Почему я все еще получаю приглашение пароля с помощью ssh с аутентификацией с открытым ключом?

Вопросы от наших пользователей

Основные проблемы с аутентификацией пользователей в сети Wi-Fi в целом понятны, но многие юзеры просят подробнее остановиться на некоторых моментах и задают свои вопросы. Не все до конца представляют, что делать при возникновении ошибки на смартфоне.

Что такое аутентификация Wi-Fi на телефоне?

Все современные модели смартфонов оснащены беспроводной связью Wi-Fi. Через нее можно без лишних сложностей подключаться к роутеру при нахождении в зоне досягаемости. Для обеспечения защиты от несанкционированного доступа используются пароли и специальные протоколы шифрования. Наиболее надежными считаются WPA/WPA2.

Каждый пользователь, который подключается к защищенному роутеру Wi-Fi с телефона, должен вводить пароль (проходить процедуру аутентификации). Если он будет введен неправильно, то не удастся получить доступ к Интернету. Проблемы также часто возникают при несовместимости протоколов шифрования.

Телефон не подключается к Wi-Fi (ошибка аутентификации) – что делать?

Если обычная перезагрузка маршрутизатора не помогает, то для исправления ошибки следует сделать следующее:

• проверить соответствие пароля в настройках роутера тому, что был введен в телефоне;
• удостовериться, что смартфон или планшет поддерживают технологию шифрования, установленную в конфигурации маршрутизатора;
• убедиться, что выбран соответствующий режим работы сети по максимальной скорости.

Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу

Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows. Пользователям не удается войти на удаленные рабочие столы.

Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.

Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).

Подключение к серверу

Настало время попробовать подключиться к серверу с нашим новым ключом.

В терминале на клиентской машине запускаем следующую команду:

Вывод должен быть примерно такой:

Как и обычно, SSH-клиент запросит парольную фразу для приватного ключа (если вы ее устанавливали). Кроме этого, он проверит, подключен ли соответствующий аппаратный ключ Yubikey к машине и затем потребует подтвердить присутствие пользователя. Для этого нужно нажать золотую кнопку на Yubikey. Если все было сделано корректно, после этого вы получите SSH-доступ к вашему серверу.

Возможно, вы обратили внимание на параметр. Он указывает, какой именно SSH-ключ использовать, что может быть полезно, если вы используете не один такой ключ на ваших машинах

Обратите внимание, что если вы используете ssh-agent и в него уже загружены какие-то из ваших ключей, они могут быть использованы, несмотря на то, что вы явно указываете другой ключ в командной строке с помощью параметра .

Возможно, на время эксперимента вы захотите удалить все ключи загруженные в ssh-agent. Это можно сделать командой .

Проверить, какие ключи загружены, можно с помощью

Другой вариант: использовать опцию «IdentitiesOnly true» при запуске SSH-клиента вместе с .

Все детали о командах и ключах которые описаны в этом разделе можно найти в man для ssh и ssh_config.

Для отладки (в том числе и проверки, какой именно ключ был использован) можно использовать стандартные методы: на клиенте это запуск ssh с параметром (что означает ; можно добавлять несколько для получения более детального вывода — ; на стороне сервера можно найти информацию в журнале .

Как настроить

В последних версиях iOS и macOS система сама будет напоминать о том, что двухфакторная аутентификация не включена. Об этом просигнализирует красный бейдж на иконке приложения Настройки и периодически появляющиеся баннеры на экране.

Для включения на iOS:

1. Перейдите в Настройки – Имя пользователя – Пароль и безопасность (для iOS 10.2 и более ранних Настройки – iCloud – Apple ID – Пароль и безопасность).

2. Выберите опцию Включить двухфакторную аутентификацию.

3. Нажмите Продолжить.

4. Укажите номер телефона, на который будут поступать сообщения или звонки с подтверждающими кодами.

5. Нажмите далее и после получения сообщения подтвердите номер телефона вводом кода.

Для включения на macOS:

1. Перейдите в Настрйоки – iCloud – Учетная запись.

2. Откройте раздел Безопасность.

