Именно так! Особенно если хранить пароль для входа и ключ TOTP в разных базах (как здесь мне уже справедливо заметили, и вроде в документации на KeePassXC есть соответствующие рекомендации).
«Чтоб да, так нет!», ну то есть которые я знаю, те всё больше полагаются в качестве второго фактора аутентификации на СМС / Viber, или даже голосовой звонок (варианты: «нажмите 1 если это вы логинитесь» или «введите 4 последние цифры номера, с которого мы вас вызываем»).
Если с банком работает Google Authenticator, то на 99% сработает и предложенная схема. Надо только ключ инициализации иметь (получить при включении 2FA, обычно где-то рядом с QR-кодом есть ссылка типа «мы люди дремучие, картинок не понимаем, дайте нам буковками!»).
А вот если 2FA уже включена и QR скормлен gAuth, тут я не уверен, что изначальный ключ выцепить можно. Впрочем, может у кого-то есть опыт подобного?
Да, полностью соответствующее принципу 2FA решение — аппаратный токен с защитой по пину. Но тут уж принцип разумной достаточности говорит, что 2FA с Google Authenticator / oathtool / etc всяко лучше, чем отсутствие 2FA вообще.
Because of possible clock drifts between a client and a validation server, we RECOMMEND that the validator be set with a specific limit to the number of time steps a prover can be "out of synch" before being rejected.
Но практика показывает, что далеко не всегда рекомендации стандартов соблюдают в точности, я вот решил перестраховаться.
В моём случае ключ иницализации сохраняется в ~/.config/mytotp/SERVICE.gpg, ну и в KeePass Touch на айфоне. Но и вариант с KeePassXC хорош (если, как тут верно отметили, разделять базы с паролями и 2FA).
«К одной вершине ведут сто путей», можно и так! Но я по возможности стараюсь пользоваться CLI утилитами, так уж сложилось…
А что касается MS Authenticator надо будет ещё поковырять, у меня пока oathtool ругается, мол неверный формат секрета. А вот если пропустить его через другой аутентификатор, может и получится — спасибо за наводку!
Хоть у меня и есть «родная» педаль BluesBreaker BB-2 (судя по серийному номеру — 2005 года выпуска, ох и тяжёлая), но почитал / посмотрел / послушал с удовольствием, спасибо!
Нет причин для грусти! Для нас, минималистов, главное ведь чтобы была POSIX-подсистема в ОС любой жирности — в MacOS и Linux она из коробки; в Windows раньше я ставил набор утилит из Cygwin, а сейчас просто Git c с собою всё приносит (MinGW), красота!
Потому спор о том, какая ОС лучше, я давно закрыл — с точки зрения POSIX все они практически одинаковые; а какие уж там особенности GUI или пакетного менеджера (магазина приложений) дело десятое. Так и работаю на всех трёх, не особо замечая разницу.
Да, мы такие! И Linux (который через GUI) тоже стоит упомянуть в списке жирных ОС!
Нет, я конечно время от времени пробую на линуксе грузиться в текстовую консоль (не забыв предварительно sudo apt-get install gpm сделать), с переключением по Alt+Fx (или screen / tmux). Но экранные шрифты немножко больно глазам делают; так что пусть уж жирные ОС нам красиво отрисовуют много окошек терминалов. Чай XXI век на дворе…
Если Вы про KeeFarce (метод DLL injection), то при таких вводных (доступ к коспьютеру с правами пользователя плюс запущенный KeePass и открытая база) это уже не взлом KeePass (проще уж кейлоггер повесить).
А если про брутфорс при помощи John the Ripper — это тем более не взлом KeePass, тут можно только пожелать удачи ломателю (особенно если кроме пароля ещё и key file используется).
