В MS ошиблись, и выложили свои данные в инет

Сколько времени занимает отзыв ключа?

если вас посадили в подвал или вы не заметили компрометации, если у вас нет с собой счетов за газ с вашим именем, то сколько угодно, вообще саппорты умеют месяцами морозить и футболить клиентов

«Фразу они хранят, а пароль не хранят» и т.д и т.п.

на пароли есть стандарт «вы не должны хранить пароли в открытом виде», если они делают не так вы приходите к ним с юристами и нагибаете на сотни нефти за халатность, на слова для восстановления ничего такого нет, т.е. у сервиса есть свобода сделать как ему выгодно, а не как правильно

если вас посадили в подвал или вы не заметили компрометации, если у вас нет с собой счетов за газ с вашим именем, то сколько угодно, вообще саппорты умеют месяцами морозить и футболить клиентов

Срок действия сертификата ключа усиленной ЭЦП ограничен обычно 1-3 годами.

Нужен еще один фактор в зависимости от модели, начиная от парольного пина и до биометрии типа отпечатка, сверяемой самим токеном без участия компа.

пинкод это просто наихудший пароль, который подбирается за меньше милисекунды, отпечатки - самый простой способ подделать типа биометрию

Зато может прийти сообщение, что кто-то лезет с левого айпи в неправильно время или просто сообщение, что кто-то пытается зайти или даже зашел в ЛК?

там будет «если это были не вы срочно нажмите кнопку», вы привязанный к батарее, просто не сможете это сделать своевременно

А как быть с полностью открытыми реализациями?

Да какая разница?! Там в коробочке живой АНБ’шник, натуральный.

ну как если вы выложили свой пароль в открытый доступ и еще и предупредили, что эта лафа только на 1-3 года, а потом вы выложите другой пароль

пинкод это просто наихудший пароль, который подбирается за меньше милисекунды, отпечатки - самый простой способ подделать типа биометрию

Самоблокировка после 3-10 неудачных попыток ввода пина?

самоблокировка это в банкоматах/аппках, так или иначе пин - это простейший пароль, который запросто скиммится хоть камерой наблюдения хоть миллионом способов, а пин к файловому ключу это пароль заведомо скомпрометированный

там будет «если это были не вы срочно нажмите кнопку», вы привязанный к батарее, просто не сможете это сделать своевременно

Причем тут батарея, если речь идет о не первом факторе?

Где важно физическое присутствие, ЭЦП его заменить не может, если вы про госов.

Например, осуществлять сделки с недвижимостью, и т.п. операции по ЭЦП можно допускать IMHO только с письменного (лучше обязательно нотариально заверенного) согласия сторон сделки.

Т.е. абсолютно необходима возможность подачи запрета на подобные электронные сделки от заинтересованного владельца собственности, и чтобы снять такой запрет можно было ТОЛЬКО при личном визите. Тоже самое необходимо сделать относительно возможности взятия кредитов.

Где важно физическое присутствие, ЭЦП его заменить не может, если вы про госов.

Например, осуществлять сделки с недвижимостью, и т.п. операции по ЭЦП можно допускать IMHO только с письменного (лучше обязательно нотариально заверенного) согласия сторон сделки.

Нет, вы можете (пока еще) запретить сделки с недвигой без вашего физического присутствия, но они не запрещены «по умолчанию», для этого необходимо во-первых знать, что их можно запретить, во-вторых дойти до мфц или типа того. При том, что это исключение, в остальных случаях такой мазы фактически не существует и все можно сделать без физического присутствия и даже без паролей из вашей головы.

такой запрет можно было ТОЛЬКО при личном визите. Тоже самое необходимо сделать относительно возможности взятия кредитов

а как личное присутствие подтверждается? авторитетом нотариуса, который может точно также как и мошенники нарубить дел и свалить в другую страну?