3. Нажмите на кнопку Включить двухфакторную аутентификацию.

4. Укажите доверенный номер телефона и способ доставки кода (СМС или звонок).

5. Введите полученный проверочный код.

Для управления доверенными устройствами и телефонными номерами используйте страницу своей учетной записи Apple ID.

В разделе «Безопасность» можно менять и добавлять номера телефонов, а в разделе «Устройства» – доверенные смартфоны, планшеты и компьютеры.

Меры предосторожности

Чтобы максимально обезопасить данные, необходимо:

• не разглашать пароль от Apple ID и не хранить его в доступном месте;
• использовать пароли блокировки для доступа на всех доверенных устройствах;
• обновлять доверенные номера телефонов в случае смены или утери старых;
• указать в учетной записи действительную кредитную карту, в случае восстановления пароля эта информация может быть использована для удостоверения личности.

Это все, что нужно знать о двухфакторной аутентификации. Не откладывай с настройкой защиты, процесс занимает всего 5 минут, а безопасность на уровень выше.

Спасибо re:Store за полезную и интересную информацию.

iPhones.ru

Это реально необходимо.

Конфигурация и активация

«Конфигурация этого домена не позволяет использовать единый набор реквизитов».

Эта ошибка обычно указывает на то, что вы пытаетесь использовать систему единого входа в бесплатной (стандартной) версии G Suite, в которой эта возможность недоступна. Если вы уверены, что используете версию Google Workspace с поддержкой единого входа, проверьте конфигурацию поставщика идентификационной информации, чтобы убедиться, что вы правильно ввели доменное имя Google Workspace.

«Этот аккаунт недоступен, так как домен настроен неправильно. Повторите попытку позже».

Эта ошибка указывает, что вы не настроили систему единого входа в консоли администратора Google надлежащим образом. Чтобы исправить ошибку, выполните следующие действия:

1. В консоли администратора Google откройте раздел БезопасностьНастройка системы единого входа с использованием стороннего поставщика идентификационной информации и установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
2. Укажите URL для страниц входа, выхода и изменения пароля в соответствующих полях.
3. Выберите и загрузите файл действительного проверочного сертификата.
4. Нажмите Сохранить, подождите пару минут, пока выбранные настройки не будут применены в системе, и попробуйте войти ещё раз.

Безопасно, но неудобно

Однако усилия разработчиков и маркетологов крупных компаний пока не приводят к повсеместной распространенности многофакторной или многоэтапной аутентификации. Так двухэтапной аутентификацией защищены не более 10% аккаунтов Google, хотя возможность привязки логина и пароля к номеру телефона доступна уже семь лет. При этом компания пока не решается вводить обязательную двухэтапную аутентификацию для всех клиентов, поскольку боится потерять значительную часть пользователей. Причин, по которым клиенты Google и других компаний не пользуются двухэтапной аутентификацией, несколько:

1. Любые дополнительные шаги в привычной схеме аутентификации для части пользователей оказываются слишком сложными и непонятными. Начинающие пользователи не всегда понимают, зачем им необходимо вводить свой номер мобильного телефона, более опытные клиенты могут столкнуться с неудобствами при использовании тех или иных сервисов (например, двухфакторная аутентификация в Яндексе реализована нестандартно, поэтому нет совместимости с Google Authenticator, 1password и другими популярными программами).
2. Многие клиенты не желают сообщать крупным компаниям номер мобильного телефона, свое реальное местонахождение и т.п. В случае с банковскими сервисами дополнительный этап защиты данных с использованием номера телефона представляется «неизбежным злом», но сообщать свои данные почтовой службе хотят далеко не все («все равно у меня в ящике ничего ценного»).
3. Некоторые клиенты не желают «привязывать» свои данные к USB-ключу или смартфону, потому что устройство можно потерять. В этом случае личные данные могут попасть в руки к посторонним людям. Также в последние годы стало понятно, что наиболее распространенная схема аутентификации с помощью SMS-кодов неидеальна. В 2017 году злоумышленники в Германии сумели с помощью троянских программ получить логины и пароли пользователей для доступа в интернет-банк. Затем они воспользовались уязвимостью в наборе сигнальных телефонных протоколов, который используется для рассылки SMS, и перенаправили сообщения с одноразовыми кодами подтверждения входа на свой номер телефона, а далее перевели деньги клиентов банка на свои счета. Этот случай еще раз продемонстрировал, что двухэтапная аутентификация с применением SMS-кодов может быть не самым оптимальным вариантом (но она все равно лучше, чем простой ввод логина и пароля).

