Yubikey и майкрософтский аккаунт

Вводи пороли, как диды зааещали

Пароли и так вводятся. Тут речь именно про 2FA вместо смс. Ибо дубль симки в РФ стоит около 50к.

Пользуясь случаем спрошу - ты в РФ? Если да, то у местного дистрибьютора (софтлайн) по 2х прайсу покупал или по почте заказывал? А то я тоже хочу, но говорят таможня может завернуть.

у местного дистрибьютора (софтлайн)

говорят таможня может завернуть

https://yubikey.ru/

Я потому у местного магазина и покупал, чтобы таможня не прицепилась. Если не считать долбаного СДЭКа, то все купилось и доставилось в Рязань без проблем.

А что касается РФ, то с российских IP на yubikey.com половина инструкций недоступна) Причем сам сайт 404 отдает. С VPN уже все нормально.

Можешь своими словами описать кейсы, где оно осмысленно с точки зрения жителя именно РФ?

Yubikey можно точно так же как и телефон украсть/изъять.

Можно ли его использовать как альтернативу телефону в случае потери? Я не про потенциальную возможность, а реальные кейсы.

У мелкомягких оно работало только в Edge, емнип. У меня получилось зарегистрировать, но я это в оффтопике делал.

Плюс необязательно 2FA через U2F использовать, можно просто в yubikey как TOTP генератор использовать, вместо приложения на телефоне.

Yubikey хорош тем, что на него можно записать кучу ТОТР ключей и использовать где угодно – на любом устройстве хоть компе, хоть телефоне. А тот же google authenticator на другой телефон не перенесешь. Надо либо сохранять ключи, либо заново добавлять во все аккаунты.

Казалось бы в этом и есть смысл (невозможность перенесения google authenticator) aka недублируемый физический девайс. Чем Yubikey лучше?

google authenticator на другой телефон не перенесешь.

Да ну

/data/data/com.google.android.apps.authenticator2/databases/databases

...

sqlite3 ./databases

select * from accounts;

Now you have your secret keys and can add them to your new device.

OTP уязвим своей симметричностью (с той стороны, не канально), вроде. А обычное подписывание нестандартизированно, потому и U2F.

Так yubikey тоже не дублируемый, просто его обычно не меняют, в отличии от телефона. Купил новый телефон и надо заново везде ключи добавлять. А я с юбики уже три телефона пережил и ни разу ничего не переносил.

Да ну

Да, а теперь c/на айфон перенеси.

OTP уязвим своей симметричностью

U2F, конечно более надёжен, но ещё не везде поддерживается, а ОТР повсеместно.

Иными словами это тот же «физический носитель» который в каком-то смысле даже «проще потерять». В копилку добавляется только относительно более низкая цена за тушку.

Да, это как ключи от дома. У меня он прямо на связке и висит. И потерять его будет точно так же больно, как и ключи от квартиры.

Ну, дубликаты ключи можно разложить по защищённым нычкам (например у родственников) на случай потери (бывают ключи просто теряются). Как я понимаю, тут так нельзя?

Yubikey хорош тем, что на него можно залить pgp-ключ и не хранить его больше в $HOME, где всякая бяка его программно свистнуть может. А остальное это неинтересные мелочи.

Можно купить два и более ключа и тупо добавлять их все. Потом один носить с собой, а другие в сейф. Надо только посли потери ключа его везде удалить, так же как и замки в квартире надо менять, если ключи потерял. Ибо неизвестно потерял ли ты их случайно или их вытащил злоумышленник.

Заведи себе SIP-номер не в России, чо как не родной.

Да, PGP тоже преимущество, причём его можно сгенерить прямо на самом ключе, таким образом нигде не светя приватный ключ. Его ещё и нельзя прочитать с ключа будет.

Хороший кейс. Спасибо.

Ну это не слишком удобно, да и преимущества над двумя телефонами только по цене.

А тот же google authenticator на другой телефон не перенесешь

У него давно есть штатная функция переноса на другой телефон.

А вот к майкрософтскому аккаунту (web) прикрутить эти ключики нельзя.

А почему нельзя то? Юбикей же тупо клавой прикидывается.

> Заведи себе SIP-номер не в России, чо как не родной.

Подробнее?

c/на айфон

глянул. старые способы с ковырянием бэкапа. root там тоже актуален, который называется jailbreak.

Может быть, я уже давно на юбики перешёл, не проверял что там у гугла.

Подробнее?

