Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.

Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.

@3draven два ключа геморно. Я для битвардена webauthn на ключе юзаю и otp (aegis) на отдельном девайсе. На btwd и aegis ещё биометрией открываются, для простоты.

Но у меня nitrokey, они бэкапятся, как и aegis otp

Ещё думаю как бумажно забэкапить, но не осилил пока. В состоянии catch22, если потеряю смартфон одновременно с ноутом.

@kirill так как два ключа нужны один раз в жизни при реге на битвардене, а отп на нем же пашет с ключами вроде аппаратно, то потерплю наверное. Может придумаю более простой вариант. Заберу с магаза сегодня ключи, будет виднее. Мне два ключа надо зарегать только в трех сервисах, остальное на отп. Вот бэкап отп меня пока беспокоит, буду разбираться как с этим быть еще, это действительно может быть гемор, придется каждый новый отп дублировать, неудобно. Но я не разбирался как отп битварда устроен.

@kirill битварден можно использовать как место бэкапа приватных ключей любых в принципе, так как достаточно архив с ними в бейс64 перегнать и туда залить как "пароль" :) Так что с самими бэкапами хоть проблем вроде не будет.

#2fa #webauthn #NitroKey #YubiKey
@3draven

У меня тоже пока нет ясной и непротиворечивой картины менеджмента всех паролей.

Секреты не должны покидать хардварных ключей, этим хард-токены и хороши.

Но делая бэкап, ты нивелируешь это преимущество. Так как бэкап надо хранить, шифровать, и от шифра хранить ключи. Ведь для бэкапов ключи не помнятся из-за редкого использования.

Пример непокидания закрытого ключа с хардвар-токена:
- OTP
- Challenge response
- PGP
- SSH
- FIDO

Вот это всё умеет Nitrokey 3a.

Для копи-паст паролей нужен клиент "последней мили", который сохранит пароль, а потом в браузер удобно вставит. Bitwarden для этого отлично подходит, со своей кучей клиентского софта и бравзер-плагинами.

Чем защищать битварден? С учётом того, что это концентрат секретов, которые могут утечь. Ведь база на клиентском устройстве часто в расшифрованом виде. Добавим несовершенство изоляции на как на уровне ОС, так и дырявые процы. Выходит, что одного пароля, который хранится в удобном для похищения месте, НЕДОСТАТОЧНО.

Возьмем, Google-аккаунт, угон которого может парализовать жизнь некриптошизы.

Копи-паст пароля, который хранится в btwd, недостаточно. Хорошим вторым, да и первым фактором служит как раз хардварный токен (FIDO/WebauthN), или изолированный OTP, который ни разу не подключался к инету.

Тогда и пароль не нужен с логином. WebAuthN отличный и первый и второй фактор. Но сервисы за более чем два или три года развития этого стандарта так и не научились его использовать. Кроме MS с их hello.

Вернёмся к реальности, в которой копи-паст пароли популярны, хранятся в btwd, но бесполезны без 2FA. Зачем они тогда сложные? Почему не использовать "единый и универсальный пароль".

А самое главное, что делать с хард-токеном в одном единственном экземпляре. Иметь два токена? Бэкапить, но порождать проблемы хранения бэкапов?