Всем наидобрейшего утра.
С давнего времени пользуюсь генераторами одноразовых кодов или по ITшному TOTP
Сначала я доверял это Google Auentyphicator
Потом я стал доверять это Яндекс Ключу. Замечал, что приложению Яндекс Ключ, нужен интернет. Но, подкупаясь технологией хранения копии в том же Яндекс облаке, не сильно парился. «удобноже»
В связи с многочисленными утечками, встал вопрос и в плане доверия этим приложениям, имеется в виду сами по себе приложения для ТОТР созданные техногигантами, делающими эти приложения с закрытым кодом, с разрешением выхода в интернет и....
В связи с последним заявлением Яндекса на странице их приложения в Русторе
«Что нового
Яндекс Ключ стал приложением Яндекс ID.
—Вход в сервисы Яндекса стал быстрее: код или картинка показываются сразу после открытия приложения. Не нужно вспоминать пароль или ждать смс.
—Появилось удобное управление аккаунтами: данными, устройствами, доступами, оплатой, подписками и семейной группой.
—При обновлении с Яндекс Ключа все аккаунты и данные сохраняются автоматически — приложение сразу готово к работе.»
Что имеем по факту .
В приложении особо ничего не изменилось. Тем не менее в разделе настройки, появилась кнопка входа в аккаунт Яндекс на выбор и один из них оказался даже мой рабочий аккаунт привязанный к месту работы.
О чем это говорит. Это говорит о постепенном и безотвратном собирании к главному.
Пока залогинивание не обязательно, но раз теперь это официально Я ID, 100% эта кнопка и функция станет обчзательно в одном из объявлений.
Что это даёт Яндексу?
Вы будете постоянно в облаке. 100% времени. Вы и так уже (и я) бэкапы всех ваших токенов, а теперь они будут официально в Яндексе. Утечки ваших данных не миновать. Это вопрос времени.
Токенов? А это что такое? Не, не слышал!
Тогда, для тебя немного теории.
Конечно же всё шифруется и факт передачи токенов и их хранение в облаке, скажет любой ITшник.
Шифрование защищает ваши данные от хакеров и самих провайдеров в повседневной работе. Но, оно не защищает от законного требования в той юрисдикции, где находится провайдер. Ключи у провайдера есть, и он может (и должен) их использовать по решению суда.
Что такое токен и что именно он делает в технологии ТОТР?
Зачем нужен токен?
Без токена система TOTP работать не может. Именно в нём хранится уникальный секретный ключ, который вы получили при настройке двухфакторной аутентификации (обычно отсканировав QR-код). На основе этого ключа и точного времени токен каждые 30 секунд создаёт новый временный пароль.
Проще говоря: токен = ваш личный генератор кодов, привязанный к вашему аккаунту. Сервис (например, банк или соцсеть) знает ваш секретный ключ и синхронно генерирует такой же код на своей стороне для проверки.
И вот теперь встаёт самый главный вопрос. И сразу ответ.
Приложениям для генерации кодов не нужен интернет. Приложение генерирует коды без интернета.
Вот в чем вся соль.
А, ещё же соль. Да.
Что такое "соль" (salt)? Это криптографическая случайная строка, которая добавляется к данным (например, паролю) перед хешированием. Её цель — предотвратить атаки по радужным таблицам. Каждому пользователю или элементу данных генерируется своя уникальная соль.
2. Где хранится соль? В абсолютном большинстве архитектур для корректной работы системы (проверки пароля, шифрования/расшифровки данных) соль должна храниться вместе с зашифрованными данными или в связанной служебной базе данных. Она не является секретом в том же смысле, что и ключ шифрования. Её функция — уникальность, а не секретность.
3. Может ли провайдер её использовать? Конечно. Если провайдер по решению суда извлекает ключ шифрования из HSM, то соль, хранящаяся в его же базе данных, будет ему доступна. Она лишь упрощает и делает целевым процесс расшифровки.
Вот мы и подобрались к глобальной жопе с приложениями для генерации того, что никто не должен знать, но хочет и прилагает для этого невероятные усилия.
Что делать? Как избежать слива и компрометации ваших данных?
Ну, не всё так плохо.
Нужно сделать бэкап данных ваших сервисов. Пока есть такая возможность в самом Яндекс Ключе.
Потом скачать хорошее приложение для ТОТР, из тех, что свободные и им не нужен интернет. В том смысле, что если ему запретить выход в интернет, то оно продолжит работать. И импортировать в него данные, которые вы только что сохранили из Яндекс ключа.
Названия приложений я не буду давать никакие, по причине...Да просто не хочу. Нужно, сами найдете.
Надеюсь, этот пост вас порадовал прочтением и одновременно огорчил осознанием угрозы.
Берегите себя. В процессе создания поста не были использованы нейросети.
Тут понаехало комментаторов - мол нужен интернет
Отвечаю - только при первой настройке при сканировании QR кода.
Первая «синхронизация» — это безопасная офлайн-передача общего секрета (ключа) от сервиса к вашему приложению через QR-код. После этого оба конца независимо, но одинаково вычисляют коды на основе этого ключа и текущего времени. Интернет больше не нужен.