Есть SIP-провайдеры, продающие номера в любой стране. Многие номера при этом поддерживают прием/отправку смс.

О, это хорошо. А то надоело, что везде требуют номер мобильного телефона.

- Карта нашего магазина есть?
- Нет
- Хотите оформить?
- А номер телефона нужен?
- Кнш

- Здравствуйте, мы - Яндекс, и у анс украли данные 5000 аккаунтов! Введите ваш старый пароль, ответ на контрольный вопрос (который вы задавали при регистрации на случай утери пароля) и код с картинки!
- Ввёл
- Отлично! Доступ восстановлен! Осталась сущая мелочь - дай нам свой номер телефона, сука!!!

- Здравствуйте, это магазин ASOS. Вы заказывали джинсы?
- Я
- Вы указывали в качестве способа доставки BoxBerry?
- Да
- Отлично, теперь давай нам свой номер, вышлем SMS для кода, при помощи которого вы можете забрать покупку из ящика!
- А почему товар не был доставлен на почту, как с Али?
- Вы точно знаете что такое BoxBerry?
- Признаюсь честно, нет, кликнул рандомом.
- Дай номер
- Нет
- Надо было выбирать другой способ доставки

Хотя, стоит отдать им должное, разобрались.

- Здравствуйте, это самый лучший банк! У нас высокие проценты на остаток, кэшбек, низкая цена за обслуживание, и всё здорово!
- Вот вам мой паспорт, оформите мне дебеотвую карту, пожалуйста
- Нахрен мне ваш паспорт, ты номер телефона свой давай! И в камеру смотри, будем биометрию собирать!

Вот как-то так. Слушай, а какую страну указывать? Мне не предъявят за то, что «это не твой номер»?

С банками скорее всего не выйдет - они жадные жопоруки, у них смс не ходят на номера, отличные от страны банка. Но можно купить и русский номер в том числе, чтобы не привязываться к симкам. Я пользуюсь zadarma.com, но провайдеров тащемта охулиард на любой вкус - гугл в помощь.

Yubikey можно точно так же как и телефон украсть/изъять

Дубль симки за сравнительно небольшую сумму можно получить без краж/изъятий. Без взаимодействия с жертвой. Дистанционно. В любом городе.

Ключей же (привязанных) ограниченное количество и до них еще нужно добраться физически. Не, ну это тоже можно, но уже сложней. Нет причин не осложнять жизнь преступникам. Хотя бы часть это отсеет.

Можно купить два и более ключа

Потом один носить с собой, а другие в сейф

Именно это и рекомендуется ВСЕМИ. Да и не такие они дорогие.

Его ещё и нельзя прочитать с ключа будет.

Можно стравить корпус и микрощупами к непосредственно флэшке прицепиться. Но это уже сложно. Намного сложней чем получить дубль симки.

К тому же дубль симки можно получить буквально не вставая с дивана, причём это ещё и незаметно для жертвы, а хардварный токен надо сначала спереть и надеяться, что его не успеют заблокировать/отозвать ключ.

А почему нельзя то?

U2F не работает. По идее OTP можно заюзать, но сам факт. GitHub умеет, Гугл умеет, GoDaddy умеет, а MS нет.

Справедливости ради стоит добавить, что DigitalOcean тоже не поддерживает Yubikey.

хардварный токен надо сначала спереть и надеяться, что его не успеют заблокировать/отозвать ключ

Вот-вот. Я посчитал трату ~12к обоснованной для заметного осложнения жизни атакующему.

Допустим ты его купил(в другой стране). Позавязывал на него кучу всего. Его блокнули/отдали другому человеку. Твои действия?

Пойду куплю другой.

И ты уверен, что все сервисы легко отвяжешь без сношений на тему верблюда с поддержкой? Особенно если номер всё ещё активен, но в других руках.

Уверен.

Моё почтение, но я бы даже Зенитуру без оговорок такое не посоветовал, разве что для одноразовых регистраций.

А причём здесь симка если сравнивается с google authenticator?

Я не пользуюсь сервисами, намертво прибитыми только к телефону. У 99% сервисов есть дублирующий функционал по сбрасыванию паролей, а телефон они просто требуют во имя сбора информации и дополнительной идентификации/деанонимизации.

google authenticator

чем тот же Aegis вместо этого говнища не угодил?

А тот же google authenticator на другой телефон не перенесеш

там в самом приложении есть функционал импорт-экспорт с помощью qr-кода.

Спасибо, мне уже рассказали. Когда я им пользовался, то еще не было.