кстати, «физическое присутствие» и пароль вводимый из вашей головы это не совсем одно и то же. Пароль просто может никто не знать и вы можете его так или иначе не сказать. А вот любой чухан похожий на вас, который предъявляет паспорт похожий на ваш сотруднице которую взяли месяц назад и через месяц уволят это тот же password.txt но уже в сфере социальной инженерии кмк.

Нет, вы можете (пока еще) запретить сделки с недвигой без вашего физического присутствия, но они не запрещены «по умолчанию», для этого необходимо во-первых знать, что их можно запретить, во-вторых дойти до мфц или типа того. При том, что это исключение, в остальных случаях такой мазы фактически не существует и все можно сделать без физического присутствия и даже без паролей из вашей головы.

Для важных действий, которые могут повлиять на судьбу человека IMHO абсолютно необходимо по умолчанию устанавливать возможность управления по ЭЦП в отключенное состояние.

Я не спец по офлайн аутентификации, но IMHO нотариат и простая письменная форма существует намного дольше ЭЦП. Для их проверки существуют как минимум свидетели, отработанный процессуальный кодекс, сейчас уже сеть видеокамер, которыми утыканы современные города и т.п.

И ничто не мешает затребовать при осуществлении действия дополнительно ЭЦП и при нотариально или простой письменной форме, но ТОЛЬКО в качестве ВТОРОГО фактора, т.е. что бы оба условия были необходимыми и ЭЦП и личное присутствие с собственно ручной подписью. Аналогично тому, как например, в Сбере при личном визите некоторые операции подтверждают их же картой с чипом.

с аппаратными ключами, кстати, был реальный прецедент когда мошенники не привлекая внимания полгода ходили в сеть ЦБ РФ используя ключ какого-то однодневного банка и клепали поручения в свою пользу пока не успели наворовать на какие-то космические суммы ну и счастливо свалить конечно же

Для важных действий, которые могут повлиять на судьбу человека IMHO абсолютно необходимо по умолчанию устанавливать возможность управления по ЭЦП в отключенное состояние.

ну я понял, что ваше решение - не использовать ключи, я об этом и примерно и объяснял

сейчас уже сеть видеокамер

вы хоть раз видели, что такое изображение с камеры безопасности? а что думаете насчет современных возможностей ИИ подрисовывать лица и что-угодно?

в качестве ВТОРОГО фактора, т.е. что бы оба условия были необходимыми и ЭЦП и личное присутствие с собственно ручной подписью

сразу 5 факторов, что-бы реальный пользователь всегда страдал месяцами переписываясь с поддержкой, а паразиты могли дальше проводить свой жоп сысурити и еще крутить ему рекламу с автоответчика

Для меня наиболее дико сейчас выглядит наличие массы приложений для планшетов типа Android, где почему-то расслабленные условия для аутентификации по сравнению с обычными настольными компами.

Это какой-то олигофрен придумал навязать людям идею, что их смартфоны безопаснее обычных компов? Те и другие по сути являются обычными компами к тому же подключенными к Internet, куда ставится различный custom софт. Без внешнего аппаратного крипто это абсолютно НЕбезопасные девайсы.

Лично меня уже замонал троян на одном из планшетов, сначала мне рассказывали, что это все якобы из-за глючного экрана, потом, когда Qiwi стал сообщать, что устройство зарутовано, теже люди начали говорить, что мне нужно срочно выбросить мой девайс (наверно чтобы не палить их троян?).

сразу 5 факторов, что-бы реальный пользователь всегда страдал месяцами переписываясь с поддержкой, а паразиты могли дальше проводить свой жоп сысурити и еще крутить ему рекламу с автоответчика

По умолчанию только один фактор - личный визит.

А далее хоть 10 факторов по желанию лица и наличию тех. возможности, чтобы лицо при личном визите само могло выбрать необходимый для него набор факторов, возможно с какими-то ограничениями, когда некоторые факторы обязательны.

