר התקין או יתקין אוטומטית.
אני מצטער שאין לי הרבה פרטים על המקל כי בחרתי שיטת זיהוי אחרת כדי שלא נתנו לי אחת כזו.זה יהיה דבר מעניין ללמוד בוודאות, אבל אני לא יכול לעשות את זה כרגע.אולי אוכל לבקש אחת
האם בדקת אם אתה באמת יכול להיכנס לבנק שלך מ'דפדפן אינטרנט עם ארגז חול '?יכול להיות שמפתח זה יעבוד רק עם דפדפן שאינו ארגז חול והבנק מניח שכל לקוחותיהם פועלים כך.יכול להיות משהו לשאול את הבנק שלך עליו.
אמרתי דפדפן עם ארגז חול מכיוון שלי הוא + חשבתי שהיכולת של דף אינטרנט לגלוש באופן חופשי במערכת הקבצים ללא פעולת משתמש מוגבלת כברירת מחדל כברירת מחדל (אני מקווה!) בשנת 2016 כדי שהבנק יניח זאת.לא ניסיתי בכל זאת
אני חושב שחסר לך קצת מידע כאן.אפשר לקבל כרטיס חכם USB עם שבב מוטבע המכיל את האישור והמפתח הפרטי שלך.ניתן להתממשק לכל העניין דרך PKCS # 11 או חנות האישורים של Windows, מה שמעניק גישה לכל דפדפן לאישור המשויך לאסימון.עם זאת, בדרך כלל יהיה צורך בהתקנת ההתקן הדרוש.מכיוון שלא ניסית (ואינך יכול לספק פירוט על המקל עצמו), אני מוכן להאמין שיש רק אי הבנה בנוגע למשמעות של "מחוץ לקופסה"
יש לי דונגל USB של Yubikey בתור אימות דו-גורמי.כשאני מחבר אותו למחשב האישי הוא מתקין את עצמו כמקלדת כללית, שכל המכשירים שבהם נתקלתי מקבלים.כשאני לוחץ על כפתור בחלק הקדמי של ה- yubikey, הוא מקליד סיסמא חד פעמית שלוקח האתר / התוכנית המקבלים כדי לאמת עם שרתי אימות Yubicos שאני משתמש במפתח שהגדרתי את החשבון שישמש איתו.ככזה אני יכול לחבר אותו לכל מקום ולהיכנס ל- OTP לכל דבר מבלי להתקין שום דבר.
אני גם מצפה שמפתח ה- USB יהיה כרטיס חכם המכיל מפתח פרטי בו אתה משתמש כגורם שני.יכול להיות שבמערכת ההפעלה כבר יש מנהלי התקנים אלה או מושך אותם מ- Windows Update (מה שקורה גם עבור הרבה או מקשי USB רגילים).אך ברוב המקרים תצטרך להתקין את אישור הלקוח במחשב שלך תחילה.כאשר הדפדפן מתבקש, מערכת ההפעלה תנסה לאחזר את האישור ממפתח ה- USB אם הוא קיים
@rory-alsop, למעשה התשובה שלי הייתה תשובה, ראיתי את התשובה האחרת רק בשנייה האחרונה וחשבתי שזה טוב יותר משלי.ללא-פחות, שני התקני ה- USB ומחיצות הדיסק כוללים שניהם מזהים ייחודיים שיכולים לשמש כגורם שני קל.מזהה התקן ה- USB הוא המועמד הסביר ביותר.אני משתמש במזהים אלה לעיבוד גיבויים של כונני USB.
זה לדוג בחושך.אנא הוסף כאן את מזהה ה- USB כמו מזהה ספק ותעודת מוצר.השתמש במנגנוני מערכת ההפעלה שלך כדי לקרוא את התקני ה- USB המצורפים.- בסדר, סוף סוף ראיתי שאין לך מקל כזה.
@JamesTrotter זה בקושי נראה הרבה יותר בטוח, מכיוון שזו בעצם סיסמה שנייה שניתן היה לגלות ולהזין ישירות.
זה פשוט דבר שמתיימר להיות מקלדת. כשלוחצים על הכפתור הוא מייצא מפתח ציבורי.כל מערכת הפעלה תעביר בשמחה קלט מקלדת לכל מקום בו נמצא הסמן שלך.
רק לידיעתך: ברוב הסמארטפונים יש יציאות USB (יציאת הטעינה), בהן ניתן להשתמש כדי לחבר התקני USB חיצוניים.אתה רק צריך מתאם / כבל מתאים, שניתן להשיג עבור זוג / כמה דולרים, או מכשיר שיש לו מחבר מיקרו USB.התקני USB שיש להם מחברים כאלה (כלומר, שאינם דורשים כבל מתאם בכדי לחבר לטלפונים) הופכים נפוצים יותר.
האם זה יכול להיות [זה] (http://www.pcworld.com/article/190015/secure_online_banking.html)?
אני אוהב איך על פי התרשמותך, "נראה כי האבטחה שופרה באופן דרמטי", עם "[m] ost [חשוב]" משתנה כשיטת זיהוי שאתה [[] לא ראית [...] לפני כן ".הביטחון הוא תחושה, והכי חשוב;)
@Michael לא, לא סיסמא אחת המשמשת שוב ושוב ... סיסמה חד פעמית חדשה בכל פעם שלוחצים על הכפתור, מאומתים על ידי ספק החומרה על ידי כל אתר שאתה קושר להתחבר אליו שתומך ב- yubikey (מעטים, אינפקט).זוהי גם שיטת אימות גורם שני, ולכן משתמשים בה מעבר לסיסמה הרגילה שלך.
זה כמו הדונגל שחברות תוכנה גרמו לך לקנות.אני לא יודע אם הם עדיין עושים זאת או לא בימינו.
תֵשַׁע תשובות:
Philipp
2017-01-06 20:50:12 UTC
view on stackexchange narkive permalink

