Секретная информация? Используй 2FA для VPS/VDS

[Bonio]

А почему просто не использовать авторизацию по ключу?

[VolCh]

Это один фактор

[saipr]

А почему просто не использовать двухфакторную авторизацию с токенами PKCS#11, на котором хранится личный сертификат владельца?

[VolCh]

Ключи не пересипользуют, не шарят, в репозитории, в том числе публичные, не комитят?

[VolCh]

Переиспользование одного ключа в нескольких сервисах особых проблем не создаёт.

Ага, для каждого сервера организации используем один приватный ключ для админского доступа и тут он втихую утекает…

[disakov]

Если OTP там оказался, то это промашка или орг процесса, или халатность. Но это так, придирка, извините. Про токен отличная идея.

[xmoonlight]

В принципе, хватает knockd всегда для защиты порта удалённой консоли администрирования от всех подряд.

[qCMETAHAp]

Не фига не понятно… Но цука так интереснО!!!))

[KodyWiremane]

Теперь ещё на админку хостера 2FA поставить

[RouR]

Your emergency scratch codes are:
13455461

А нету ли тут вектора взлома через перебор? Эти коды ведь не меняются со временем.

[disakov]

Должны банить, по идее, после нескольких неправильных вводов.

[Tangeman]

Разумеется, все аккаунты, добавленные в приложение, сохраняются в облаке.

И где гарантия что они не утекут из этого облака, пусть даже и зашифрованные? Второй фактор это "то что вы имеете" — сохранение его в облаке — это уже не вы имеете, а (потенциально) совсем наоборот, ещё и с учётом того что пароль на бэкапы "минимум 6 символов" (при этом сами они рекомендуют 8).

Если исключить облако, то есть весьма неплохое (к тому же open source) приложение AndOTP.

[inkelyad]

И где гарантия что они не утекут из этого облака, пусть даже и зашифрованные?

Утекание шифрованных данных, если шифровали не совсем криво, опасности не представляет же?

то есть весьма неплохое (к тому же open source) приложение AndOTP.

Лучше взять более современную замену — Aegis Authenticator

AndOTP слегка устарело и не очень удачно работает с биометрией. И в том и том сам автор где-то признавался в обсуждениях этого Aegis.

[Bonio]

А чем устарело? Все эти приложения коды все равно по одному и тому же алгоритму генерируют.

[inkelyad]

Отсюда

beemdevelopment Aegis Authenticator developer:
…
andOTP also does some pretty scary stuff with regards to its use of cryptography. It's been a while since I've looked at the code, but andOTP appears to derive the key for the encryption of backups with a single iteration of SHA-256, making a brute-force attack on backups a lot easier than it should be. In another piece of the code it splits the output of PKBDF2, which also gives attackers an advantage. The latter is not nearly as bad as the former, but it's still bad practice.

flocke000 andOTP developer:

I sadly have to admit that the part about the crypto of andOTP being pretty bad is true. This is partially due to the fact that I had absolutely no clue about cryptography and very little coding experience when I forked it. In the beginning I just wanted to add backup functionality but then feature request kept comming in and it kind of snowballed from there. By the point I had enough experience to actually somewhat know what I was doing the code was already pretty bad, which is why I decided to rewrite everything from scratch rather than trying to fix it. Sadly I currently have basically no time to work on it, so this will have to wait.

Ну и все обсуждение стоит прочитать, там как раз сравнивают одно с другим.