Изменяем пароль sa в MS SQL

Меняем пароль sa в sql

«sa» — это логин пользователя в MS SQL, имеющий по умолчанию самые высокие привилегии, сама учетка локальная, зачастую даже выключенная, но тем не менее часто используемая. Если вы потеряли или забыли пароль от этой учетки «sa», то у вас не будет доступа к управлению вашими БД.

Пароль sa по умолчанию

Напомню пароль sa по умолчанию как ни странно sa

Единственное требование, вы везде должны быть локальным администратором

Сменить пароль sa в sql через графический интерфейс

Начнемс, откройте пуск и идите по пути Все программы > Microsoft SQL Server 2012 R2 > Среда SQL Server Management Studio

Либо вы можете открыть командную строку и ввести там ssms.

У вас откроется SQL Server Management Studio.

По умолчанию стоит проверка подлинности Windows, что означает, что вы сможете войти только с локальной учетной записью Windows или доменной, главное чтобы были права.

Учетная запись sa по умолчанию отключена, но это не помешает вам сменить ей пароль.

ms sql позволяет сбросить пароль sa через ее свойства, для этого щелкаете правым кликом и выбираете свойства из контекстного меню.

На вкладке общие вы увидите, поле для ввода нового пароля, единственное учтите, что если стоит галка Требовать использование политики паролей, вам придется придумать стойкий пароль отвечающий требованиям безопасности, а именно

• Должна быть большая буква в пароле
• Должна быть маленькая буква в пароле
• Должен быть спецсимвол или цифра в пароле

Если галку снять, то можно задать новый пароль и сохранить. Пароль на пользователя sa в sql изменен.

Единственное, если вы хотите использовать учетную запись sa, то ее нужно включить, для этого перейдите в пункт состояние и укажите Имя входя Включено.

Еще нюанс, вы же помните, что у вас стоит проверка подлинности Windows, а это значит, что нам это не подходит для sa. Щелкнем правым кликом по названию сервера, вверху иерархии и выберем свойства.

На вкладке безопасность, выберем вариант Проверка подлинности SQL Server и Windows. Теперь вы можете заходить с помощью пользователя sa в sql.

Если при попытке войти Management Studio выдает ошибку 233, что подключение к серверу успешно установлено, но затем произошла ошибка при входе, то сделайте следующее.

Откройте Пуск > Панель управления > Администрирование > Службы и перезапустите службу SQL Server.

Тогда подключение проходит успешно и без ошибок.

Сменить пароль sa в sql через командную строку

Чтобы в sql сбросить пароль sa через командную строку воспользуйтесь командами.

osql -L

Данной командой вы увидите все доступные сервера MS SQL их SPN

Далее вводите команду

osql -S имя сервера-Eдалее пишите

sp_password NULL, , ’sa’

GO

Если вылезет сообщение Password validation failed. The password does not meet Windows policy requirements because it is too short. То задайте более строгий пароль.

Все после этого вы сбросите пароль sa в sql.

Еще вариант использования osql это вот так

cd C:Program FilesMicrosoft SQL Server110ToolsBinnзатем мы пытаемся подключиться под доверенной учетной записей ОС

osql.exe»  -S   (local)имя вашего сервера -E

И последний рубежALTER LOGIN
 SA WITH PASSWORD=‘new_password’
она заменит пароль на new_password

С помощью программы Asunsoft SQL Password Geeker

Есть утилита Asunsoft SQL Password Geeker, она платная, но способная выполнить поставленную задачу. Запускаем ее жмем Browse далее идем по пути C:Program FilesMicrosoft SQL ServerMSSQL11.MSSQLSERVERMSSQLDATA и открываем master.mdf

теперь, чтобы сбросить пароль sa в sql, выберите его и нажмите Reset.