מה שהבנק שלך נתן לך הוא אסימון אבטחה USB עם אישור דיגיטלי ( כאלה). מדובר ב התקני חומרה סטנדרטיים שכמעט כל מערכת הפעלה תומכת ב- plug&play מחוץ לקופסה. הם נפוצים מאוד ליישום אימות רב גורמים למערכות אבטחה גבוהה ב- IT ארגוני.

דפדפן האינטרנט שלך משתמש ב- HTTPS עם אישורים מבוססי לקוח כדי לגשת לאתר הבנק שלך. הוא משתמש במאגר האישורים של מערכות ההפעלה שלך כדי למצוא אישור מותקן התואם לזהות ששרת הרשת מבקש. כשיש התקנת אסימון אבטחה USB רגיל, מערכת ההפעלה תחפש גם אישורים כלשהם באסימון.

מערכת ההפעלה אינה יכולה לבצע את תהליך האימות בפני שרת האינטרנט בפני עצמה, מכיוון שהאסימון אינו מאפשר לקרוא את המפתח הפרטי של האישורים המאוחסנים בו ישירות. האסימון כולל את החומרה לביצוע האימות. אז המפתח הפרטי לעולם לא עוזב את מקל ה- USB. כלומר, גם אם המחשב האישי שלך נפגע מתוכנות זדוניות, המפתח הפרטי של האישור אינו בסכנת גניבה (אך זכור כי שיטה זו אינה מספקת שום הגנה לאחר שהאימות הצליח. תוכנה זדונית עדיין יכולה להתברג עם דפדפן האינטרנט שלך).

אגב: איזה בנק זה? אם הבנק שלי יתמוך גם בשיטת אימות זו, אני יכול אפילו להתחיל לעשות בנקאות מקוונת.

