Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Gennadiy Redko]

Olvin пишет:
> Навеяно:
> 
> [quote]
> Pavel N. Solovyov пишет:
>>> В результате, я лишь высказал собственное мнение о насущной
>>> необходимости проведения следующей политики блокировки: для её снятия
>>> сначала пройти процедуру авторизации, а уже затем давать доступ к
>>> клавиатуре.
> 
>> Такие системы существуют, и там, где это необходимо, процедура
>> авторизации очень не тривиальна -брелки, отпечаток сетчатки...
>> Но нужна ли она большинству пользователей,
>> которых раздражает даже пароль на хранителе экрана?
> [/quote]
> 
> В общем, у меня часто возникает необходимость запереть рабочую станцию
> _буквально_ на 2-3 минуты. Даже дома так делаю, даже когда один (да-да,
> это моя личная параноя, один раз даже оправдала себя :) ). Пароль
> набирать - задалбывает иногда, они у меня не маленькие по длине.
> Хотелось бы что-то вроде: человек для логина должен предоставить только
> пароль, но когда блокирует сессию, должен предоставить не пароль, а
> вставить некий ключ (подключаемый к USB). Как это у нас реализуемо? А
> может, уже реализовано?
> 
> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
> (поддерживается только Windows AFAIR), отходишь с ним от компа на 1-1.5
> метра - станция блокируется, подходишь - разблокируется. Позавидовал :)
http://www.alladin.ru/catalog/etoken/models/etoken_rfid/index.php
http://www.etokenonlinux.org/et/FAQ

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Igor Zubkov]

19.03.08, Olvin написал(а):
>  В общем, у меня часто возникает необходимость запереть рабочую станцию
>  _буквально_ на 2-3 минуты. Даже дома так делаю, даже когда один (да-да,
>  это моя личная параноя, один раз даже оправдала себя :) ). Пароль
>  набирать - задалбывает иногда, они у меня не маленькие по длине.
>  Хотелось бы что-то вроде: человек для логина должен предоставить только
>  пароль, но когда блокирует сессию, должен предоставить не пароль, а
>  вставить некий ключ (подключаемый к USB). Как это у нас реализуемо? А
>  может, уже реализовано?

pam_usb?

Так же было что-то работающее через bluetooth, отходишь от компа
далеко и он блокирует комп. Название я не помню.

-- 
icesik

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Maxim Tyurin]

Gennadiy Redko writes:
\skip
> http://www.alladin.ru/catalog/etoken/models/etoken_rfid/index.php
> http://www.etokenonlinux.org/et/FAQ

IMHO лучше без аладиновского софта обойтись.
И форматировать токен в PKCS#15 - тогда для работы с ним закрытый софт
не нужен.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Maxim Tyurin]

Igor Zubkov writes:

> 19.03.08, Olvin написал(а):
>>  В общем, у меня часто возникает необходимость запереть рабочую станцию
>>  _буквально_ на 2-3 минуты. Даже дома так делаю, даже когда один (да-да,
>>  это моя личная параноя, один раз даже оправдала себя :) ). Пароль
>>  набирать - задалбывает иногда, они у меня не маленькие по длине.
>>  Хотелось бы что-то вроде: человек для логина должен предоставить только
>>  пароль, но когда блокирует сессию, должен предоставить не пароль, а
>>  вставить некий ключ (подключаемый к USB). Как это у нас реализуемо? А
>>  может, уже реализовано?
>
> pam_usb?
>
> Так же было что-то работающее через bluetooth, отходишь от компа
> далеко и он блокирует комп. Название я не помню.

Шнурок от токена на шею. Отходишь - токен выдергивается :)
Аппаратное решение. Надежное :D
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Gennadiy Redko]

Maxim Tyurin пишет:
> Gennadiy Redko writes:
> \skip
>> http://www.alladin.ru/catalog/etoken/models/etoken_rfid/index.php
>> http://www.etokenonlinux.org/et/FAQ
> 
> IMHO лучше без аладиновского софта обойтись.
> И форматировать токен в PKCS#15 - тогда для работы с ним закрытый софт
> не нужен.
> 

А где об этом почитать можно?
Может кто-то предлагает внедрение PKI за деньги?

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Mykola S. Grechukh]

2008/3/19, Olvin <>:
> Olvin wrote:
>  > А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>  > (поддерживается только Windows AFAIR), отходишь с ним от компа на 1-1.5
>  > метра - станция блокируется, подходишь - разблокируется. Позавидовал :)
>
>
> Да, подчеркну: вход в систему должен быть только по паролю и без
>  электронного ключа. А вот когда вход выполнен, то разблокировка нужна
>  без пароля, но по подключению электронного ключа.

