Многие парольные менеджеры поддерживают пароли! Но, как отметили выше в комментариях, хранение пароля и 2FA вместе не совсем идеологически верно. Разве что в двух разных парольных базах…
Спасибо за наводку! Титановую зубочистку я тоже там купил, и тоже не для в зубах ковыряться (скорее как маленькое шило для мягких материалов). Теперь буду знать!
Можно и так, наверное (я не работал с Keenetic Giga, но охотно Вам верю). С другой стороны, если человек знает, что он хочет, и умеет настраивать MikroTik — результат будет не хуже (а может и лучше).
Вспоминаются ватные палочки, которые чаще называют ушные палочки, и которые совсем не предназначены для чистки ушей — но отоларингологам периодически работёнку подкидывают.
А я не просто удивился, но и купил примерно за $2 подобный набор, только на две ковырялки больше — в основном, ради закручивающегося футляра (ну и ковырялки в крепком кулацком хозяйстве применение найдут). К зубам, разумеется, такое и близко не подносил — я не настолько хочу благополучия и процветания своим стоматологам.
Обычные UNIX (ладно-ладно, Linux — хотя и OpenBSD немножко есть) сервера: SSH, VPN, rsync, GPG, Apache, Nginx, Exim / postfix, mySQL, SVN, KVM/qemu, Munin / Zabbix etc. Всё достаточно устоявшееся, чтобы не гнаться за самым свежим.
Да уж… Почитал сообщение от Andres Freund в рассылке oss-security, волосы на голове зашевелились! Вот написали практически эталонную реализацию SSH (спасибо OpenBSD Project), важность этого демона для безопасности сложно переоценить. А дистрописатели (Debian, RedHat, SUSE) возьми да и пропатчи его, для поддержки новомодного systemd; а последний внезапно использует xz / liblzma. И вот у нас уже дыра на вход в систему, получите-распишитесь!
Хорошо, что я на дебиане всегди сижу на oldstable, иногда oldoldstable — есть надежда, что по граблям до меня побегать успеют.
Я согласен с Вами, ввод пароля и выдача 2FA на одном устройстве существенно ослабляет безопасность, по сравнению с модельной реализацией (про храненение секрета в том же месте, что и пароль — однозначно косяк, уже так не делаю; с другой стороны, чуть ниже предлагают вообще в облачном iCloud Keychain всё хранить, удобно же!)
Но как бы там ни было, в рассматриваемой мною модели угроз пароль + TOTP лучше чем просто пароль. А постояно иметь при себе лопату смартфона я устал… Для значимых сервисов я могу уйти от выдачи 2FA на том же устройстве, что и ввод пароля (работая с дектопом использовать ноутбук для SSH на сервер, где mytotp.sh живёт).
Что касается Вашего захода с козырей про фундаментальные проблемы безопасности, то тут всё грустно. Если лет 30 назад шутили, что для Истинно Безопасной Системы надо сперва собрать свой компилятор (после аудита исходников, разумеется), потом им собрать ОС и утилиты — а сейчас, получается, сперва нужно свой процессор сделать (или хотя бы микрокод для него).
Тут уже в комментариях обсудили эту философскую проблему (включая с тонкостями между «знать» и «владеть»). Но реальный мир таков, что 2FA в любом виде повышает безопасность, по сравнению с голым паролем.
Да, у меня MacOS 10.13, но это дома. На работе Windows 7; зато отовсюду есть SSH до кучи серверов / виртуалок. Так что выбор очевиден…
А что касается iCloud Keychain, то при всём возможном уважении к фирме Apple (да не упадут её продажи ныне и присно и во веки веков), я не помещу туда ни одного значимого пароля (а вот для веб-сайтов магазинов и т.п. оно очень годится).
при первом знакомстве он как раз показался мне Программным Продуктом на BASH (когда проще написать что-то коротенькое «под себя», чем разбираться с развесистым комбайном).
Имеет ли право на существование самопальный простой и легко обозримый велосипед? Я считаю, что да; Вы можете быть со мной несогласны…
Да, можно и больше указать (-w X для текущего 30-секундного слота и для X последующих):
You may generate several TOTPs by specifying the --window parameter, similar to how it works for HOTP. The OTPs generated here will be for the initial time (normally current time) and then each following time step (e.g., 30 second window).
Но я решил пойти на трюк с выравниванием генерации на :00 или :30 секундах, чтобы не запутаться.
Супер! Вот этой информации и не хватало, чтобы гарантировано подружить с oathtool любой сервис (секрет в приведённом к стандартному base32 виде, алгоритм HMAC ну и количество цифр в генерируемом коде).
Спасибо за полезную ссылку! Про GNU pass я знал, но при первом знакомстве он как раз показался мне Программным Продуктом на BASH (когда проще написать что-то коротенькое «под себя», чем разбираться с развесистым комбайном).
А так ничто не мешает, прекрасно что есть разные варианты решения для TOTP без смартфона! И ещё раз спасибо, что напомнили про passwordstore.org.
Думаю потому, что он сложнее / дороже (аппаратный токен). Ну и к реализации защиты тоже могут быть вопросы (если это не open source) — помню была история с «аппаратно защищёнными флешками», которые открывались на раз.
Я всё же сфомулировал чуть менее категорично: нормальный пароль невозможно гарантировано запомнить в долгосрочной перспективе (с учётом отпусков, проблем со хдоровьем и т.п.) То есть, всё равно его обязательно записывать тем или иным способом.
А так-то у меня ежедневно «в пальцах» несколько десятков достаточно сильных паролей. Но стоит недельку хотя бы не работать — и приходится освежать память.