אני חושב שה- OP רצתה לדעת יותר על המנגנון לאופן שבו כונן ה- USB מספק אבטחה.האם יש לך מידע נוסף על האופן שבו אסימון אבטחה מסוג USB כמו שאתה מתאר יעבוד בכניסה לאתר בנק?מהתיאור לא נשמע שכל סוג של התקנה היה הכרחי, וגם לא היו הנחיות משתמש.
אסימון אבטחה מסוג USB לא יעבוד בכל מערכת הפעלה.אלאדין ניסה במשך שנים ונכשל.מנהל ההתקן של etoken עבור לינוקס אינו פועל מחוץ לקופסה ואינו מותקן.opensc גם אינו מותקן כברירת מחדל.בתוספת: עליך להוסיף את מודול PKCS11 לדפדפן שלך ...
אני חושב שמה שהוא בעצם אומר הוא שהוא מותקן מראש במערכת ההפעלה, כך שאין צורך להתקין שום דבר * יותר *.
זכור שבעוד הדונגל מחובר לתוכנה זדונית כלשהי תהיה באותה גישה לתעודות כמו שיש לדפדפן, כך שזה לא משהו שמאוד מחובר לחשמל.
שים לב שהדבר חל רק על יישומים המשתמשים בחנות האישורים של Windows.דוגמה בולטת להתנהגות זו היא Chrome ו- Edge.Firefox OTOH לא יעבוד ללא מודול PKCS מספר 11.
Lie Ryan
2017-01-06 17:08:13 UTC
view on stackexchange narkive permalink

אחת הדרכים שזה יכול לעבוד היא ש- Chrome תומך ב- FIDO U2F ללא תוסף. בהתחשב בכך שכעת Chrome הוא כעת הדפדפן הפופולרי ביותר וכי Chrome פועל ב- Windows, Mac ו- Linux, זה לא לגמרי שגוי לטעון כי "זה עובד בכל מכשיר שיש לו יציאת USB, Windows, Mac, Linux ועוד, ו לעבוד מחוץ לקופסה ".

האם הם טענו שזה עובד בדפדפנים כלשהם או סתם במערכת הפעלה כלשהי?

זה לא עולה בקנה אחד עם תביעת הבנק.
+1 זה נשמע נכון.זהו מנגנון קוד פתוח, מה שאומר שהוא ככל הנראה מיושם על ידי מיקרוסופט / לינוקס / אפל.כמובן שטענת הבנק שהיא עובדת על * כל * מחשב עם יציאת USB היא שטויות.יש לי תיבה שמריצה את MenuetOS, ואני די יכול להבטיח שזה לא יעבוד עם מערכת ההפעלה הזו.
@phyrfox ובכן, טכנית זה עובד עם * כמעט * כל מכשיר שיש לו יציאת USB, אתה רק צריך להתקין את לינוקס קודם.
@phyrfox: טוב למדי.יש לי תיבה שפשוט קרצפתי נקי, ללא מערכת הפעלה מותקנת בכלל, שלא לדבר על דפדפן, וגם זה לא עובד.אני מניח שכאשר בנק אומר "כל מחשב" או "המחשב שלך", קרא את האותיות הקטנות, הם לא מתכוונים * למחשב * שיש לי.וממילא הם לא מתחייבים לשום דבר, זה לא שאני יכול לדרוש את הכסף שלי בחזרה כשזה לא עובד על ה- Atari ST שלי.
J.A.K.
2017-01-06 14:56:32 UTC
view on stackexchange narkive permalink

.... הם לא דורשים מהמשתמש להתקין שום תוכנה על המחשב .... חשבתי שהיכולת של דף אינטרנט לגלוש בחופשיות במערכת הקבצים ללא פעולת משתמש מוגבלת בדרך כלל על ידי ברירת מחדל

כן, זה בהחלט לא אמור להיות אפשרי ללא מנהלי התקנים של כרטיסים חכמים. זהו מנגנון אבטחה בסיסי של כל דפדפן. מה נותן ללקוח שהאישור נקרא מבלי ללחוץ על "קובץ פתוח" שיח, שיח Java או התקנת מנהלי התקנים מראש? אמרת שבחרת באפשרות אימות אחרת.

זה נשמע כמו מפתח ה- USB המשמש למשל את בנק אוף סין. טכנולוגיה כזו מתוארת כאן.

