Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.
Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.
@3draven два ключа геморно. Я для битвардена webauthn на ключе юзаю и otp (aegis) на отдельном девайсе. На btwd и aegis ещё биометрией открываются, для простоты.
Но у меня nitrokey, они бэкапятся, как и aegis otp
Ещё думаю как бумажно забэкапить, но не осилил пока. В состоянии catch22, если потеряю смартфон одновременно с ноутом.
@kirill так как два ключа нужны один раз в жизни при реге на битвардене, а отп на нем же пашет с ключами вроде аппаратно, то потерплю наверное. Может придумаю более простой вариант. Заберу с магаза сегодня ключи, будет виднее. Мне два ключа надо зарегать только в трех сервисах, остальное на отп. Вот бэкап отп меня пока беспокоит, буду разбираться как с этим быть еще, это действительно может быть гемор, придется каждый новый отп дублировать, неудобно. Но я не разбирался как отп битварда устроен.
@kirill битварден можно использовать как место бэкапа приватных ключей любых в принципе, так как достаточно архив с ними в бейс64 перегнать и туда залить как "пароль" :) Так что с самими бэкапами хоть проблем вроде не будет.
#2fa #webauthn #NitroKey #YubiKey
@3draven
У меня тоже пока нет ясной и непротиворечивой картины менеджмента всех паролей.
Секреты не должны покидать хардварных ключей, этим хард-токены и хороши.
Но делая бэкап, ты нивелируешь это преимущество. Так как бэкап надо хранить, шифровать, и от шифра хранить ключи. Ведь для бэкапов ключи не помнятся из-за редкого использования.
Пример непокидания закрытого ключа с хардвар-токена:
- OTP
- Challenge response
- PGP
- SSH
- FIDO
Вот это всё умеет Nitrokey 3a.
Для копи-паст паролей нужен клиент "последней мили", который сохранит пароль, а потом в браузер удобно вставит. Bitwarden для этого отлично подходит, со своей кучей клиентского софта и бравзер-плагинами.
Чем защищать битварден? С учётом того, что это концентрат секретов, которые могут утечь. Ведь база на клиентском устройстве часто в расшифрованом виде. Добавим несовершенство изоляции на как на уровне ОС, так и дырявые процы. Выходит, что одного пароля, который хранится в удобном для похищения месте, НЕДОСТАТОЧНО.
Возьмем, Google-аккаунт, угон которого может парализовать жизнь некриптошизы.
Копи-паст пароля, который хранится в btwd, недостаточно. Хорошим вторым, да и первым фактором служит как раз хардварный токен (FIDO/WebauthN), или изолированный OTP, который ни разу не подключался к инету.
Тогда и пароль не нужен с логином. WebAuthN отличный и первый и второй фактор. Но сервисы за более чем два или три года развития этого стандарта так и не научились его использовать. Кроме MS с их hello.
Вернёмся к реальности, в которой копи-паст пароли популярны, хранятся в btwd, но бесполезны без 2FA. Зачем они тогда сложные? Почему не использовать "единый и универсальный пароль".
А самое главное, что делать с хард-токеном в одном единственном экземпляре. Иметь два токена? Бэкапить, но порождать проблемы хранения бэкапов?
@kirill идеальным решением было бы думаю иметь девайс, который умеет клонироваться напрямую в другой такой же девайс, при том, что имеет сканер отпечатка пальца и его использует для разрешения клона. Тогда бэкап не проблема. Этот же девайс должен уметь показывать отп в окошке и иметь кнопку их перебора, как и уметь сканить. Думаю сделать его не так и сложно, если заморочиться. Но я не стану, а вот купил бы с удовольствием.
@kirill https://github.com/GrapheneOS/os-issue-tracker/issues/3386
Оставил идею авторам графен ос, может кого заинтересует.
@3draven О, реальное применение linux-фонов!
@kirill ага. Я бы купил тогда. Но кто жеж донесет до линуксофоновых производителей, что это их ниша :)
@kirill закинул в генерал телегу пайнфона то же самое.
@kirill это, кстати, может быть просто прошивка для painphone например. Он всем условиям соответствует.