какие проблемы. в /etc/pam.d/xscreensaver /etc/pam.d/kscreensaver что-то типа

auth sufficient etoken.so

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Maxim Tyurin]

olvin@rambler.ru writes:

> Olvin wrote:
>> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>> (поддерживается только Windows AFAIR), отходишь с ним от компа на
>> 1-1.5 метра - станция блокируется, подходишь -
>> разблокируется. Позавидовал :)
>
> Да, подчеркну: вход в систему должен быть только по паролю и без
> электронного ключа. А вот когда вход выполнен, то разблокировка нужна
> без пароля, но по подключению электронного ключа.

Странное требование.
Вход по токену более безопасная вещь.
Можно просто не отрывать вход по паролю.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Maxim Tyurin]

Gennadiy Redko writes:

> Maxim Tyurin пишет:
>> Gennadiy Redko writes:
>> \skip
>>> http://www.alladin.ru/catalog/etoken/models/etoken_rfid/index.php
>>> http://www.etokenonlinux.org/et/FAQ
>> 
>> IMHO лучше без аладиновского софта обойтись.
>> И форматировать токен в PKCS#15 - тогда для работы с ним закрытый софт
>> не нужен.
>> 
>
> А где об этом почитать можно?

Выложил на freesource свою недоделанную писанину.
http://freesource.info/wiki/MaximTyurin/eToken
Правда я настраивал в Debian. В ALTLinux практически также.
Насколько я помню в ALTLinux будет одна засада - пропатчить и
пересобрать openssh у меня сходу не получилось

> Может кто-то предлагает внедрение PKI за деньги?

А вот этим не интересовался.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Gennadiy Redko]

Maxim Tyurin пишет:
> Gennadiy Redko writes:
> 
>> Maxim Tyurin пишет:
>>> Gennadiy Redko writes:
>>> \skip
>>>> http://www.alladin.ru/catalog/etoken/models/etoken_rfid/index.php
>>>> http://www.etokenonlinux.org/et/FAQ
>>> IMHO лучше без аладиновского софта обойтись.
>>> И форматировать токен в PKCS#15 - тогда для работы с ним закрытый софт
>>> не нужен.
>>>
>> А где об этом почитать можно?
> 
> Выложил на freesource свою недоделанную писанину.
> http://freesource.info/wiki/MaximTyurin/eToken
> Правда я настраивал в Debian. В ALTLinux практически также.
> Насколько я помню в ALTLinux будет одна засада - пропатчить и
> пересобрать openssh у меня сходу не получилось
Спасибо.

> 
>> Может кто-то предлагает внедрение PKI за деньги?
> 
> А вот этим не интересовался.

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 890 bytes --]

Olvin пишет:
> Maxim Tyurin wrote:
>>>> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>>>> (поддерживается только Windows AFAIR), отходишь с ним от компа на
>>>> 1-1.5 метра - станция блокируется, подходишь -
>>>> разблокируется. Позавидовал :)
>>> Да, подчеркну: вход в систему должен быть только по паролю и без
>>> электронного ключа. А вот когда вход выполнен, то разблокировка нужна
>>> без пароля, но по подключению электронного ключа.
>> Странное требование.
>> Вход по токену более безопасная вещь.
>> Можно просто не отрывать вход по паролю.
> 
> Не, входить мне приходится ещё и удалённо. Так что пароль. А локальная 
> разблокировка - по токену.

Вообще-то удаленно лучше входить по ключу, а парольный вход запретить.
А rsa ключ для ssh можно положить на токен.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

[room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Olvin]

Навеяно:

[quote]
Pavel N. Solovyov пишет:
 >> В результате, я лишь высказал собственное мнение о насущной
 >> необходимости проведения следующей политики блокировки: для её снятия
 >> сначала пройти процедуру авторизации, а уже затем давать доступ к
 >> клавиатуре.

 > Такие системы существуют, и там, где это необходимо, процедура
 > авторизации очень не тривиальна -брелки, отпечаток сетчатки...
 > Но нужна ли она большинству пользователей,
 > которых раздражает даже пароль на хранителе экрана?
[/quote]

В общем, у меня часто возникает необходимость запереть рабочую станцию 
_буквально_ на 2-3 минуты. Даже дома так делаю, даже когда один (да-да, 
это моя личная параноя, один раз даже оправдала себя :) ). Пароль 
набирать - задалбывает иногда, они у меня не маленькие по длине. 
Хотелось бы что-то вроде: человек для логина должен предоставить только 
пароль, но когда блокирует сессию, должен предоставить не пароль, а 
вставить некий ключ (подключаемый к USB). Как это у нас реализуемо? А 
может, уже реализовано?

