Roman @3draven@mtdn.anyqn.com

@nett00n могу преподавать на курсе как это делать :)

@kirill в итоге простого и ясного решения нет, но есть сносное. Все на отп либо аппаратном ключе. Риск только в момент переноса секретов куда-то. Я это просто на запасном ноуте делать буду, он новый и почти не юзаю его :)

@kirill да, у меня примерно та же картина. В итоге отп на отдельном девайсе это и есть в моем случае их генерация на ключе. Это слабее, но пойдет мне, так как сгенеренный отп недолго живет...но я еще думаю об отдельном девайсе, так как есть не экспортируемые отп у некоторых сервисов с их "крутыми решениями". При этом проблема бэкапов есть, решать ее думаю шифрованием бэкапа вторым ключём, но если не доверять девайсу в момент бэкапа, то решается это только регом обоих ключей везде по отдельности.

@iron_bug да, один момент. Пароль к твоему ключу прется обычным кейлогером. Это не защита.

@iron_bug ну, я вроде все рассказал. Далее гугли :) Эту погремушку защищать паролем смысла нет, она отдавать закрытые ключи не умеет. То есть даже Бог, даже Аллах их не достанет и даже ты сам.

@iron_bug можно, но это меня не волнует. Я живу там где отобрать считается преступлением. Меня волнует, что мою сетку вскроют через мои публичные сервисы и утекут креды от важных штук. С этим ключом утекут только мои фоточки старые и прочий хлам. Все важные креды будут в шифрованном аппаратным ключом месте, которое бесполезно ковырять.

@iron_bug он никому не отдаст никогда твой приватный ключ. Даже если тебя ломанут. Он позволяет, мой, генерить отп коды, которые не утекут даже если тебя ломанут, они генерятся на нем, а не на телефоне. Ну и фидо2 аутентификация, что по сути тот же не утекающий приватный ключ. Смысл всех танцев иметь не ломаемое место хранения ключей, которое просто аппаратно не умеет их отдавать, только принимать.

@kirill это я к тому, что отп можно туда бэкапить систематически, а юзать юбикей аутентификатор аппаратный...он точно аппаратный на ключе.

@kirill битварден можно использовать как место бэкапа приватных ключей любых в принципе, так как достаточно архив с ними в бейс64 перегнать и туда залить как "пароль" :) Так что с самими бэкапами хоть проблем вроде не будет.

@kirill так как два ключа нужны один раз в жизни при реге на битвардене, а отп на нем же пашет с ключами вроде аппаратно, то потерплю наверное. Может придумаю более простой вариант. Заберу с магаза сегодня ключи, будет виднее. Мне два ключа надо зарегать только в трех сервисах, остальное на отп. Вот бэкап отп меня пока беспокоит, буду разбираться как с этим быть еще, это действительно может быть гемор, придется каждый новый отп дублировать, неудобно. Но я не разбирался как отп битварда устроен.

Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.

Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.

Как выяснилось hmac этот, просто по сути продолжение пароля, а значит его юзать для дешифровки кипаса нельзя толком. Так как его можно логировать малварью как и пароль. Плюс битварден умеет понимать fido2, и база будет не там где ключ, так что кажись битварден победил. Почитаю еще.

Это что бы длинный пароль на мониторе не писать.

Я немного подумал и кажется придумал. Ключ у меня будет основной один, а бэкап будет закрыт вторым. Потеряю первый, куплю новый, открою бэкап вторым и сделаю первый. Регать оба ключа везде мне просто лень. Но это пока просто мысля.

Арчлинукс как всегда радует качеством вики.

https://wiki.archlinux.org/title/YubiKey