Сменить пароль sa в монопольном режиме

Есть еще четвертый способ поменять пароль от sa, и заключается он в запуске MS SQL в однопользовательском режиме (single-user mode).

Первое это останавливаем MS SQL Server, можно через службы, а можно и из командной строки

net stop MSSQLSERVER

Далее открываете реестр Windows и переходите в ветку

HKEY_LOCAL_MACHINESYSTEMControlSet001Services MSSQLSERVER

Теперь вам нужно задать параметр в строке ImagePath 
-m как раз и будет говорить об однопользовательском режиме. У меня получилось вот так

«C:Program FilesMicrosoft SQL ServerMSSQL11.MSSQLSERVERMSSQLBinnsqlservr.exe» -m -s MSSQLSERVER

Теперь запускаете MS SQL командой

net start MSSQLSERVER

Теперь SQL запущен в однопользовательском режиме и позволяет любому члену локальной группы администраторов компьютера подсоединяться к экземпляру SQL Server с правами sysadmin, но нужно SQL об этом сказать. Посмотреть режим работы можно в свойствах службы.

В командной строке пишем

cd C:Program FilesMicrosoft SQL Server110ToolsBinnsqlcmd.exe: 

GO

Перезапускаем службу, не забудьте потом убрать параметр -m в реестре. Пароль сброшен на пользователя sa в sql.

Оригинал статьи

Настройка SSH входа без пароля

Чтобы настроить SSH-вход без пароля в Linux, все, что вам нужно сделать, это сгенерировать открытый ключ аутентификации и добавить его в файл удаленных хостов.

Следующие шаги описывают процесс настройки входа по SSH без пароля:

1. Проверьте существующую пару ключей SSH.

   Перед созданием новой пары ключей SSH сначала проверьте, есть ли у вас уже ключ SSH на вашем клиентском компьютере, потому что вы не хотите перезаписывать существующие ключи.

   Выполните следующую команду ls, чтобы проверить наличие существующих ключей SSH:

   Если есть существующие ключи, вы можете использовать их и пропустить следующий шаг или создать резервную копию старых ключей и сгенерировать новый.

   Если вы видите или это означает, что у вас нет ключа SSH, и вы можете перейти к следующему шагу и сгенерировать новый.

2. Создайте новую пару ключей SSH.

   Следующая команда сгенерирует новую пару ключей SSH 4096 бит с вашим адресом электронной почты в качестве комментария:

   Нажмите чтобы принять расположение и имя файла по умолчанию:

   Затем инструмент попросит вас ввести безопасную парольную фразу. Независимо от того, хотите ли вы использовать кодовую фразу, решать вам, если вы решите использовать кодовую фразу, вы получите дополнительный уровень безопасности. В большинстве случаев разработчики и системные администраторы используют SSH без парольной фразы, поскольку они полезны для полностью автоматизированных процессов. Если вы не хотите использовать кодовую фразу, просто нажмите .

   

   

   

   

   

   

   

   

   

   

   В целом взаимодействие выглядит так:

   Чтобы убедиться, что ключи SSH сгенерированы, вы можете указать свои новые закрытые и открытые ключи с помощью:

3. Скопируйте открытый ключ

   Теперь, когда вы сгенерировали пару ключей SSH, чтобы иметь возможность войти на свой сервер без пароля, вам необходимо скопировать открытый ключ на сервер, которым вы хотите управлять.

   Самый простой способ скопировать ваш открытый ключ на сервер — использовать команду . На вашем локальном машинном терминале введите:

   Вам будет предложено ввести пароль :

   После аутентификации пользователя открытый ключ будет добавлен в файл удаленного пользователя, и соединение будет закрыто.

   Если по какой-либо причине недоступна на вашем локальном компьютере, вы можете использовать следующую команду для копирования открытого ключа:

4. Войдите на свой сервер с помощью ключей SSH

   После выполнения описанных выше действий вы сможете войти на удаленный сервер без запроса пароля.