Да, есть уникальная особенность: отдельных режимы работы (normal / insert / command / visual mode). Что позволяло такие фокусы 9j15ldwioffESC:wq (выписать себе в локальном блокноте последовательность команд:
перейти на 9 строк вниз и 15 символов вправо,
удалить слово над курсором,
перейти в режим вставки и набрать „off“,
вернуться в normal mode (символ с кодом 033 / 0x1b, например Ctrl+[ нажать),
перейти в командный режим, записать файл и вийти из редактора)
скопировать её в буфер и вставить в окно SSH. Всё отправляется одним пакетом, здорово выручало при плохой связи (типа модем на 2400/NONE)
Плюс один! В KeePass отдельная группа с PIN-кодами, перед предполагаемым использованием конкретной карты загружаю её PIN в «оперативную память» (на несколько минут), потом забываю.
Через алгоритмы «преобразуем строку A в строку B и обратно, B записываем, A используем» проходил, и отказался (по мере старения память такие глюки выдаёт порой…)
Проходил через подобное, только с песнями на английском. С одной стороны — работает, с другой — всё равно нужен некий алгоритм перевода общедоступного текста в пароль (какие слова брать, какой разделитель использовать, как с заглавными буквами и т.п.) И вот тут-то может наступить (и обязательно наступит) момент «угадал все буквы не угадал слово» «помню все слова, а пароль не складывается».
Так и пришёл к:
Использовать парольный менеджер
Пароли вносить как есть, без вот этого «тут пишу X, но на деле ввожу Y»
Мастер-пароль записывать на бумаге в нескольких экземплярах, опечатывать и хранить в разных местах
Простой и надёжный пароль это прекрасно! Но если нужен не один пароль, а чуть больше? Тут уже удержать в голове и не запутаться будет непросто…
(я ежедневно ввожу по памяти примерно три десятка разных паролей, и ещё на порядок больше в менеджере, подсматривать надо. Но стоит недельку отлучиться — и почти всё надо заново в оперативную память загружать)
Именно так! Особенно если хранить пароль для входа и ключ TOTP в разных базах (как здесь мне уже справедливо заметили, и вроде в документации на KeePassXC есть соответствующие рекомендации).
«Чтоб да, так нет!», ну то есть которые я знаю, те всё больше полагаются в качестве второго фактора аутентификации на СМС / Viber, или даже голосовой звонок (варианты: «нажмите 1 если это вы логинитесь» или «введите 4 последние цифры номера, с которого мы вас вызываем»).
Если с банком работает Google Authenticator, то на 99% сработает и предложенная схема. Надо только ключ инициализации иметь (получить при включении 2FA, обычно где-то рядом с QR-кодом есть ссылка типа «мы люди дремучие, картинок не понимаем, дайте нам буковками!»).
А вот если 2FA уже включена и QR скормлен gAuth, тут я не уверен, что изначальный ключ выцепить можно. Впрочем, может у кого-то есть опыт подобного?
Да, полностью соответствующее принципу 2FA решение — аппаратный токен с защитой по пину. Но тут уж принцип разумной достаточности говорит, что 2FA с Google Authenticator / oathtool / etc всяко лучше, чем отсутствие 2FA вообще.
Ещё раз спасибо, попробую отключить и затем снова включить 2FA на хотмейле, может это я где-то ошибся, когда строку инициализации сохранял!
Да, про это написано в §6 RFC6238:
Но практика показывает, что далеко не всегда рекомендации стандартов соблюдают в точности, я вот решил перестраховаться.
В моём случае ключ иницализации сохраняется в ~/.config/mytotp/SERVICE.gpg, ну и в KeePass Touch на айфоне. Но и вариант с KeePassXC хорош (если, как тут верно отметили, разделять базы с паролями и 2FA).
Да, Вы правы! Надо будет перенести секреты TOTP в другую базу, это я что-то сильно угол срезал…
(в сторону) Вот почему полезно публиковать свои мысли в сообществе умных людей!
«К одной вершине ведут сто путей», можно и так! Но я по возможности стараюсь пользоваться CLI утилитами, так уж сложилось…
А что касается MS Authenticator надо будет ещё поковырять, у меня пока oathtool ругается, мол неверный формат секрета. А вот если пропустить его через другой аутентификатор, может и получится — спасибо за наводку!
Да, Вы верно подметили! Я просто чуть выше написал про «сохраняю её и в парольном менеджере» и не продублировал это в заключении.
