Jump to content
  • 8
JIABP

Безопасность портала keenetic.cloud

Повышение безопасности keenetic.cloud  

26 members have voted

  1. 1. Нужно ли установить дополнительную защиту на портал keenetic.cloud?

    • Да, безопасности много не бывает
      24
    • Нет, пароля на вход достаточно
      2


Question

Решил попробовать https://keenetic.cloud/ и, видя его потенциал, становится понятно, что он и дальше будет наполняться разным функционалом удалённого мониторинга и, возможно, управления сразу несколькими устройствами, поэтому его необходимо защищать не только лишь паролем, но и другими способами.

Предлагаю реализовать следующие механизмы защиты:

1) Двухфакторная аутентификация при входе в аккаунт с использованием следующих инструментов:

  • Генерация одноразовых кодов через TOTP приложение на телефоне (Google Authentificator, Authy, FreeOTP)
  • Вход с помощью аппаратного U2F ключа (JaCarta U2FYubiKey 5 NFC). Статья про YubiKey на Хабре.
  • Вход через аналог уведомления от Google, но через приложение My.Keenetic - при новом входе код присылается в виде PUSH-уведомления в приложение на телефоне.
  • Резервные коды на случай утери U2F токена, TOTP-устройства и т.д.

2) Двухэтапная аутентификация (менее безопасная, но более удобная):

  • Код приходит либо в SMS-сообщении на мобильный телефон, либо поступает звонок где робот сообщает код голосом.

3) Пароли приложений - по аналогии с Google и другими почтовыми сервисами - вместо того, что бы вводить свой пароль в разные почтовые клиенты, системы резервного копирования и т.д, вводится автоматически сгенерированный пароль, который всегда можно аннулировать и доступ будет закрыт для конкретного устройства/приложения. В настоящее время этот функционал вряд ли нужен, т.к. пока авторизоваться можно только в приложении и на сайте keenetic.cloud, которые находятся под контролем производителя, но кто знает как будет развиваться платформа в будущем.

4) Дополнительные инструменты журналирования и аудита:

  • На каких устройствах выполнен вход и возможность выполнить принудительный выход на этих устройствах;
  • Журнал событий с указанием времени, IP-адреса и предполагаемого города/страны входа в аккаунт, а так же другие записи с указанием даты и времени - изменение пароля, добавление TOTP, добавление/изменение телефона и т.д;
  • Список надёжных устройств, для которых не запрашивается второй фактор;
  • Уведомление на почту/PUSH о входе в аккаунт и других действиях связанных с ним.

5) Другое

  • автоматический logout после 'x' минут простоя.

Ресурсы, в которых можно почерпнуть много полезной информации по данной тематике:
1) А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
2) Двухфакторная аутентификация без SMS, одноразовых кодов и паролей

Edited by JIABP
  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

12 answers to this question

Recommended Posts

  • 0

Спасибо за развернутое предложение. 

 

Двуфакторная авторизация совершенно точно появится, это в планах. 

 

  • На каких устройствах выполнен вход и возможность выполнить принудительный выход на этих устройствах;
  • Журнал событий с указанием времени, IP-адреса и предполагаемого города/страны входа в аккаунт, а так же другие записи с указанием даты и времени - изменение пароля, добавление TOTP, добавление/изменение телефона и т.д;
  • Уведомление на почту/PUSH о входе в аккаунт и других действиях связанных с ним.

Эти пункты уже реализованы.  

Вместе с двуфакторной авторизацией это создаст защиту акаунта на уровне банковских продуктов. А учитывая что это не банковский продукт, то нам такой уровень защиты кажется весьма высоким и достаточным. 

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

А кто мне подскажет если я отключу внешний ip у себя дома я смогу конектиться с роутером через приложение my keenetic? сорри за офтоп..

Edited by vrodetogo

Share this post


Link to post
Share on other sites
  • 0
8 минут назад, vrodetogo сказал:

А кто мне подскажет если я отключу внешний ip у себя дома я смогу конектиться с роутером через приложение my keenetic? сорри за офтоп..

Да, приложение такое позволяет.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

@AlexSP спасибо за ответ! Ознакомился детальнее - да, всё реализовано как мне и нужно.

А что насчёт остальных пунктов? Думаю, некий минимум это Google Authentificator и код по SMS. Остальное, конечно, уже дикая паранойя, но внутренний параноик хочет это всё видеть, хотя логика явно бунтует, т.к. всё же это не банковский продукт, как Вы заметили, что бы его так защищать.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

@AlexSP спасибо за реализацию функционала с TOTP. Есть ли в планах добавить возможность запоминания браузера как доверенного? Каждый раз на домашнем компьютере немного утомляет вводить код из TOTP приложения.

Share this post


Link to post
Share on other sites
  • 0

@Nikolay Borisov, хм, сначала думал, что вход в keenetic.cloud происходит через account.keenetic.com, но проверив понял, что там своя авторизация. Странно, да.

Share this post


Link to post
Share on other sites
  • 0

@Muwahhid В Keenetic Account, через который сейчас происходит авторизация на всех сервисах, есть некоторые возможности по двухфакторной аутентификации: https://account.keenetic.com/auth/realms/users/account/totp

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...