LINUX.ORG.RU

Какой метод двухфакторной защиты лучше?

 , ,


1

4

Приветствую, вот думаю, а стоит ли сменять разного рода подтверждения по смс на коды totp? Как это слелать более удобно? На данный момент госуслуги и подобные сервисы привязаны ко второму номеру, на отдельном кнопочном телефоне. Недостатки наверно только в потере, неработоспособности симки, но опять же - восстановить минутное дело в офисе. totp удобен, но где хранить те же ключи, чтобы было безопасно. Тут же по-сути, ести будет доступ к ключу totp-логину-паролю взлом 100%.

Перемещено maxcom из general



Последнее исправление: skopolk (всего исправлений: 1)

Недостатки наверно только в потере, неработоспо обности симки

Перевыпустят симку по поддельным документам и хлопнут тебя. Потеряешь по пьяни телефон - тоже хлопнут, если нет пина. SMS как второй фактор самый ненадежный, есть куча кейсов.

но где хранить те же ключи, чтобы было безопасно

Yubikey 🔑 причём для всего, включая ssh-ключи и GPG

/thread

XOXO
()
Ответ на: комментарий от unDEFER

А Yubikey отобрать что ли нельзя.

Можно вообще не отбирать, а вежливо попросить все самостоятельно отдать, залогиниться, перевести, скопировать… пока в заднем проходе нагревается паяльник.

XOXO
()
Ответ на: комментарий от Beewek

Мне этот вариант кажется не хуже юбикей.

Второй фактор должен храниться на внешнем изолированном устройстве, идеально если на аппаратном ключе.

В твоём случае, если будет компроментация машины, то ничего не мешает кейлоггером слить пароль от базы и увести твои totp вместе с базой. Очень удобно.

Поэтому не держи все яйца в одной корзине. Если уж программый totp, то на отдельном устройстве как минимум.

XOXO
()
Ответ на: комментарий от aol

а вот симку перевыпустить можно и без твоего присутствия.

Симка от yubikey ничем не отличается.

Проблема не в симке, проблема в том, что телефонный номер тебе не принадлжит.

anonymous
()
Ответ на: комментарий от maxcom

Во-первых yubikey не копируемый, в отличие от твоей БД.

Это можно считать и плюсом - я могу сделать много резервных копий своей БД.

тебя получается оба фактора хранятся в одной БД, что явно снижает надежность

Тут согласен. Но мой вариант всё равно лучше, чем СМС.

Beewek ★★★
()

Минусы смс. Не везде можно получить смс, даже если телефон под рукой, например в другой стране. Телефон часто показывает содержимое смс без разблокировки. Не у всех сим-карта имеет установленный пин, перестановка в другой телефон позволит получать коды. Смс может долго идти. Смс довольно дороги для отправителя, легко можно по 10 рублей за штуку платить или по 20к в месяц каждому оператору отваливать за возможность присылать с текстового, как бы доверенного, номера. Говорят очень сложно, но можно перехватить смс, старый GSM протокол не такой уж и безопасный.

Минусы totp. Не все приложения totp требуют подтверждение отпечатком, когда открываешь код. Несколько больше менеджмента: нужно хранить где-то одноразовые экстренные пароли, и искать в списке нужный код. В случае утери телефона ты сам себе злобный буратино, и офис оператора с восстановлением симки не поможет, вся надежда на одноразовые коды, хотя это условный минус, для кого-то это плюс.

ести будет доступ к ключу totp-логину-паролю взлом 100%

Хех, в любой схеме защиты, если кто-то может как-то открывать доступ, значит и кто-то другой это тоже может делать, если у него будет достаточно информации.

neumond
()
Ответ на: комментарий от maxcom

Ключа лучше иметь два, на случай если один сломается или потеряется.

Оба регистрировать? Один из двух ключей украсть легче. Любое резервирование/копирование снижает приватность.

anonymous
()
Ответ на: комментарий от XOXO

включая ssh-ключи и GPG

А такой вопрос - а где хранить бэкап certification gpg ключа? Я так и не придумал. Из вариантов, которые приходили в голову:

  1. Закинуть на флешку и хранить где-то в глубине квартиры в папке с документами, нужными пару раз в жизни. Вариант так себе, так как легко потерять, да и не привык считать флешки надежным носителем в плане долговечности.

  2. Мириться с тем, что gpg-шифрование надежно, а yubikey - точка отказа (при условии, что юбикеев с одинаковыми ключами минимум два), так что можно экспортнуть certification, зашифровать его encryption саб-ключом и хранить в условном гите. Вроде как довольно надежно, но может я слишком параноик для этого.

Да и в принципе все. Ну, еще был вариант запихнуть в условный vault, но по сути добавляем еще одну прослойку текста, который надо куда-то безопасно забэкапить (unseal-ключи), то есть бессмысленно.

l0stparadise ★★★★★
()
Ответ на: комментарий от maxcom

Если злоумышленник может перехватывать мои СМС-ки, то он зайдёт на сайт, нажмёт «не помню пароль», и ему по СМС придёт код на смену пароля! И не нужна ему моя БД:)

А если я включил ТОТП, то вроде бы не выйдет у него.