А то когда-то (1-2 года назад) в журнале увидел обзор устройства 
(поддерживается только Windows AFAIR), отходишь с ним от компа на 1-1.5 
метра - станция блокируется, подходишь - разблокируется. Позавидовал :)

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Olvin]

Olvin wrote:
> А то когда-то (1-2 года назад) в журнале увидел обзор устройства 
> (поддерживается только Windows AFAIR), отходишь с ним от компа на 1-1.5 
> метра - станция блокируется, подходишь - разблокируется. Позавидовал :)

Да, подчеркну: вход в систему должен быть только по паролю и без 
электронного ключа. А вот когда вход выполнен, то разблокировка нужна 
без пароля, но по подключению электронного ключа.

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Olvin]

Mykola S. Grechukh wrote:
>>> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>>> (поддерживается только Windows AFAIR), отходишь с ним от компа на 1-1.5
>>> метра - станция блокируется, подходишь - разблокируется. Позавидовал :)
>> Да, подчеркну: вход в систему должен быть только по паролю и без
>> электронного ключа. А вот когда вход выполнен, то разблокировка нужна
>> без пароля, но по подключению электронного ключа.
> какие проблемы. в /etc/pam.d/xscreensaver /etc/pam.d/kscreensaver что-то типа
> auth sufficient etoken.so

Спасибо, понял, приглядываюсь :)

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Olvin]

Maxim Tyurin wrote:
>>> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>>> (поддерживается только Windows AFAIR), отходишь с ним от компа на
>>> 1-1.5 метра - станция блокируется, подходишь -
>>> разблокируется. Позавидовал :)
>> Да, подчеркну: вход в систему должен быть только по паролю и без
>> электронного ключа. А вот когда вход выполнен, то разблокировка нужна
>> без пароля, но по подключению электронного ключа.
> Странное требование.
> Вход по токену более безопасная вещь.
> Можно просто не отрывать вход по паролю.

Не, входить мне приходится ещё и удалённо. Так что пароль. А локальная 
разблокировка - по токену.

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1699 bytes --]

Olvin пишет:
> Maxim Tyurin wrote:
>>>>>> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>>>>>> (поддерживается только Windows AFAIR), отходишь с ним от компа на
>>>>>> 1-1.5 метра - станция блокируется, подходишь -
>>>>>> разблокируется. Позавидовал :)
>>>>> Да, подчеркну: вход в систему должен быть только по паролю и без
>>>>> электронного ключа. А вот когда вход выполнен, то разблокировка нужна
>>>>> без пароля, но по подключению электронного ключа.
>>>> Странное требование.
>>>> Вход по токену более безопасная вещь.
>>>> Можно просто не отрывать вход по паролю.
>>> Не, входить мне приходится ещё и удалённо. Так что пароль. А локальная 
>>> разблокировка - по токену.
>> Вообще-то удаленно лучше входить по ключу, а парольный вход запретить.
>> А rsa ключ для ssh можно положить на токен.
> 
> Просто ключ можно потерять/могут украсть. Защиту ssh я делаю через knockd :)

А можно забыть пароль. Или если его запишешь могут украсть то куда
записал. А вообще никто не мешает сделать
 *) или дополнительный ключ ssh и положить его в надежном месте (в
authorized_keys может быть много ключей)
 *) или сделать backup сертификата перед переносом его в токен и тоже
положить его в надежное место.

Единственная причина известная мне когда надо подключаться именно по
паролю - необходимость доступа из мест на подобии Интернет-кафе.
Но я из таких мест вообще не собираюсь лезть на серверы.
А если надо - то с ноута можно порулить.

> Ключ я хотел сделать для случая, когда отхожу ненадолго.

Тогда это стрельба из пушки по воробьям. Проще привязать телефон по BT.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [room] USB-брелок вместо пароля (типа SmartCard, но несколько иначе)

[Olvin]

Maxim Tyurin wrote:
>>>>> А то когда-то (1-2 года назад) в журнале увидел обзор устройства
>>>>> (поддерживается только Windows AFAIR), отходишь с ним от компа на
>>>>> 1-1.5 метра - станция блокируется, подходишь -
>>>>> разблокируется. Позавидовал :)
>>>> Да, подчеркну: вход в систему должен быть только по паролю и без
>>>> электронного ключа. А вот когда вход выполнен, то разблокировка нужна
>>>> без пароля, но по подключению электронного ключа.
>>> Странное требование.
>>> Вход по токену более безопасная вещь.
>>> Можно просто не отрывать вход по паролю.
>> Не, входить мне приходится ещё и удалённо. Так что пароль. А локальная 
>> разблокировка - по токену.
> Вообще-то удаленно лучше входить по ключу, а парольный вход запретить.
> А rsa ключ для ssh можно положить на токен.

Просто ключ можно потерять/могут украсть. Защиту ssh я делаю через knockd :)

Ключ я хотел сделать для случая, когда отхожу ненадолго.