נאמר כי היא תואמת "לכל מכשיר שיש לו יציאת USB"

לאחר תעודת PKCS מס '11, או מס' 12 לשילוב עם ביטוי סיסמה יעבדו על כל מערכות ההפעלה. זו אותה הדרך שמנהלי סיסמאות כמו עבודה של keepass, המשלבים משהו שאתה יודע עם משהו שאתה צריך לקבל 2 גורמי אימות.

תשובה מעניינת, תודה!אין שיח קבצים פתוח, ובדקתי כי זו הייתה החשיבה הראשונה שעלתה במוחי.
אז זה עדיין יכול להיות תוסף דפדפן מותקן מראש או מנהל התקן של כרטיס חכם.צדקת בניתוח שלך, לא אמורה להיות שום דרך "מחוץ לקופסה" לעשות זאת, אבל עם קופץ או איזו אינטראקציה קטנה עם המשתמש, זה הגיוני.
@Zazor: אני חושב שאתה לא מחזיק מקל כזה.איך אתה יכול לדעת, אין שיח קבצים פתוח?
מה אם זה פשוט מתיימר להיות מקלדת כללית?
@cornelinux חיברתי מקל משלי ואז ניסיתי להיכנס לאתר.הוא קבע כי "המפתח שלך אינו חוקי" אך יכולתי לראות שממשק הכניסה אינו מבקש מהמשתמש לפתוח קובץ
אז מה ה- "lsusb" או מנהל המכשירים בחלונות מספרים לך על ה"מקל "הזה?
"מקל משלי" - האם זה המקל שאתה מתאר?חשבתי שבחרת באפשרות אימות אחרת.אם זה כן, אנא תן לנו את הפלט של lsusb כדי שנוכל לקבל מושג מה המקל עושה.
@J.A.K.לא, היה לי מקל USB משלי מחובר. זה לגמרי לא קשור לתהליך הזיהוי;רק רציתי לבדוק מה קורה כשאתה מנסה להתחבר * בלי * המקל המתאים
יישום הכניסה יתאים ל- USB לפי סוג או יצרן.אני לא חושב שתקבל שום מידע מהשלכת USB אקראי לתערובת.
user2720406
2017-01-06 21:56:31 UTC
view on stackexchange narkive permalink

זה כנראה רק קורא כרטיסים חכמים מסוג USB, עם כרטיס חכם בגודל SIM מוכנס.

אין צורך בהתקנה ידנית של מנהלי התקנים מכיוון שלפחות מנהלי התקנים כלליים הן לקורא והן לכרטיס מותקנים ברוב מערכות ההפעלה המודרניות.

ראה את התמונה למטה למשל עבור מכשיר כזה:

Photo of USB device.

יש אישור עם מפתח פרטי השמור בכרטיס החכם של ה- SIM בתוך הקורא. כשאתה מחבר אותו למחשב, האישור מכרטיס חכם נטען בחנות האישורים של מערכת ההפעלה. משם זה בעצם מתנהג בדיוק כמו כל תעודה אחרת שנשמרת במחשב ויכולה לשמש לגישה למשאבים מאובטחים, חתימה על מסמכים / דואר, הצפנת דברים וכו '.

זה במיוחד מונפק על ידי Cert סמכות שאמונים על ידי הבנק שלי (בנקאות אינטרנט) והמדינה (משמשים אותי בעיקר לדברים הקשורים למס הכנסה ומבקשים מסמכים אמיתיים).

