Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.
Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.
@3draven два ключа геморно. Я для битвардена webauthn на ключе юзаю и otp (aegis) на отдельном девайсе. На btwd и aegis ещё биометрией открываются, для простоты.
Но у меня nitrokey, они бэкапятся, как и aegis otp
Ещё думаю как бумажно забэкапить, но не осилил пока. В состоянии catch22, если потеряю смартфон одновременно с ноутом.
@kirill так как два ключа нужны один раз в жизни при реге на битвардене, а отп на нем же пашет с ключами вроде аппаратно, то потерплю наверное. Может придумаю более простой вариант. Заберу с магаза сегодня ключи, будет виднее. Мне два ключа надо зарегать только в трех сервисах, остальное на отп. Вот бэкап отп меня пока беспокоит, буду разбираться как с этим быть еще, это действительно может быть гемор, придется каждый новый отп дублировать, неудобно. Но я не разбирался как отп битварда устроен.
@kirill битварден можно использовать как место бэкапа приватных ключей любых в принципе, так как достаточно архив с ними в бейс64 перегнать и туда залить как "пароль" :) Так что с самими бэкапами хоть проблем вроде не будет.
@kirill да, у меня примерно та же картина. В итоге отп на отдельном девайсе это и есть в моем случае их генерация на ключе. Это слабее, но пойдет мне, так как сгенеренный отп недолго живет...но я еще думаю об отдельном девайсе, так как есть не экспортируемые отп у некоторых сервисов с их "крутыми решениями". При этом проблема бэкапов есть, решать ее думаю шифрованием бэкапа вторым ключём, но если не доверять девайсу в момент бэкапа, то решается это только регом обоих ключей везде по отдельности.
@kirill в итоге простого и ясного решения нет, но есть сносное. Все на отп либо аппаратном ключе. Риск только в момент переноса секретов куда-то. Я это просто на запасном ноуте делать буду, он новый и почти не юзаю его :)