Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.
Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.
@kirill так как два ключа нужны один раз в жизни при реге на битвардене, а отп на нем же пашет с ключами вроде аппаратно, то потерплю наверное. Может придумаю более простой вариант. Заберу с магаза сегодня ключи, будет виднее. Мне два ключа надо зарегать только в трех сервисах, остальное на отп. Вот бэкап отп меня пока беспокоит, буду разбираться как с этим быть еще, это действительно может быть гемор, придется каждый новый отп дублировать, неудобно. Но я не разбирался как отп битварда устроен.
@kirill битварден можно использовать как место бэкапа приватных ключей любых в принципе, так как достаточно архив с ними в бейс64 перегнать и туда залить как "пароль" :) Так что с самими бэкапами хоть проблем вроде не будет.
@kirill это я к тому, что отп можно туда бэкапить систематически, а юзать юбикей аутентификатор аппаратный...он точно аппаратный на ключе.
#2fa #webauthn #NitroKey #YubiKey
@3draven
У меня тоже пока нет ясной и непротиворечивой картины менеджмента всех паролей.
Секреты не должны покидать хардварных ключей, этим хард-токены и хороши.
Но делая бэкап, ты нивелируешь это преимущество. Так как бэкап надо хранить, шифровать, и от шифра хранить ключи. Ведь для бэкапов ключи не помнятся из-за редкого использования.
Пример непокидания закрытого ключа с хардвар-токена:
- OTP
- Challenge response
- PGP
- SSH
- FIDO
Вот это всё умеет Nitrokey 3a.
Для копи-паст паролей нужен клиент "последней мили", который сохранит пароль, а потом в браузер удобно вставит. Bitwarden для этого отлично подходит, со своей кучей клиентского софта и бравзер-плагинами.
Чем защищать битварден? С учётом того, что это концентрат секретов, которые могут утечь. Ведь база на клиентском устройстве часто в расшифрованом виде. Добавим несовершенство изоляции на как на уровне ОС, так и дырявые процы. Выходит, что одного пароля, который хранится в удобном для похищения месте, НЕДОСТАТОЧНО.
Возьмем, Google-аккаунт, угон которого может парализовать жизнь некриптошизы.
Копи-паст пароля, который хранится в btwd, недостаточно. Хорошим вторым, да и первым фактором служит как раз хардварный токен (FIDO/WebauthN), или изолированный OTP, который ни разу не подключался к инету.
Тогда и пароль не нужен с логином. WebAuthN отличный и первый и второй фактор. Но сервисы за более чем два или три года развития этого стандарта так и не научились его использовать. Кроме MS с их hello.
Вернёмся к реальности, в которой копи-паст пароли популярны, хранятся в btwd, но бесполезны без 2FA. Зачем они тогда сложные? Почему не использовать "единый и универсальный пароль".
А самое главное, что делать с хард-токеном в одном единственном экземпляре. Иметь два токена? Бэкапить, но порождать проблемы хранения бэкапов?
@kirill да, у меня примерно та же картина. В итоге отп на отдельном девайсе это и есть в моем случае их генерация на ключе. Это слабее, но пойдет мне, так как сгенеренный отп недолго живет...но я еще думаю об отдельном девайсе, так как есть не экспортируемые отп у некоторых сервисов с их "крутыми решениями". При этом проблема бэкапов есть, решать ее думаю шифрованием бэкапа вторым ключём, но если не доверять девайсу в момент бэкапа, то решается это только регом обоих ключей везде по отдельности.
@kirill в итоге простого и ясного решения нет, но есть сносное. Все на отп либо аппаратном ключе. Риск только в момент переноса секретов куда-то. Я это просто на запасном ноуте делать буду, он новый и почти не юзаю его :)
Отталкиваясь от реальности, а не 22-го века.
У нас сраные копи-паст пароли, или даже удобнее, но не менее безопасные парольные фразы в btwd. Причем все важные сервисы должны быть с 2FA, но большинство не умеет FIDO, значит только OTP. SMS вообще не рассматриваем, как безопасный.
Итак у нас обязателен OTP для адекватной защиты текущего дня. Хардтокен мало себе кто позволить может, и ставят OTP-клиент на телефон. Если аппке отключить интернет и бэкап, то можно считать безопасным. Но отсутствие бэкапа делает решение неудобным, например, при потере или замене смартфона. Вывод, бэкап нужен. Или нужно резервное устройство, которое должно быть всегда под рукой, на случай заведения новой учётки с 2FA. У меня таким девайсом был ipod, было удобно, но надо всегда таскать с собой и не забывать заряжать. Геморно.
Бэкап напрашивается. Копируя из памяти на диск хорошо бы зашифровать сразу открытым ключем, закрытая часть которого никогда не была на этом же устройстве. Тут же получаем новую проблему — хранения ключа бэкапа. Этой проблемы мы не хотим, и сильно теряем в безопасности, когда выбираем шифровать бэкапам симметричным ключом из головы.
Нужен независимый OTP-хардвар со сканером QR-кодов и без выхода в интернет, который всегда с собой и не требует зарядки, например, с солнечной зарядкой. 🤷♀️
> Риск только в момент переноса секретов куда-то
LiveCD без интернета — отличная безопасная среда.
@kirill идеальным решением было бы думаю иметь девайс, который умеет клонироваться напрямую в другой такой же девайс, при том, что имеет сканер отпечатка пальца и его использует для разрешения клона. Тогда бэкап не проблема. Этот же девайс должен уметь показывать отп в окошке и иметь кнопку их перебора, как и уметь сканить. Думаю сделать его не так и сложно, если заморочиться. Но я не стану, а вот купил бы с удовольствием.
@kirill это, кстати, может быть просто прошивка для painphone например. Он всем условиям соответствует.
@kirill https://github.com/GrapheneOS/os-issue-tracker/issues/3386
Оставил идею авторам графен ос, может кого заинтересует.
@3draven О, реальное применение linux-фонов!
@kirill ага. Я бы купил тогда. Но кто жеж донесет до линуксофоновых производителей, что это их ниша :)
@kirill закинул в генерал телегу пайнфона то же самое.
@iron_bug он никому не отдаст никогда твой приватный ключ. Даже если тебя ломанут. Он позволяет, мой, генерить отп коды, которые не утекут даже если тебя ломанут, они генерятся на нем, а не на телефоне. Ну и фидо2 аутентификация, что по сути тот же не утекающий приватный ключ. Смысл всех танцев иметь не ломаемое место хранения ключей, которое просто аппаратно не умеет их отдавать, только принимать.
@iron_bug можно, но это меня не волнует. Я живу там где отобрать считается преступлением. Меня волнует, что мою сетку вскроют через мои публичные сервисы и утекут креды от важных штук. С этим ключом утекут только мои фоточки старые и прочий хлам. Все важные креды будут в шифрованном аппаратным ключом месте, которое бесполезно ковырять.
@iron_bug ну, я вроде все рассказал. Далее гугли :) Эту погремушку защищать паролем смысла нет, она отдавать закрытые ключи не умеет. То есть даже Бог, даже Аллах их не достанет и даже ты сам.
@iron_bug да, один момент. Пароль к твоему ключу прется обычным кейлогером. Это не защита.
@3draven два ключа геморно. Я для битвардена webauthn на ключе юзаю и otp (aegis) на отдельном девайсе. На btwd и aegis ещё биометрией открываются, для простоты.
Но у меня nitrokey, они бэкапятся, как и aegis otp
Ещё думаю как бумажно забэкапить, но не осилил пока. В состоянии catch22, если потеряю смартфон одновременно с ноутом.