   Чтобы проверить это, просто попробуйте войти на свой сервер через SSH:

   Если все прошло успешно, вы сразу же войдете в систему.

Тест на практике

Прежде всего, нам нужен пакет OpenSSH версии 8.2 на клиентской и серверной машинах. И здесь кроется основная проблема с этим решением на момент написания этого материала (май 2020). Поскольку 8.2 — это новейшая версия, выпущенная в феврале 2020 года, во многих ОС пока еще используются предыдущие версии.

Хорошая новость в том, что эта ситуация естественным образом будет улучшаться с течением времени, и все больше ОС будут добавлять поддержку нужной нам версии. Однако мы очень хотели испытать этот функционал на практике и поэтому нашли сочетание клиентских и серверных ОС для нашего практического теста.

По состоянию на май 2020 только несколько популярных дистрибутивов Linux имеют версию OpenSSH 8.2 в своих репозиториях. Среди них Fedora 32, Ubuntu 20.04 LTS и Kali Linux.

Установка OpenSSH клиента

Клиентская программа OpenSSH вызывается и может быть вызвана из терминала. Клиентский пакет OpenSSH также предоставляет другие утилиты SSH, такие как и которые устанавливаются вместе с командой.

Установка клиента OpenSSH в Linux 

Клиент OpenSSH по умолчанию предустановлен в большинстве дистрибутивов Linux. Если в вашей системе не установлен клиент ssh, вы можете установить его с помощью менеджера пакетов вашего дистрибутива.

Установка OpenSSH клиента в Windows 10 

Большинство пользователей Windows используют Putty для подключения к удаленному компьютеру через SSH. Однако последние версии Windows 10 включают в себя клиент и сервер OpenSSH. Оба пакета могут быть установлены через графический интерфейс или PowerShell.

Чтобы найти точное имя пакета OpenSSH, введите следующую команду:

Команда должна вернуть что-то вроде этого:

Как только вы узнаете имя пакета, установите его, выполнив:

В случае успеха вывод будет выглядеть примерно так:

Настройка сервера SSH

Все вышеуказанные манипуляции мы делали на локальной машине, теперь надо поднастроить удаленную (сервер куда мы будем логиниться).
Ключи есть, теперь необходимо разрешить данный тип аутентификации на сервере SSH. Сначала определим тип аутентификации — Pubkey или Identity, установив следующие настройки в sshd_config:

# Should we allow Identity (SSH version 1) authentication?
RSAAuthentication yes
 
# Should we allow Pubkey (SSH version 2) authentication?
PubkeyAuthentication yes
 
# Where do we look for authorized public keys?
# If it doesn’t start with a slash, then it is
# relative to the user’s home directory
AuthorizedKeysFile    .ssh/authorized_keys

Приведенные выше значения разрешают аутентификацию Identity/Pubkey для протокола SSH версии 1 и 2, и проверяют наличие публичных ключей в файле $HOME/.ssh/authorized_keys.

Необходимо проверить наличие этих строк в файле конфигурации /etc/ssh/sshd_config, если таковых нету — добавить и перезапустить сервис.

Что такое двухфакторная аутентификация?

2FA, или двухфакторная аутентификация — это такой метод идентификации пользователя для входа в сервис, при котором нужно двумя разными способами подтвердить, что именно он — хозяин аккаунта. В некоторых сервисах, например, «ВКонтакте», она называется «подтверждение входа».

Эта функция серьезно повышает уровень безопасности. Злоумышленникам, которым по разным причинам могут пригодиться ваши данные, гораздо сложнее получить доступ одновременно к вашему паролю, а также телефону, электронной почте или другому методу аутентификации. Если использовать только пароль, то аккаунт остается уязвимым. Пароли легко утекают в Сеть, и далеко не всегда по вине пользователя.