Что касается KeePassXC, то он хорош, но не когда у тебя только SSH до сервера / VDS. Потому я и держу также решения для командной строки.
Вместо устройства можна же использовать компьютер. У аудитории Хабра с компьютером-то проблем быть не должно…
Там (в Marshall BB-2) ещё одна крутилка есть, фактически переключатель Boost - Blues (по моим ощущениям, грелка - овердрайв). И весит больше пол-кило!
“Heavy is good, heavy is reliable!” (q) Boris the Blade
Хоть у меня и есть «родная» педаль BluesBreaker BB-2 (судя по серийному номеру — 2005 года выпуска, ох и тяжёлая), но почитал / посмотрел / послушал с удовольствием, спасибо!
Нет причин для грусти! Для нас, минималистов, главное ведь чтобы была POSIX-подсистема в ОС любой жирности — в MacOS и Linux она из коробки; в Windows раньше я ставил набор утилит из Cygwin, а сейчас просто Git c с собою всё приносит (MinGW), красота!
Потому спор о том, какая ОС лучше, я давно закрыл — с точки зрения POSIX все они практически одинаковые; а какие уж там особенности GUI или пакетного менеджера (магазина приложений) дело десятое. Так и работаю на всех трёх, не особо замечая разницу.
Да, мы такие! И Linux (который через GUI) тоже стоит упомянуть в списке жирных ОС!
Нет, я конечно время от времени пробую на линуксе грузиться в текстовую консоль (не забыв предварительно
sudo apt-get install gpmсделать), с переключением поAlt+Fx(или screen / tmux). Но экранные шрифты немножко больно глазам делают; так что пусть уж жирные ОС нам красиво отрисовуют много окошек терминалов. Чай XXI век на дворе…Если Вы про KeeFarce (метод DLL injection), то при таких вводных (доступ к коспьютеру с правами пользователя плюс запущенный KeePass и открытая база) это уже не взлом KeePass (проще уж кейлоггер повесить).
А если про брутфорс при помощи John the Ripper — это тем более не взлом KeePass, тут можно только пожелать удачи ломателю (особенно если кроме пароля ещё и key file используется).
Да, есть уникальная особенность: отдельных режимы работы (normal / insert / command / visual mode). Что позволяло такие фокусы
9j15ldwioffESC:wq(выписать себе в локальном блокноте последовательность команд:перейти на 9 строк вниз и 15 символов вправо,
удалить слово над курсором,
перейти в режим вставки и набрать „off“,
вернуться в normal mode (символ с кодом 033 / 0x1b, например
Ctrl+[нажать),перейти в командный режим, записать файл и вийти из редактора)
скопировать её в буфер и вставить в окно SSH. Всё отправляется одним пакетом, здорово выручало при плохой связи (типа модем на 2400/NONE)
Плюс один! В KeePass отдельная группа с PIN-кодами, перед предполагаемым использованием конкретной карты загружаю её PIN в «оперативную память» (на несколько минут), потом забываю.
Через алгоритмы «преобразуем строку A в строку B и обратно, B записываем, A используем» проходил, и отказался (по мере старения память такие глюки выдаёт порой…)
Проходил через подобное, только с песнями на английском. С одной стороны — работает, с другой — всё равно нужен некий алгоритм перевода общедоступного текста в пароль (какие слова брать, какой разделитель использовать, как с заглавными буквами и т.п.) И вот тут-то может наступить (и обязательно наступит) момент
«угадал все буквы не угадал слово»«помню все слова, а пароль не складывается».Так и пришёл к:
Использовать парольный менеджер
Пароли вносить как есть, без вот этого «тут пишу X, но на деле ввожу Y»
Мастер-пароль записывать на бумаге в нескольких экземплярах, опечатывать и хранить в разных местах
Простой и надёжный пароль это прекрасно! Но если нужен не один пароль, а чуть больше? Тут уже удержать в голове и не запутаться будет непросто…
(я ежедневно ввожу по памяти примерно три десятка разных паролей, и ещё на порядок больше в менеджере, подсматривать надо. Но стоит недельку отлучиться — и почти всё надо заново в оперативную память загружать)