Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.

Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.

@3draven я так и не понимаю плюсов хардварных ключей. единственным отличием от обычного цифрового является возможность его потерять. и неудобство использования. плюсов не видно.

@iron_bug он никому не отдаст никогда твой приватный ключ. Даже если тебя ломанут. Он позволяет, мой, генерить отп коды, которые не утекут даже если тебя ломанут, они генерятся на нем, а не на телефоне. Ну и фидо2 аутентификация, что по сути тот же не утекающий приватный ключ. Смысл всех танцев иметь не ломаемое место хранения ключей, которое просто аппаратно не умеет их отдавать, только принимать.

@3draven так он же сам приватный ключ. и его можно тривиально отобрать.
Follow

@iron_bug можно, но это меня не волнует. Я живу там где отобрать считается преступлением. Меня волнует, что мою сетку вскроют через мои публичные сервисы и утекут креды от важных штук. С этим ключом утекут только мои фоточки старые и прочий хлам. Все важные креды будут в шифрованном аппаратным ключом месте, которое бесполезно ковырять.

@3draven тогда что мешает хранить ключ на обычном ноутбуке, который тоже "отобрать считается преступлением". к тому же, нормальный ключ ещё и защищён паролем, в отличие от этой погремушки.

@iron_bug ну, я вроде все рассказал. Далее гугли :) Эту погремушку защищать паролем смысла нет, она отдавать закрытые ключи не умеет. То есть даже Бог, даже Аллах их не достанет и даже ты сам.

@iron_bug да, один момент. Пароль к твоему ключу прется обычным кейлогером. Это не защита.

@3draven ии да, пароль - это хорошая защита ключа. а вот говнософт на машине - это уже проблемы с головой, а не с ключами.
Sign in to participate in the conversation
MustUdon

I like Twitter, but, Mastodon it is so excited! Feel free to register it is server just for fun! Usefull links https://instances.social https://www.reddit.com/r/Mastodon/comments/yugh2o/some_useful_mastodon_lists/?utm_source=share&utm_medium=web2x&context=3