Шаг 3. Настройка отзыва

Чтобы отозвать сертификат клиента, Azure Active Directory извлекает список отзыва сертификатов (CRL) из URL-адресов, переданных вместе с информацией центра сертификации, и кэширует его. Метка времени последней публикации (свойствоДата вступления в силу ) в списке отзыва сертификатов обеспечивает допустимость этого списка. Список отзыва сертификатов периодически опрашивается для отзыва доступа к сертификатам, которые числятся в этом списке.

Если требуется более быстрый отзыв (например, если пользователь потерял устройство), то маркер авторизации пользователя можно сделать недействительным. Чтобы сделать маркер авторизации недействительным, с помощью Windows PowerShell определите поле StsRefreshTokenValidFrom для этого пользователя. Поле StsRefreshTokenValidFrom необходимо обновить для каждого пользователя, доступ для которого будет отозван.

Чтобы отзыв оставался в силе, для свойства Дата вступления в силу списка отзыва сертификатов необходимо указать дату, которая наступит после даты, заданной в поле StsRefreshTokenValidFrom, а также убедиться, что этот сертификат есть в списке отзыва сертификатов.

Ниже описан процесс обновления и аннулирования маркера авторизации с помощью поля StsRefreshTokenValidFrom .

1. Используя учетные данные администратора, подключитесь к службе MSOL:

2. Получите текущее значение StsRefreshTokensValidFrom для пользователя:

3. Настройте новое значение StsRefreshTokensValidFrom для пользователя, равное текущей метке времени:

Задаваемая дата должна быть в будущем. Если дата не в будущем, свойство StsRefreshTokensValidFrom не будет задано. Если дата в будущем, для StsRefreshTokensValidFrom задается актуальное время (не дата, указанная командой Set-MsolUser).

Копирование открытого ключа на сервер

Добавить открытый ключ на сервер можно несколькими способами.

Примечание: На каждый сервер можно добавить неограниченное количество SSH-ключей.

Добавить открытый ключ на сервер можно несколькими способами. Рассмотрим несколько из них, начиная с простейшего. Выберите самый удобный для вас метод и используйте его, чтобы добавить открытый ключ на сервер.

Копирование ключа с помощью ssh-copy-id

Если на локальном компьютере установлена утилита ssh-copy-id, с её помощью вы можете быстро добавить открытый ключ на удалённый сервер. Обычно (но не всегда) утилита ssh-copy-id включена в пакет OpenSSH.

Чтобы узнать, есть ли эта утилита на локальном компьютере, просто попробуйте запустить её. Если она не установлена, на экране появится ошибка:

Вы можете установить её или воспользоваться другим методом копирования ключа.

В команде ssh-copy-id нужно указать IP-адрес или доменное имя, а также имя пользователя, для которого нужно добавить эти SSH-ключи.

Команда может вернуть:

Это значит, что локальный компьютер не узнаёт удалённый сервер, потому что ранее SSH-ключи никогда не использовались при аутентификации. Чтобы продолжить, введите yes и нажмите RETURN.

Утилита сканирует локальную учетную запись пользователя в поисках открытого ключа, id_rsa.pub. Когда она найдёт нужный файл, она запросит пользователя удалённого сервера.

Введите пароль и нажмите RETURN. Утилита подключится к аккаунту пользователя на удалённом хосте и установит открытый ключ; это происходит путём копирования содержимого файла id_rsa.pub в файл .ssh/authorized_keys в домашнем каталоге удалённого пользователя.

Если копирование прошло успешно, на экране появится:

Теперь открытый ключ добавлен в файл authorized_keys удалённого пользователя, и сервер сможет принять закрытый ключ для аутентификации.

Примечание: Скопировав ключ на удалённый сервер, можете переходить к разделу «Аутентификация с помощью SSH-ключей».

Копирование ключа через SSH

Если на вашем сервере нет утилиты ssh-copy-id, но есть парольный SSH-доступ к серверу, вы можете установить открытый ключ с помощью SSH-клиента.

Для этого нужно вывести открытый ключ на локальном компьютере и передать его по SSH на удалённый сервер. На удалённом сервере нужно создать каталог ~/.ssh (если такого каталога нет), а затем добавить открытый ключ в файл authorized_keys в этом каталоге. Используйте перенаправление потока >>, чтобы вставить ключ в файл authorized_keys (если ранее вы добавляли SSH-ключи на удалённый сервер, такой файл уже существует; при этом ключи не будут переписаны новыми ключами).

