Обновить

Комментарии 13

Если взять 2350 то у него с безопасностью вроде как получше, 2040 просто вычитать можно.

А плагин для браузера не писали, чтобы передать девайсу текущий сайт, куда вводится пароль?

Пока что всё решение рассчитано на один пароль, плюс ввод при механическом нажатии только)

Но для практического использования - нужа поддержка множества паролей.

интересный проект. По идее можно даже "взросло" сделать. Вынести все ключи в отдельный крипточип специально под это заточеный. Добавить простенький tft дисплей для визуализации что бы можно было без веб-интерфейса переключатся по ключам. Опционально добавить сканер отпечатка пальцев.

Плюс я думаю можно просто "ключи" хранить. Отдельная кнопка что бы с TOTP переключится на текстовые ключи. Причем текстовые можно прямо в памяти хранить, просто криптовать внешним чипом и все будет безопасно максимально.

Как плюс, если взять что то по типу нордика или прочее нормальное беспроводное, то можно парить с телефоном/компом по блутузу и сделать вообще "беспроводным".

Люди заморачивались этим еще лет 10-12-15 назад, тут на хабре с пяток проектов было уже. Как показала практика, "гражданскому" рынку этот девайс попросту не нужен, так как пароли почти везде заменились смс-кодами. Зайти же к корпоратам или в госы, где оно может и было бы нужно, без больших связей/затрат врядли возможно (получить сертификацию не так-то просто, а без нее это просто игрушка).

"гражданскому" рынку этот девайс попросту не нужен, так как пароли почти везде заменились смс-кодами

С тех пор кое-что изменилось. Уже много кто (включая Гугл и сравнимые по крупности) говорит, что SMS им не нравятся и надо заменить. Тут бы им завалить рынок аппаратным токенами по себестоимости, чтобы в каждом ларьке лежали, но увы..

Близзарды к варику продавали одно время аппаратные TOTP-токены - эксперимент дальше этого не пошел. Ненкоторые банки их прямо в карту встраивали, тоже никого не заинтересовало вообще - продукт как появился, так и исчез... Ибо ответ прост - есть TOTP для телефонов в виде приложения, и кейсов, где он не применим, почти нет.

Если сейчас пытаться в такой продукт, то это должен быть именно гибрид TOTP + pkcs11 + парольный менеджер + защищенный картиридер, причем по цене до 100 баксов, частично опенсорсный для маркетинга (не сертифицированная версия), и при этом в закрытой версии сертифицированный как СКЗИ (или штатовский аналог). Выглядит не очень реально...

Если сейчас пытаться в такой продукт, то это должен быть

Да нет же. Это должна быть дешевая штука, которую покупаешь в супермаркете и которую просто регистрируешь в сервисе/привязываешь к сервису.

И вот это все: TOTP, pkcs11, кардридер - хоть и тешит гиковскую душу, но именно для массового продукта совершенно не нужно. Нужен простой и понятный ключ. В смысле - по модели использования. Ткнул в соответствующее место - тебя в сайт пустило. Как с физической дверью.

смс пиздецки ненадежно

сам пользуюсь атентификатором для кодов, но физическое безопасное устройство я б купил.

просто все что есть на рынке оно коммерческое - стоит как крыло боинга и для его использования нужно отдельные полугодичные курсы заканчивать

не знаю ни одного решения что реально было бы удобным в повседневном использовании. Много раз думал сам написать но глубина сложности реализации отталкивала что бы сделать нормально, а просто чтоб было не надо.

 Вынести все ключи в отдельный крипточип специально под это заточеный. 

Которое есть Smart Card. И которые (специализированные под конкретные нужды) раздаются бесплатно кучками в виде банковских карт и SIM карт. А вот купить 'пустую по адекватной цене - какой-то неочевидный квест.

А так - смотри Mooltipass. (И цену его же). Только в подобных обсуждениях пользователь жаловался, что у товарищей с железом проблемы.

Ношу точно такую же штуку на базе Waveshare RP2350-Touch-LCD-1.28. Очень удобно. Изначально делал вообще ради эксперимента, можно ли сгенерить код для железки с нуля и "под ключ" при помощи claude. Можно, он даже с круглым экраном разобрался и не сломал UI... Причем это не ардуино-код, все на взрослом C++.

А вот с паролями я поступил так - при вводе пин-кода мы его просто запоминаем, и от него и внутреннего ключа генерим пароль. Неправильный пин-код? Получим неправильный пароль, то есть ручной перебор попросту невозможен.

Классная борда, но возникает вопрос: почему такое (юсб, микро дисплей) бывает только на RP или всевозможных ESP? Хотелось бы на базе STM32, чтобы новый камень не изучать (еще и СДК в придачу).

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации