Какой метод двухфакторной защиты лучше?

Недостатки наверно только в потере, неработоспо обности симки

Перевыпустят симку по поддельным документам и хлопнут тебя. Потеряешь по пьяни телефон - тоже хлопнут, если нет пина. SMS как второй фактор самый ненадежный, есть куча кейсов.

но где хранить те же ключи, чтобы было безопасно

Yubikey 🔑 причём для всего, включая ssh-ключи и GPG

/thread

Самый надежный вариант — хранить TOTP на железном токене вроде YubiKey. Только сразу планируй брать два, для бэкапа.

А Yubikey отобрать что ли нельзя. Чем это надëжнее?

А Yubikey отобрать что ли нельзя.

Можно вообще не отбирать, а вежливо попросить все самостоятельно отдать, залогиниться, перевести, скопировать… пока в заднем проходе нагревается паяльник.

отобрать что ли нельзя.

можно. но это тебя еще найти надо. а вот симку перевыпустить можно и без твоего присутствия.

// ваш КО

У меня TOTP спрятан в KeepassXC, на открытие базы длинный-предлинный пароль. База кипасса хранится в нескольких местах. Мне этот вариант кажется не хуже юбикей.

Вот и я о том же.

YubiKey

бэкап

Что это значит?

Мне этот вариант кажется не хуже юбикей.

Второй фактор должен храниться на внешнем изолированном устройстве, идеально если на аппаратном ключе.

В твоём случае, если будет компроментация машины, то ничего не мешает кейлоггером слить пароль от базы и увести твои totp вместе с базой. Очень удобно.

Поэтому не держи все яйца в одной корзине. Если уж программый totp, то на отдельном устройстве как минимум.

а вот симку перевыпустить можно и без твоего присутствия.

Симка от yubikey ничем не отличается.

Проблема не в симке, проблема в том, что телефонный номер тебе не принадлжит.

Что ты подразумеваешь под компрометацией машины? Я словлю руткит в интернете? Или кто-то ночью прокрадётся к моей машине и поставит этот руткит?

Во-первых yubikey не копируемый, в отличие от твоей БД. А во вторых у тебя получается оба фактора хранятся в одной БД, что явно снижает надежность.

Можно и без перевыпуска увести.

Ключа лучше иметь два, на случай если один сломается или потеряется.

Во-первых yubikey не копируемый, в отличие от твоей БД.

Это можно считать и плюсом - я могу сделать много резервных копий своей БД.

тебя получается оба фактора хранятся в одной БД, что явно снижает надежность

Тут согласен. Но мой вариант всё равно лучше, чем СМС.

Минусы смс. Не везде можно получить смс, даже если телефон под рукой, например в другой стране. Телефон часто показывает содержимое смс без разблокировки. Не у всех сим-карта имеет установленный пин, перестановка в другой телефон позволит получать коды. Смс может долго идти. Смс довольно дороги для отправителя, легко можно по 10 рублей за штуку платить или по 20к в месяц каждому оператору отваливать за возможность присылать с текстового, как бы доверенного, номера. Говорят очень сложно, но можно перехватить смс, старый GSM протокол не такой уж и безопасный.

Минусы totp. Не все приложения totp требуют подтверждение отпечатком, когда открываешь код. Несколько больше менеджмента: нужно хранить где-то одноразовые экстренные пароли, и искать в списке нужный код. В случае утери телефона ты сам себе злобный буратино, и офис оператора с восстановлением симки не поможет, вся надежда на одноразовые коды, хотя это условный минус, для кого-то это плюс.

ести будет доступ к ключу totp-логину-паролю взлом 100%

Хех, в любой схеме защиты, если кто-то может как-то открывать доступ, значит и кто-то другой это тоже может делать, если у него будет достаточно информации.

Ключа лучше иметь два, на случай если один сломается или потеряется.

Оба регистрировать? Один из двух ключей украсть легче. Любое резервирование/копирование снижает приватность.

Тут согласен. Но мой вариант всё равно лучше, чем СМС.

Вопрос спорный, я думаю что нет. Потому что увести твою БД и номер сложнее, чем просто увести твою БД.

Оба регистрировать?

Да. Это все же второй фактор, а не единственный.

Спорный вопрос. Возможно, лучше временно переключится в «деградед» режим - только по паролю, отозвать потерянный ключ и зарегистрировать новый ключ.

Код из смски тоже могут стащить. А вот шанс что украдут TOTP...

Чтобы увести мою БД, нужно физически добраться до моего компьютера. А для того, чтобы увести номер, есть много способов удалённых, типа перевыпуска сим-карты.

Не стоит, ибо шило на мыло.

Логично, но не любой сервис такое позволяет.

SMS это ведь второй фактор, а не единственный. Без пароля из твоей БД он бесполезен.

Ну, фотошоп ксерокопии паспорта - это гораздо проще (незаконного) доступа к окс7 ))

включая ssh-ключи и GPG

А такой вопрос - а где хранить бэкап certification gpg ключа? Я так и не придумал. Из вариантов, которые приходили в голову:

1. Закинуть на флешку и хранить где-то в глубине квартиры в папке с документами, нужными пару раз в жизни. Вариант так себе, так как легко потерять, да и не привык считать флешки надежным носителем в плане долговечности.

2. Мириться с тем, что gpg-шифрование надежно, а yubikey - точка отказа (при условии, что юбикеев с одинаковыми ключами минимум два), так что можно экспортнуть certification, зашифровать его encryption саб-ключом и хранить в условном гите. Вроде как довольно надежно, но может я слишком параноик для этого.

Да и в принципе все. Ну, еще был вариант запихнуть в условный vault, но по сути добавляем еще одну прослойку текста, который надо куда-то безопасно забэкапить (unseal-ключи), то есть бессмысленно.

двухфакторная защита давно не безопасна, нужна как минимум трёхфаторная защита

Если злоумышленник может перехватывать мои СМС-ки, то он зайдёт на сайт, нажмёт «не помню пароль», и ему по СМС придёт код на смену пароля! И не нужна ему моя БД:)

А если я включил ТОТП, то вроде бы не выйдет у него.

Это называется ноль-факторная аутентификация, мы ж не ее обсуждаем :-)

Реализации разные бывают, но вариант где для восстановления достаточно SMS отменяет все усилия по 2FA.

Согласен, это не 2FA, а профанация. Вот цитата с госуслуг:

Как восстановить пароль на Госуслугах

    * На странице ввода логина и пароля нажмите «Восстановить»
    * Укажите номер телефона или электронную почту из личного кабинета и данные одного из документов:
        * паспорта РФ
        * ИНН
        * СНИЛС
    * Ответьте на контрольный вопрос — если установили его ранее в личном кабинете
    * Если не можете ответить на контрольный вопрос, нужно восстановить пароль онлайн через банк или лично в центре обслуживания
    * Перейдите по ссылке из письма в электронной почте или введите код из смс. Проверка кода произойдёт автоматически после ввода последней цифры
    * Придумайте новый пароль и нажмите «Сохранить». При вводе нового пароля следуйте подсказкам или сгенерируйте его автоматически

Вот и выходит, что если кто-то перехватывает СМС, то он может с небольшими дополнительными усилиями (типа узнать СНИЛС) «восстановить пароль».

И вроде бы я где-то читал, что если включить TOTP, то этот алгоритм не сработает. Потому и включил. Ну и как минимум нужно там контрольный вопрос задать, иначе совсем всё дыряво.

А такой вопрос - а где хранить бэкап certification gpg ключа? Закинуть на флешку и хранить где-то в глубине квартиры в папке с документами, нужными пару раз в жизни.

Предпочитаю этот вариант, только вместо глубины квартиры маленькая банковская ячейка в которой лежит еще разное, на «черный день» и документы. В качестве носителя я использую диск SAMSUNG 970 EVO Plus M2 в корпусе на type-c, на котором находится том VeraCrypt с бэкапом самых важных вещей. Ротацию накопителя я осуществляю не часто, мне достаточно раз в год, что бы подновить содержимое, оно довольно статично, если говорить именно про невосполнимые данные. Думаю этот способ достаточно надежен.

Что касается certification gpg на физическом материальном носителе, насколько мне известно, можно юзать Paperkey с конвертацией qrencode или dmtx, оба кейса опиcаны здесь. В качестве компактного материального носителя металлическая пластина с лазерной гравировкой, если к бумаге нет доверия. Таким еще не обмазался, но планирую сделать наборчик, дело хорошее, правильное.

На мой взгляд с totp это всё-таки для единоличного использования, например если вдруг владелец доверит близким свой софт/пароли, многие попусту не разбрутся, когда вместо типичной смс будет какой-то код, который надо раздобыть.

Госуслуги не поддерживают Yubikey.

Там только TOTP.

Причем чем больше ты его проинициализируешь, тем лучше.

KeepassXC, Bitwarden, Google Authenticator, Authy и ReinerSCT Authenticator.

Кроме того резервные коды инициализации нужно еще хранить в сейф пакете в черном конверте.

Это у тебя в голове может происходить перехват SMS.

На практике же у большинства пользователей из-за неиспользования сим картой она им больше не принадлежит и они вообще не могут никак восстановить доступ.

Товарищ, ты не в ту сторону мыслишь.

Сейчас все идет к беспарольной аутентификации по двум факторам: владение смартфоном и отпечаток пальца

Молодец. А в Bitwarden тоже сделал? Google Authenticator? Authy? ReinerSCT?

Но ведь его можно вернуть. Так ведь?

Здесь поподробнее пожалуйста.

Что именно требуется владельцу SIM карты для ее перевыпуска с тем же самым номером без личного присутствия?

Оператор (МТС) говорит, что сим карта владелецу больше не принадлежит и отсылают в одно злачное место в Москве, которое занимается выпуском сим карт для участников СВО. Позвони маме называется.

Они могут сделать восстановление удалённо?

Будет ли тогда старая сим карта снова активна?

Что именно требуется владельцу SIM карты для ее перевыпуска с тем же самым номером без личного присутствия?

Это не владельцу сим-карты требуется, а злоумышленнику. В поскольку я таковым не являюсь, могу лишь говорить о фактах, которые имели место быть

Госуслуги не поддерживают YubiKey, но зато YubiKey поддерживает TOTP.

Никакой. Только пароль.
sms могут перехватить/заблокировать
конфиги totr можно потерять (не будешь же ты всегда flash с ними таскать с собой?)

И в какой слот ты будешь писать коды?

Госуслуги не поддерживают Yubikey.

Для госуслуг, разумеется, отдельный аппаратный Рутокен, авторизация по нему поддерживается на всех гос-сервисах сейчас, его все равно нужно иметь для ЭЦП, поскольку это сертифицированный носитель.

Не распарсил.

Итак, какова процедура восстановления СИМ карты?

Ты это делаешь только персонально ножками, представляя для идентификации свой личный фейс? Или это можно сделать удалённо?

Лолшта? Рутокены устарели давно.

Сейчас везде форсится Госключ.

Он только для смартфона.

Лолшта? Рутокены устарели давно.

Да ты шо? Ничоси! А мы тут в деревне не знаем, пользуемся до сих пор, подновить теперь можно и в Контуре и в налоговой даже, но эт в райцентр надо ехать, далеко.

Сейчас везде форсится Госключ.Он только для

Брешешь! С помощью Госключа можно подписать заявление для получения полноценного УКЭП для комплюкхтера, только когда его выпустят, его нужно где-то безопасно хранить, и ты снова возвращаешься к Рутокену.

Стоит. Хотя бы потому, что (а) сервису не надо хранить относительно чувствительную информацию (б) totp не зависит от качества связи на устройстве пользователя

Там нативная поддержка TOTP, не нужно ничего изобретать.