Úvaha nad použitím TOTP (diskuse)

Přihlášení | Registrace

napište » Zprávičky

Pharo 12.0

dnes 13:33 | Nová verze

Vyšlo Pharo 12.0, programovací jazyk a vývojové prostředí s řadou pokročilých vlastností. Krom tradiční nadílky oprav přináší nový systém správy ladících bodů, nový způsob definice tříd, prostor pro objekty, které nemusí procházet GC a mnoho dalšího.

Pavel Křivánek | Komentářů: 0

Microsoft zveřejnil na GitHubu zdrojové kódy MS-DOSu 4.0 pod licencí MIT

dnes 04:55 | Zajímavý software

Microsoft zveřejnil na GitHubu zdrojové kódy MS-DOSu 4.0 pod licencí MIT. Ve stejném repozitáři se nacházejí i před lety zveřejněné zdrojové k kódy MS-DOSu 1.25 a 2.0.

Ladislav Hagara | Komentářů: 18

Ubuntu 24.04 LTS Noble Numbat

včera 17:33 | Nová verze

Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.

Ladislav Hagara | Komentářů: 13

Videozáznam z Czech Open Source Policy Forum 2024

včera 14:22 | Komunita

Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.

Ladislav Hagara | Komentářů: 2

Fossil 2.24

včera 13:22 | Nová verze

Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.

Ladislav Hagara | Komentářů: 0

Vivaldi 6.7

včera 12:44 | Nová verze

Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).

Ladislav Hagara | Komentářů: 0

Node.js 22

včera 04:55 | Nová verze

OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.

Ladislav Hagara | Komentářů: 0

Proxmox Virtual Environment 8.2

včera 04:22 | Nová verze

Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.

Ladislav Hagara | Komentářů: 0

R 4.4.0 (Puppy Cup)

včera 04:11 | Nová verze

R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.

Ladislav Hagara | Komentářů: 0

IBM kupuje společnost HashiCorp za 6,4 miliardy dolarů

24.4. 22:44 | IT novinky

IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.

Ladislav Hagara | Komentářů: 14

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (73%)

čekám, až se dostane do mé distibuce (9%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (16%)

Celkem 786 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / Tomik / Úvaha nad použitím TOTP / Úvaha nad použitím TOTP (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

Vložit další komentář

4.3.2022 21:22 jancici
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Odpovědět | Sbalit | Link | Blokovat | Admin

ja používam AUTHY na telefóne aj na desktope, dá sa to zosynchronizovať, teda že si tam vieš pridať viacero zariadení.

ak ľahne fón tak mám funkčnú kópiu na dekstope kde starý fón odstránim a priddám nový

5.3.2022 21:02 Tomáš | skóre: 31 | blog: Tomik
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Nevím, jestli to je dobrý způsob. Nejspíš to je chráněné heslem, takže jsme zhruba na té úrovni, že používáš nějaký password manager, ke kterém si pamatuješ jedno heslo (já bych se bál, že po dovolené si už nevzpomenu). Myslím, že TOTP mělo vyšší ambice, ale to by předpokládalo použití HW zařízení, které tu tajnou hodnotu nikdy nevydá, ani když ho budeš přemlouvat JTAGem či nějakou destruktivní metodou.

Když se víceméně hromadně přešlo na generování TOTP v aplikaci, tak už to je asi jedno, protože ta aplikace musí někde mít tu tajnu hodnotu v otevřené formě (po dobu výpočtu). Ještě je možnost, že by v telefonu byl nějaký bezpečnostní čip, který by se choval jako ten USB klíč, takže by se uživateli ušetřilo připojování klíče. Ale to by se zase narazilo na jiné problémy, např. jak nahrát tajnou hodnotu na jiné (záložní) zařízení, jak spolehlivě zlikvidovat data, když se zbavuješ starého telefonu atd. Při ceně toho USB klíče kolem 30-40 dolarů za kus si dopřeješ 2-3 kusy, ale kupovat 3 telefony asi nechceš.

5.3.2022 13:46 ehmmm
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Odpovědět | Sbalit | Link | Blokovat | Admin

Jo tak s timhle jsem taky bojoval.

K zakaznikovi jsme se pripojovali pres OpenVPN a k osobnimu certifikatu bylo jeste nejake jmeno/heslo. IT zakaznika usoudilo, ze to neni bezpecne (je pravda, ze ja to jmeno/heslo mel v souboru a v *.ovpn se odkazoval na tento soubor), tak zavedli tohle sesticislo zavisle na heslu (najekym dlouhym textu, ktery obvykle je v QR kodu, ale je konstantni) a casu a kazdych 30 sekund se meni.

Tak to ne. Poslepoval jsem skript v Pythonu, ktery spusti OpenVPN, podle hesla spocita sesticislo, preda ho OpenVPN a jedeme.

5.3.2022 17:40 Heretik
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Odpovědět | Sbalit | Link | Blokovat | Admin

HOTP je logicky špatně už jako koncept. S velmi velkým počtem neúspěšných útoků útočník znemožní legitimní autentikaci, když se čítač servru dostane mimo rozsah klienta, například řádově.

Při trvalém nebo rychlejším útoku klient nedohoní útočníka do platného rozsahu nikdy.

V tomto případě se jedná o jednoduchou indirekci aditivní operace na vnitřním stavu která je přístupná útočníkovi přímo.

Uvedený protokol proto považuji za hračkový až dementní.

5.3.2022 20:29 Tomáš
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Pokud jsem to pochopil spravne, tak citac se zveda az pri uspesnem pokusu.

Na obranu pred DOS utokem se samozrejme daji nasadit standardni vychytavky, jako umele natahovani overeni hesla (proste se pocka 1 sekunda, nez se vrati vysledek), zablokuje se na pul hodiny zdrojova adresa apod. (Obzvlaste "oblibene" je zablokovani uctu na pul hodiny.)

6.3.2022 19:17 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Odpovědět | Sbalit | Link | Blokovat | Admin

Jeden postřeh pro tvůrce aplikací: Prosím nechte uživatele nastavit víc než jeden generátor. Spousta lidí má třeba dva yubikey klíče.

A drobná korekce: Yubikey TOTP s NFC funguje. Alespoň u Yubikey 5.

9.3.2022 23:57 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Úvaha nad použitím TOTP

Odpovědět | Sbalit | Link | Blokovat | Admin

Jaké ověřování proti službám vlastně používáte? Pořád přemýšlím, jaké 2FA použít pro ověřování na různých druzích serverů a služeb.
Bavím se jak o Linuxu (ssh), tak o Windows (rdp, kerberos apod.).
Zatím jsem došel k Yubikey, ale pořád nevím nevím, zda tím jde pokrýt vše :-/.
Na Linuxu už 2FA jedu, ale chtěl bych to změnit na něco jiného, současný druh 2FA mi moc nevyhovuje.
Zdar Max

Měl jsem sen ... :(

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje