Comments 48
Это всё удобно/прекрасно ровно до момента когда нужен бэкап, чтобы не протерять всё с одним единственным свистком, и тут резко становится не очень понятно, как это синкать. Поэтому KeePassXC наше всё. А за советы использовать один пароль на всё вообще а-та-та
1) Производитель рекомендует использовать 2 свистка, одновременно привязанных к каждому аккаунту, на случай утери одного из них.
2) Приведите описание рисков по второй части вашего комментария, я расширю статью.
— синхронизация доступа ключей — уже думал не докупить-ли еще пару (два с собой, два спрятаны) + напоминалки в календарь обновить доступ после возвращения домой. У меня кстати есть смутный воспоминания что некоторые сайты больше двух ключей не берут…
— не появилось пока уверенности в том как оно будет на длительной дистанции — пароль он и в Африке пароль, а как с ключём? К примеру обновился навигатор и сломалась поддержка или что-то на стороне сайта — в общем не покидает ощущение «хрупкости» самой системы использования ключей. У вас оно проявилось в доступе к виндовс — я эту часть не пробовал — мне там удобнее биометрия.
— Не нравиться мне и «видимость» этой части безопасности: знающий человек (на границе например) может специально заинтересоваться «а что это мы тут защищаем». Особенно в наше время когда на границе не гнушаются лазить в телефоны/девайсы (у меня такого опыта не было, и тем не менее)
KeePassXC - да. Но статья про настройку Yubikey.
Windows-устройства, с установленным Putty
а зачем?
1) в windows встроен вот уже не один год как есть нативный ssh клиент собранный под винду из того же openssh
2) не putty единым, есть например Bitvise который предлагается на putty.org ибо он от тех же разрабов уже давно переросших своё первое творение
1) не везде есть
2) хорошая идея, а что там с поддержкой ed25519-sk?
Когда только появился Yubikey, было ощущение что это просто ключ от всего, который достаточно вставить, отсканировав отпечаток пальца сбоку, и он сам волшебным образом войдет на сайт, в систему, и тд.
Не помню так ли он подавался, или это мое искаженное восприятие так хотело считать.
А по факту это просто костыль, в котором хранится RSA ключ. В чем его преимущество перед простым USB токеном за 800р? у меня ровно так же на токене хранятся не извлекаемые ключи, так же я могу логиниться в винду и по SSH на свои сервера (вход в linux просто не было задачи, но думаю тоже можно). Так же лежит ключевой файл от VeraCrypt, от зашифрованного диска.
А какой смысл во втором факторе, защищенным третим фактором - вообще не понятно. Это ровно противоположное тому, что от "ключа" ожидалось вначале. Теперь надо знать логин, пароль, иметь телефон с приложением и токен что бы сгенерироввать OTP, который потом тоже ввести руками.
При всей моей паранойи и включении везде 2 фактора, OTP вводит Keepass автоматически (увы. даже за телефоном иногда лень бежать).
Спасибо за статью ) теперь я уверен что оно мне не надо. А так тоже хотел купить.
Так надо его в качестве WebAuthn-аутентификатора использовать, а не TOTP. Тогда и будет "ключ от всего".
В куче сервисов есть поддержка, в т.ч. в Windows Hello.
как обладатель этого ключа, я пока в wh вижу только смену пинкода и его сброс. но я пока не разбирался, как его нормально настроить как смарткарту. использовать плагин из статьи для входа - не вдохновляет.
но на тот же google, ms, ggithub или cloudflare он работает отлично - вставил в usb, ввел пинкод, приложил палец - вошел.
Сейчас вспомнил еще про один страх, когда все яйца в одной корзине. При работе с токенами, иногда сервисы инициализируют токен. прежде чем записать туда свой сертификат и ключ, что разумеется приводит к стиранию всего что ты туда так тщательно складывал.
А учитывая что правильные ключи должны быть неизвлекаемыми - сделать бэкап невозможно в принципе, и шанс махом лишиться доступа ко всему очень высок.
Yubikey отличный токен, но пару ложек:
они сильно подорожали
при этом их нет в наличии.
Authentication code сгенерирует программа на телефоне. Открываем «Yubico Authenticator»
А возможен вариант без телефона? Чтобы я мог воткнуть ключ в USB порт компьютера и наличие там этого ключа и было вторым фактором?
www.yubico.com/products/yubico-authenticator
Подскажите, а с гугловским Titan Key оно будет работать?
Наличие такого ключа избавит вас от проблем с терморектальным криптоанализом
Он для работы в корпоративной сети больше удобен. У нас по нему вход в SSO и VPN сделаны. Один раз в день залогинился и нет проблем (ну как нет - дятлы периодически его задевают пальцем и в слак им печатают :))
Загорелся в своё время этой идеей, но заметил, что сканер отпечатков в Маках потенциально может делать всё то же самое. И многое делает, на практике.
И, да, риски потери ключа (ноутбука)
От стандартных к менее стандартным
- Локальный вход в систему, разблокировка компьютера
- Авторизация покупок Apple
- Быстрое переключение пользователей
- Разблокировка стандартного менеджера паролей
- Разблокировка секретов / ключей в совместимых программах
- Использование в вебе как FIDO U2F (стандартный аппаратный токен для авторизации сайтов)
- Авторизация
sudo
(google: pam touch id) - Возможность написать свою совместимую программу и использовать Secure Enclave
На каких сайтах его ещё можно использовать? На каких сидишь?
Github). Как 2FA - не удобно, вставлять его постоянно. Но безопасно. Удобно как ssh ключ его использовать для доступа к серверам на работе, не надо париться с хранением закрытого ключа на разных машинах и всегда можно иметь доступ.
например, у меня впн сервер, как использовать его как ssh ключ? так и не понял настройку
Если я правильно понял вашу задачу, то так: на рабочем месте у вас есть gpg агент, при подключении yubikey он обнаруживает его, при подключении по ssh через терминал или putty (для windows) сначала идет поиск подключенных ключей, если такие имеются, то используется он, если нет, то по обычной схеме.
Так сам подробный гайд существует? Им можно зашифровать диски, при помощи какой программы? И у меня есть свой VDS сервер, можно ли SSH авторизацию сделать через юбикей?
Антон, вы статью читали?
Да, шифрование на windows это как понял Клеопатра?
Gpg клиент для windows - это kleopatra. В статье показана настройка ssh через yubikey (на мой взгляд - самая полезная вещь для него). Для шифрования дисков его можно использовать для linux (luks), для windows он скорее всего не пойдет.
Он может быть использован для ssh в качестве ключа доступа. Сохраняете открытый ключ на сервере в .ssh/authorized_keys, на рабочем месте настраиваете gpg агент. При подключении к серверу по протоколу ssh клиентская программа увидит ваш yubikey (на нем ключ должнен быть сконфигурирван) и выполнит подключение.
Это удобно, что не нужно переживать за хранение своих закрытых ключей на компе. Ключ аппаратный. Иначе может получиться эффект "Забытых ключей от королевства"
С этого начинать читать с Клеопатра? Для впн сервака
Тоже самое, но уже в Kleopatra (Windows-клиенте для работы с GPG):
Так вот как настроить gpg агент ? Есть подробный гайд по этому поводу?
я застрял здесь
что нужно ? я установил gpg, теперь надо выполнить это, но у меня нет файла gpg-agent.conf
Осталось настроить агент для GPG службы, чтобы он обращался при необходимости к аппаратному ключу шифрования. Для этого на Windows:
cmd.exegpg-connect-agent /byeC:\Users\Администратор\AppData\Roaming\gnupg\gpg-agent.confenable-putty-supportenable-ssh-supportuse-standard-socketdefault-cache-ttl 600max-cache-ttl 7200gpg-connect-agent killagent /byegpg-connect-agent /byegpg --card-status
Yubikey для дома и офиса