* "כשאתה מחבר אותו למחשב, האישור מכרטיס חכם נטען בחנות אישורי מערכת ההפעלה" * מה שאתה מתאר, אם נכון, לא נראה שהוא תכונה אלא חור אבטחה במערכת ההפעלה.הייתי חושש אם מישהו יכול לחבר מקל USB למחשב שלי ולהעלות קבצים שרירותיים.
לא קובץ שרירותי נטען למחשב, אלא תעודה דיגיטלית, שכשלעצמה אינה יכולה לגרום נזק - בהנחה שהטמעה של כל ערמת התוכנה לטיפול בתעודות דיגיטליות נעשתה כהלכה במערכת ההפעלה (שבהחלט צריכה להיות) כמו כן, אתה לא רק מדביק מקלות USB אקראיים ונותן למקלות USB אקראיים להיתקע במחשב שלך.אם תעשה זאת, המחשב יכול להיחשב כמי שעומד בסכנה.
@chuex, שזה ממש הנקודה של מקלות USB.
זה לא יעבוד עם כל מערכות ההפעלה - בהחלט לא לינוקס לפחות (עדיין לא ראיתי הפצה הכוללת OpenSC מחוץ לקופסה).
@StackTracer לא כל התקני USB קטנים הם מאגר קבצים ("כונן הבזק מסוג USB").ע"פ[תשובתו של פיליפ] (http://security.stackexchange.com/a/147497/88532).
@jpaugh, אני מודע.לא בטוח איך זה רלוונטי לתגובה שלי.
@StackTracer "אחסון המוני" הוא רק סוג אחד של "מקלות USB".יש גם מחלקת מכשירים "אבטחת תוכן" (המכונה גם DRM), שנראה כי היא מתארת את מכשיר ה- OP, וככל הנראה הוא גם מלבני (כלומר "בצורת מקל").[רשימת כיתות התקני USB] (http://www.usb.org/developers/docs/devclass_docs/)
@jpaugh, שאינו הופך את ההצהרה שלי לתקפה פחות.
André Borie
2017-01-06 15:42:19 UTC
view on stackexchange narkive permalink

ככל הנראה מדובר במכשיר שמתיימר להיות מקלדת ולכן מוכר על ידי כל מערכת הפעלה מבלי לדרוש מנהלי התקנים מיוחדים. באופן פנימי, הוא כנראה ישתמש ב- HOTP (או ב- TOTP, אם היה לו שבב RTC וסוללה) ופשוט "הקלד" את ה- OTP בכל פעם שלוחצים על הכפתור, כמו מכשיר U2F Yubikey או דומה.

הדפדפן לא מדבר וגם לא יודע שה- USB שם; זה רק מורה למשתמש ללחוץ על כפתור פיזי במכשיר (לומר למכשיר "להקליד" את הקוד, מכיוון שהדפדפן עצמו לא יכול לדבר איתו) ואז לפרש את כל הקשות המקשים (עד אורך הקוד) הוא מקבל כמגיע מהמכשיר.

אתה מציע משהו דומה ל- [Yubikey] (https://www.yubico.com/products/yubikey-hardware/yubikey4/) אני לא חושב שזה עולה בקנה אחד עם מה שתוארה OP.
@RobC זה ככל הנראה הפיתרון היחיד שמתאים לחשבון עבור תאימות WIndows / Mac / Linux מבלי לדרוש מנהלי התקנים.כל דבר אחר ידרוש תוסף לדפדפן, מנהל התקן או שניהם, אשר בהחלט אינו תואם את מה שהמחבר תיאר.
אני מסכים עם רוב, נראה שלא סביר שבנק ישתמש בפתרון זה.אם מקל ה- USB היה מחקה מקלדת, כיצד היה מיירט את התגובות הללו בדפדפן ומשיב לאסימון?זה יקיים אינטראקציה עם המחשב שייראה מאוד מצמרר למשתמש הממוצע.אני לא יכול לחשוב על דרך נקייה להשיג את מה שה- OP תיאר באמצעות מקלדת עם חיקוי USB.כפי שצוין על ידי J.A.K, ה- OP לא השתמש במקל ה- USB ולכן ייתכן שיש התקנה כלשהי, אישור הנדרש על ידי המשתמש.
@Silver אין צורך באינטראקציה בין המקל לדפדפן.זה רק גורם שני כמו TOTP או HOTP.
@AndréBorie, זה יכול לעבוד.אתה יכול לבדוק את זה על ידי לחיצה על הכפתור בחלון פנקס רשימות.זה ידרוש מהמשתמש להתמקד בשדה TOTP בדפדפן.יש מעט מדי מידע בכדי להבין מהו המנגנון.אולי ה- OP יכול לציין את הבנק שמשתמש בזה כדי שכולם יוכלו לעשות יותר מחקר.
בדיוק גיליתי גם לגבי U2F.אני חושב שהתשובה של ליאן ראיין צריכה להיות התשובה המקובלת.
MSalters
2017-01-06 19:08:11 UTC
view on stackexchange narkive permalink

נשמע כמו רעיון תיאורטי שהיה לי לפני כעשור.