Если вы не изменили название файла открытого ключа по умолчанию (id_rsa.pub), используйте эту команду:

Команда может вернуть такое сообщение:

Это значит, что локальный компьютер не узнаёт удалённый сервер, потому что ранее SSH-ключи никогда не использовались при аутентификации. Чтобы продолжить, введите yes и нажмите RETURN.

Команда запросит пароль удалённого пользователя:

Введите пароль и нажмите RETURN. Если команда выполнена успешно, она не вернёт никакого вывода. Ключ id_rsa.pub будет добавлен в файл authorized_keys.

Примечание: Скопировав ключ на удалённый сервер, можете переходить к разделу «Аутентификация с помощью SSH-ключей».

Копирование ключа вручную

Также вы можете добавить открытый ключ на удалённый сервер вручную. Для этого нужно авторизоваться на удалённом сервере как пользователь, для которого предназначен этот ключ.

Процесс не меняется: вам нужно взять открытый ключ на локальной машине и добавить его в .ssh/authorized_keys в домашнем каталоге удалённого пользователя.

Войдите на удалённый сервер:

При этом может появиться сообщение:

Это значит, что локальный компьютер не узнаёт удалённый сервер, потому что ранее SSH-ключи никогда не использовались при аутентификации. Чтобы продолжить, введите yes и нажмите RETURN.

После этого будет запрошен пароль удалённого пользователя:

Создайте каталог .ssh в домашнем каталоге удалённого пользователя, если такого каталога пока что нет:

Вернитесь на локальную машину и запросите открытый SSH-ключ:

Скопируйте вывод в буфер, затем откройте файл authorized_keys в текстовом редакторе:

Вставьте в него открытый ключ, а затем сохраните и закройте файл (Esc, a, a).

Открытый ключ SSH теперь добавлен на удалённый сервер.

2016

SMS-пароли признаны небезопасными

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил летом 2016 года предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации): механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации.

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека» — говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

• Замена SIM карты с использованием поддельных документов
• Использование уязвимостей в протоколе OSS-7
• Переадресация вызовов у оператора мобильной связи
• Ложные базовые станции
• Специализированные троянские программы для смартфонов, перехватывающие SMS пароли

Еще одним методом может считаться взлом шлюза между банком и оператором связи.

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми «под раздачу» будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Одноразовые пароли через SMS

• задержки в доставке
• возможность перехвата на уровне канала связи или ввода в систему
• возможность перехвата на уровне оператора мобильной связи
• возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
• возможность направления клиенту SMS-сообщений с подменного номера
• рост операционных затрат пропорционально клиентской базе

Одноразовые пароли через PUSH

• негарантированная доставка
• прямой запрет Apple//Microsoft на использование для передачи конфиденциальной информации
• предназначение – только информирование

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS.

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.

Почему это важно?

Аппаратные ключи заметно повышают уровень безопасности любого решения. Вообще говоря, и до релиза OpenSSH 8.2 существовали методы использования аппаратных ключей совместно с SSH. Например, можно использовать сервер PrivacyIdea, хранить приватные SSH-ключи на аппаратном токене, используя PIV или же OpenPGP. Неплохая сводка таких решений доступна на сайте Yubico.

Но в большинстве этих решений нужно было использовать стороннее ПО, а иногда еще и специальным образом настраивать аппаратные ключи. Во многих случаях процесс становился слишком сложным для массового применения.

Новый подход выглядит многообещающе: он поддерживается стандартно самим пакетом OpenSSH и очень напоминает обычную схему работы с SSH-ключами. Никакого дополнительного ПО, сложных конфигураций, преднастройки аппаратных ключей и прочего. Вы берете аппаратный ключ, генерируете SSH-ключ специального типа, добавляете публичный ключ на ваш сервер, как и обычно — и готово! Давайте посмотрим, как это работает в реальной жизни.