Многие парольные менеджеры поддерживают пароли! Но, как отметили выше в комментариях, хранение пароля и 2FA вместе не совсем идеологически верно. Разве что в двух разных парольных базах…
Спасибо за наводку! Титановую зубочистку я тоже там купил, и тоже не для в зубах ковыряться (скорее как маленькое шило для мягких материалов). Теперь буду знать!
Тааак! ещё одно воспоминание детства вдребезги... (sarcasm)
Ох уж эти поговорки…
Можно и так, наверное (я не работал с Keenetic Giga, но охотно Вам верю). С другой стороны, если человек знает, что он хочет, и умеет настраивать MikroTik — результат будет не хуже (а может и лучше).
Кхм… Спасибо Вам за новую поговорку — там ведь дальше про хвост (или не хвост) и верёвку же?
Вспоминаются ватные палочки, которые чаще называют ушные палочки, и которые совсем не предназначены для чистки ушей — но отоларингологам периодически работёнку подкидывают.
А я не просто удивился, но и купил примерно за $2 подобный набор, только на две ковырялки больше — в основном, ради закручивающегося футляра (ну и ковырялки в крепком кулацком хозяйстве применение найдут). К зубам, разумеется, такое и близко не подносил — я не настолько хочу благополучия и процветания своим стоматологам.
Обычные UNIX (ладно-ладно, Linux — хотя и OpenBSD немножко есть) сервера: SSH, VPN, rsync, GPG, Apache, Nginx, Exim / postfix, mySQL, SVN, KVM/qemu, Munin / Zabbix etc. Всё достаточно устоявшееся, чтобы не гнаться за самым свежим.
Да, это почти про меня (привычка пользоваться дебианом oldstable, иногда oldoldstable).
Да уж… Почитал сообщение от Andres Freund в рассылке oss-security, волосы на голове зашевелились! Вот написали практически эталонную реализацию SSH (спасибо OpenBSD Project), важность этого демона для безопасности сложно переоценить. А дистрописатели (Debian, RedHat, SUSE) возьми да и пропатчи его, для поддержки новомодного systemd; а последний внезапно использует xz / liblzma. И вот у нас уже дыра на вход в систему, получите-распишитесь!
Хорошо, что я на дебиане всегди сижу на oldstable, иногда oldoldstable — есть надежда, что по граблям до меня побегать успеют.
(прочитал новость, оформленную лучше чем статья, кажется понял за что минусят эту публикацию)
Я согласен с Вами, ввод пароля и выдача 2FA на одном устройстве существенно ослабляет безопасность, по сравнению с модельной реализацией (про храненение секрета в том же месте, что и пароль — однозначно косяк, уже так не делаю; с другой стороны, чуть ниже предлагают вообще в облачном iCloud Keychain всё хранить, удобно же!)
Но как бы там ни было, в рассматриваемой мною модели угроз пароль + TOTP лучше чем просто пароль. А постояно иметь при себе лопату смартфона я устал… Для значимых сервисов я могу уйти от выдачи 2FA на том же устройстве, что и ввод пароля (работая с дектопом использовать ноутбук для SSH на сервер, где
mytotp.shживёт).Что касается Вашего захода с козырей про фундаментальные проблемы безопасности, то тут всё грустно. Если лет 30 назад шутили, что для Истинно Безопасной Системы надо сперва собрать свой компилятор (после аудита исходников, разумеется), потом им собрать ОС и утилиты — а сейчас, получается, сперва нужно свой процессор сделать (или хотя бы микрокод для него).
Тут уже в комментариях обсудили эту философскую проблему (включая с тонкостями между «знать» и «владеть»). Но реальный мир таков, что 2FA в любом виде повышает безопасность, по сравнению с голым паролем.
Да, у меня MacOS 10.13, но это дома. На работе Windows 7; зато отовсюду есть SSH до кучи серверов / виртуалок. Так что выбор очевиден…
А что касается iCloud Keychain, то при всём возможном уважении к фирме Apple (да не упадут её продажи ныне и присно и во веки веков), я не помещу туда ни одного значимого пароля (а вот для веб-сайтов магазинов и т.п. оно очень годится).
Да, всё так! Чуть ниже я написал про
pass:Имеет ли право на существование самопальный простой и легко обозримый велосипед? Я считаю, что да; Вы можете быть со мной несогласны…
Да, можно и больше указать (-w X для текущего 30-секундного слота и для X последующих):
Но я решил пойти на трюк с выравниванием генерации на :00 или :30 секундах, чтобы не запутаться.
Супер! Вот этой информации и не хватало, чтобы гарантировано подружить с
oathtoolлюбой сервис (секрет в приведённом к стандартному base32 виде, алгоритм HMAC ну и количество цифр в генерируемом коде).Спасибо огромное что поделились!
Спасибо за полезную ссылку! Про GNU pass я знал, но при первом знакомстве он как раз показался мне Программным Продуктом на BASH (когда проще написать что-то коротенькое «под себя», чем разбираться с развесистым комбайном).
А так ничто не мешает, прекрасно что есть разные варианты решения для TOTP без смартфона! И ещё раз спасибо, что напомнили про passwordstore.org.
Думаю потому, что он сложнее / дороже (аппаратный токен). Ну и к реализации защиты тоже могут быть вопросы (если это не open source) — помню была история с «аппаратно защищёнными флешками», которые открывались на раз.
Я всё же сфомулировал чуть менее категорично: нормальный пароль невозможно гарантировано запомнить в долгосрочной перспективе (с учётом отпусков, проблем со хдоровьем и т.п.) То есть, всё равно его обязательно записывать тем или иным способом.
А так-то у меня ежедневно «в пальцах» несколько десятков достаточно сильных паролей. Но стоит недельку хотя бы не работать — и приходится освежать память.
Ох затейники! Постараюсь сегодня проверить, самому интеренсно стало…