כמעט כל מערכת הפעלה תומכת בהתקני רשת USB. מקל ה- USB שלך עשוי להעמיד פנים שהוא כרטיס רשת, מחובר לרשת מקומית, עם שרת אינטרנט ברשת זו. גם לשרת אינטרנט זה יכולים להיות אישורי HTTPS.

דפדפן האינטרנט שלך יכול להגיש בקשות HTTPS לאותו שרת אינטרנט, ולגלות שמקל ה- USB ואתר הבנק סומכים זה על זה. זה לא נחשב להימלטות מארגז חול, מכיוון שלא הדפדפן וגם מערכת ההפעלה לא יודעים ששרת האינטרנט נמצא למעשה על מקל ה- USB.

אזהרת IP: למיטב ידיעתי, המעסיק לשעבר מחזיק בפטנט. על רעיון זה ברוב השיפוט. פנה לעורך פטנטים לפני שתעתיק רעיון זה.

כיצד הדפדפן ידע את שם הדומיין או ה- IP של אותו שרת אינטרנט?
@Marcel שרת האינטרנט במכשיר ה- USB יכול להגדיר IP סטטי עבור עצמו.יישום האינטרנט יכול להתחבר לכתובת IP זו.למשל, שרת האינטרנט יכול להגדיר את ה- IP שלו ל- 12.34.56.78 ויישום האינטרנט יוכל לטעון משאב כמו https://12.34.56.78/.well-known/verify-user/ [unique-id] ואז לאמת את המשאבממש טוען (ואולי לבדוק את התוכן שלו)
בעיקרון, PoisonTap (https://samy.pl/poisontap/) לטובה?
האם הוספת כרטיס רשת לא תהיה פעולה מיוחסת שמוגבלת על ידי מערכת ההפעלה?
מעולם לא שמעתי על שימוש בשיטה זו בקנה מידה גדול.
@JoshSanford למרבה הצער, זה לא מוגבל ב- Windows.ראה https://www.grc.com/sn/sn-576.htm, מצא "מתאמי רשת USB"
@Marcel: ושם הדומיין יכול להיות 'usbstick.example.bank' מכיוון שהבנק יודע מהי ה- IP שהמכשיר ידרוש.זה ייקח יחיד / 30 שניתן לשתף בכל מקשי ה- USB של אותו בנק.אפילו יותר טוב, אתה יכול ** גם ** לקבל את אותה ה- IP באינטרנט הציבורי.המחשב יבחר את המסלול הטוב יותר (מקומי) כאשר ה- USB מחובר לחשמל, ואת המסלול הגרוע יותר (אינטרנט) כאשר לא.שרת האינטרנט האחרון פשוט יגיש תמונה "חבר את מקל ה- USB שלך!".
@JoshSanford: עם USB ו- Wifi זה בדרך כלל כבר לא.אנשים התחילו להתלונן מדוע ה- f ** k ש- wifi שלהם דורש סיסמת שורש והם ציפו שזו תהיה פשוט plug and play.המפורסם לינוקס טורבלדס עצמו התלונן כי לינוקס לא צריכה לדרוש סיסמת שורש כדי לעשות דברים כמו לעבור למדפסות או להצטרף לרשת wifi.חלק מההפצות עדיין מגבילות אותו, זה לא תכונה של הליבה אלא יותר מהאופן שבו הוגדרה ההפצה.
twisteroid ambassador
2017-01-07 15:04:16 UTC
view on stackexchange narkive permalink

כפי שחלק מהתשובות האחרות הוזכרו, ככל הנראה מדובר באסימון אבטחה מסוג USB. תחשוב על זה כקורא כרטיסים חכמים + כרטיס חכם מוטבע (ולפעמים הם מיושמים בצורה כזו). תחשוב על כרטיס CAC המשמש ארגוני הגנה בארה"ב. תחשוב על כרטיס PGP. ישנם דגמי Yubikey התומכים גם בכרטיס חכם.