Beewek ★★★
()
Ответ на: комментарий от maxcom

Согласен, это не 2FA, а профанация. Вот цитата с госуслуг:

Как восстановить пароль на Госуслугах

    * На странице ввода логина и пароля нажмите «Восстановить»
    * Укажите номер телефона или электронную почту из личного кабинета и данные одного из документов:
        * паспорта РФ
        * ИНН
        * СНИЛС
    * Ответьте на контрольный вопрос — если установили его ранее в личном кабинете
    * Если не можете ответить на контрольный вопрос, нужно восстановить пароль онлайн через банк или лично в центре обслуживания
    * Перейдите по ссылке из письма в электронной почте или введите код из смс. Проверка кода произойдёт автоматически после ввода последней цифры
    * Придумайте новый пароль и нажмите «Сохранить». При вводе нового пароля следуйте подсказкам или сгенерируйте его автоматически

Вот и выходит, что если кто-то перехватывает СМС, то он может с небольшими дополнительными усилиями (типа узнать СНИЛС) «восстановить пароль».

И вроде бы я где-то читал, что если включить TOTP, то этот алгоритм не сработает. Потому и включил. Ну и как минимум нужно там контрольный вопрос задать, иначе совсем всё дыряво.

Beewek ★★★
()
Ответ на: комментарий от l0stparadise

А такой вопрос - а где хранить бэкап certification gpg ключа? Закинуть на флешку и хранить где-то в глубине квартиры в папке с документами, нужными пару раз в жизни.

Предпочитаю этот вариант, только вместо глубины квартиры маленькая банковская ячейка в которой лежит еще разное, на «черный день» и документы. В качестве носителя я использую диск SAMSUNG 970 EVO Plus M2 в корпусе на type-c, на котором находится том VeraCrypt с бэкапом самых важных вещей. Ротацию накопителя я осуществляю не часто, мне достаточно раз в год, что бы подновить содержимое, оно довольно статично, если говорить именно про невосполнимые данные. Думаю этот способ достаточно надежен.

Что касается certification gpg на физическом материальном носителе, насколько мне известно, можно юзать Paperkey с конвертацией qrencode или dmtx, оба кейса опиcаны здесь. В качестве компактного материального носителя металлическая пластина с лазерной гравировкой, если к бумаге нет доверия. Таким еще не обмазался, но планирую сделать наборчик, дело хорошее, правильное.

XOXO
()

На мой взгляд с totp это всё-таки для единоличного использования, например если вдруг владелец доверит близким свой софт/пароли, многие попусту не разбрутся, когда вместо типичной смс будет какой-то код, который надо раздобыть.

skopolk
() автор топика
Ответ на: комментарий от maxcom

Госуслуги не поддерживают Yubikey.

Там только TOTP.

Причем чем больше ты его проинициализируешь, тем лучше.

KeepassXC, Bitwarden, Google Authenticator, Authy и ReinerSCT Authenticator.

Кроме того резервные коды инициализации нужно еще хранить в сейф пакете в черном конверте.

EnterpriseTestAuto
()
Ответ на: комментарий от Beewek

Это у тебя в голове может происходить перехват SMS.

На практике же у большинства пользователей из-за неиспользования сим картой она им больше не принадлежит и они вообще не могут никак восстановить доступ.

EnterpriseTestAuto
()
Ответ на: комментарий от aol

Здесь поподробнее пожалуйста.

Что именно требуется владельцу SIM карты для ее перевыпуска с тем же самым номером без личного присутствия?

Оператор (МТС) говорит, что сим карта владелецу больше не принадлежит и отсылают в одно злачное место в Москве, которое занимается выпуском сим карт для участников СВО. Позвони маме называется.

Они могут сделать восстановление удалённо?

Будет ли тогда старая сим карта снова активна?

EnterpriseTestAuto
()
Ответ на: комментарий от EnterpriseTestAuto

Что именно требуется владельцу SIM карты для ее перевыпуска с тем же самым номером без личного присутствия?

Это не владельцу сим-карты требуется, а злоумышленнику. В поскольку я таковым не являюсь, могу лишь говорить о фактах, которые имели место быть

aol ★★★★★
()

Никакой. Только пароль.
sms могут перехватить/заблокировать
конфиги totr можно потерять (не будешь же ты всегда flash с ними таскать с собой?)

Kolins ★★★★★
()
Ответ на: комментарий от EnterpriseTestAuto

Госуслуги не поддерживают Yubikey.

Для госуслуг, разумеется, отдельный аппаратный Рутокен, авторизация по нему поддерживается на всех гос-сервисах сейчас, его все равно нужно иметь для ЭЦП, поскольку это сертифицированный носитель.

XOXO
()
Ответ на: комментарий от aol

Не распарсил.

Итак, какова процедура восстановления СИМ карты?

Ты это делаешь только персонально ножками, представляя для идентификации свой личный фейс? Или это можно сделать удалённо?

EnterpriseTestAuto
()
Ответ на: комментарий от EnterpriseTestAuto

Лолшта? Рутокены устарели давно.

Да ты шо? Ничоси! А мы тут в деревне не знаем, пользуемся до сих пор, подновить теперь можно и в Контуре и в налоговой даже, но эт в райцентр надо ехать, далеко.

Сейчас везде форсится Госключ.Он только для

Брешешь! С помощью Госключа можно подписать заявление для получения полноценного УКЭП для комплюкхтера, только когда его выпустят, его нужно где-то безопасно хранить, и ты снова возвращаешься к Рутокену.

XOXO
()

Стоит. Хотя бы потому, что (а) сервису не надо хранить относительно чувствительную информацию (б) totp не зависит от качества связи на устройстве пользователя

anonymous
()