סוג זה של מכשירים נמצא בשימוש נרחב על ידי בנקים בסין כדי להגן על אתר הבנקאות המקוונת שלהם / תוכנת לקוח שולחני, והתשובה שלי מבוססת בעיקר על הניסיון האישי שלי. באמצעות אסימונים אלה בסין.

כיצד משתמשים בו?

כאשר אתה נרשם לבנקאות מקוונת ובוחר באסימון USB, הבנק נותן לך את האסימון, יוצר ציבור / זוג מפתחות פרטי ותעודה אישית שלך, וטען אותם לאסימון. אתה מגדיר סיסמה באסימון, הנפרדת מסיסמת הכניסה שלך לבנקאות מקוונת.

אתה מתקין את מנהל ההתקן שסופק על ידי הבנק במחשב האישי שלך, מחבר את האסימון ונווט לאתר הבנק. בכל פעם שאתה מתחבר או מבצע פעולה רגישה (העברת כספים, שינוי פרטי קשר, אישור לרכישה מקוונת וכו '), הדפדפן / מערכת ההפעלה מבקשת להזין את סיסמת האסימון שלך, האור על האסימון מהבהב למשך מספר שניות והעסקה עובר.

רגע, אני צריך להתקין מנהלי התקנים?

כן. למערכת ההפעלה Windows יש ממשק כרטיסים חכמים סטנדרטיים, אך בכל דגם של אסימון USB נדרש עדיין מנהל התקן. לעתים רחוקות מאוד, Windows Update יתקין את מנהלי ההתקנים הנכונים עבורך, אך ברוב המקרים תצטרך להוריד חבילה מאתר הבנק.

לרוב מערכת ההפעלה הנתמכת היחידה היא Windows, והדפדפן הנתמך היחיד. הוא IE. (הם אוהבים אותם ב- ActiveX.) בהחלט ייתכן שבאופן כללי כרטיסים חכמים / אסימוני USB יתמכו במערכת הפעלה / דפדפנים אחרים, ראה כרטיס CAC לעיל; אתה צריך לבדוק תאימות עם הבנק שלך.

אז איך הוא מאמת אותך?

הדפדפן מבקש ממערכת ההפעלה לבקש מהאסימון לחתום על פיסת נתונים קטנה (אולי פרטי העסקה שלך). האסימון חותם עליו באמצעות המפתח הפרטי ותעודה. הדפדפן שולח את החתימה לבנק. הבנק מאמת את החתימה ומרוצה כי רק לאסימון שנתנו לך יש את המפתח הפרטי להפקת חתימה זו.

המפתח הפרטי לעולם לא עוזב את האסימון. אם הוא מתוכנן כראוי, אסור שהאסימון יגלה את המפתח הפרטי.

Ángel
2017-01-06 23:52:43 UTC
view on stackexchange narkive permalink

ראשית, הרשה לי לציין שאני די סקפטי לגבי הטענה של עובד שאינו טכני שהוא עובד על "כל מכשיר שיש לו יציאת USB", ללא קשר לדפדפן או למערכת ההפעלה. אני לא אתפלא אם מערכת ההפעלה הנתמכת התבררה כמספר גרסאות Windows (ואולי גם MacOS). עם זאת, מעניין לחשוב כיצד מכשיר כזה יכול לעבוד.

רוב הפתרונות שאינם דורשים מנהלי התקנים, כמו הצעתו של אנדרה בורי של מקלדת USB, ידרשו בכל זאת ממשק נוסף (כמו כפתור חומרה).

ובכל זאת, הפוסט של user2720406 נתן לי רעיון למכשיר שאכן יעבוד [במקומות מסוימים] לכל מכשיר [מופעל] שיש לו יציאת USB:

מכשיר ה- USB פשוט מכיל כרטיס SIM, ומשתמש בכדי לגשת לאינטרנט בכוחות עצמו באמצעות GPRS / 3G. ואז המכשיר פשוט ישלח הודעות חתומות דיגיטליות של "הלקוח עם האסימון 12312121 משתמש בבנקאות מקוונת". ההפעלה המקוונת אינה מותרת אלא אם כן התקבלה אחת בחמש הדקות האחרונות (פלוס אולי גורמים אחרים, כמו ה- IP של הלקוח עם מיקום גיאוגרפי דומה ל- IP של המכשיר). לפיכך, יציאת ה- USB תשמש רק לחשמל, והמכשיר יהיה עצמאי לחלוטין במה שמותקן במחשב.

זה פשוט מכריז כמקלדת.
לא יכול לחשוב על סיבה מדוע זה לא יעבוד.חשיבה נהדרת מחוץ לקופסה.
OP יכולה לבדוק זאת על ידי חיבור המכשיר למחשב אחר מזה שאליו הוא נכנס לאתר הבנק.
jorfus
2017-01-07 04:44:49 UTC
view on stackexchange narkive permalink

זה נשמע כמו יוביקי. הם ידועים ועובדים מצוין. https://www.yubico.com/products/yubikey-hardware/yubikey4/

  • בנוגע לאי צורך בנהגים: Yubikey מזהה את עצמו כמקלדת כך שכל מכונה עם מנהל התקן מקלדת יכולה לקרוא את פלט הטקסט ממנה.
  • איך זה עובד: אתה לוחץ על הכפתור וה- Yubikey מוציא מפתח ציבורי (ממפתח פרטי מאובטח במכשיר). הבנק יכול לאחר מכן לאמת אותך ולאשר שיש לך את הדבר שאתה יודע (הסיסמה שלך) ואת הדבר שיש לך (הפרטיות המאובטחת שלך מבחינה פיזית).

  • מדוע זה מאובטח: אין אפשרות לתוכנה במחשב שלך. כדי לקבל גישה למפתח הפרטי שלך כדי שתוכנות זדוניות לא יוכלו להעתיק את המפתח ולהעמיד פנים שאתה. יהיה עליך לגנוב אותך פיזית. (וזה אפשרי, אבל בגלל זה אתה משייך את זה למשהו שאתה מכיר)

  • מי משתמש בהם ולמה: גוגל עזרה בתכנון ה- yubikey כדי שיוכלו לפתור את הבעיה של תוכנות זדוניות המחשב תופס אישורים מקומיים בזמן שהמשתמש לא היה נוכח. לכל מהנדס גוגל יש אחד כזה. השתמשתי בהם במשך שנים ופרסתי סביבם פתרונות 2fa רבים.

על פי האתר yubikey גם מזהה את עצמו ככרטיס חכם וקורא כרטיסים חכמים.
ה- YubiKey משתמש במנהלי התקנים כלליים הקיימים כבר ב- Windows: עבור ה- YubiKey Standard / Nano, וכל מכשיר עם מצב OTP (Edge, NEO וכו '): מקלדות> התקן מקלדת HID (זהה לחיבור מקלדת חיצונית)
במערכות הפעלה חדשות יותר זה כנראה מזוהה בשמו, אבל הנקודה שלי היא שזה עובד מצוין בכל מכונה שאי פעם חיברתי אותה.מעולם לא ראיתי אזהרת "מכשיר לא ידוע".
אם הוא מקליד, אז זה נשמע שזה רק טקסט שיכול להילכד על ידי המשתמש או תוכנה זדונית ולהשתמש בו בנפרד מהמכשיר.
בהחלט, זה פשוט אסימון חד פעמי.תוכנות זדוניות המכילות לוגר מקשים יוכלו תמיד לרשום את הסיסמה ואת ה- OTP (גם אם אתה מקליד את ה- OTP באמצעות FOB של מחזיק מפתחות).מה שמונע הוא התוכנה הזדונית להחליף את האישורים האלה ולהשתמש בהם שוב מאוחר יותר.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...