Лично я бы предпочел, чтобы в мой ЛК госуслуг можно было зайти только при соблюдении одновременно следующих условий:

1. Логин и пароль
2. Код подтверждения из моего e-mail
3. Скрэтч код с офлайн карточки одноразовых кодов как в Авангарде
4. U2F/FIDO2
5. SMS

Если хоть один фактор отсутствует, то сразу чтобы отправляло к ним пати вэн слало мне e-mail и SMS, что кто-то лезет в мою учетку.

Даже ЭЦП тут лишняя, если только просто для входа в ЛК (а не для подтверждения действия/операции), но можно было бы включить при желании еще 6-ым фактором даже для входа.

«личный визит» это просто ответственность третьих лиц среди которых тоже могут быть преступники, остальные варианты не сильнее пароля из головы и подделываются, ну и уже 2 фактора или даже 1 плохо сделанный чаще доставляют проблем самим подлинным пользователям, а не взломщикам

«личный визит» это просто ответственность третьих лиц среди которых тоже могут быть преступники,

Тысячу+ лет (если верить учебникам) жили с личными визитами? Какие еще варианты?

остальные варианты не сильнее пароля из головы и подделываются,

Какая адовая ахинея. Пароль украсть НАМНОГО проще, чем аппаратный ключ, и остальные перечисленные мной факторы.

ну и уже 2 фактора или даже 1 плохо сделанный чаще доставляют проблем самим подлинным пользователям, а не взломщикам

Так трудно понять, что я предлагаю самому лицу выбирать тот набор факторов, который будет ему «доставлять» ?

если слишком часто проходить аутентификации это может стать уязвимой точкой, например вам подделают аутентификационный диалог и получат реальные доступы

если слишком часто проходить аутентификации это может стать уязвимой точкой, например вам подделают аутентификационный диалог и получат реальные доступы

Подделают U2F/FIDO2?

Вы обратитесь хотя бы к консультанту или репетитору (если у вас хватит денег на это), чтобы он вам объяснил, сколько стоит подделка каждого из перечисленных мной факторов хотя бы по отдельности, даже боюсь представить сколько получится итого, особенно, если туда добавить еще и фактор неизвлекаемого ключа PKCS11.

Тысячу+ лет (если верить учебникам) жили с личными визитами? Какие еще варианты?

в наивном веке преступность была менее развита, гугла же не было даж

Это извечная борьба защиты и средств нападения, правоохранителей и преступности, белого и черного.

IMHO важно не отставать в этой борьбе от темной стороны и не допускать до влияющих на принятия соответствующих решений некомпетентных лиц.

нет никакой борьбы, есть паразитизм безопасников через создание ее видимости

Да и кстати, многофакторная аутентификация - это всего лишь защита от одного из многих других векторов атаки на информационную систему, включая как приложение, так и инфру.

Среди многих других уязвимостей (как компа/инфры пользователя, так и инфры сервиса типа госуслуг и т.п.) можно отметить следующие: неправильная настройка инфры, дырявый софт, проприетарное оборудование с закладками, которыми не факт что будет рулить только белая сторона.

Различные физические в т.ч. удаленные РЭБ атаки на инфру, ведущие к ее сбоях и даже утере хранимых данных. А так же дроны, метеориты, землетрясения и другие форс мажоры., а с учетом якобы существования «климатического» и другого оружия то и вовсе становится очень грустно в плане защиты.

И вероятно сотни других факторов незащищенности, о которых знают только в топовых спецслужбах.

Окстись, у нас госуха. Тут если и махать, то только флагом. И ноты гимна выдувать.

К сожалению, так называемая «бумажная безопасность» IMHO временами очень далека от реалий с угрозами в нынешней ситуации.

Да и кстати, многофакторная аутентификация - это всего лишь защита от одного из многих других векторов атаки на информационную систему, включая как приложение, так и инфру.

Вот представьте себе хорошо бронированную дверь по бокам от которой детсадовские заборчики высотой ниже колена.

IMHO безопасностью должны заниматься узкоспециализированные люди на федеральном уровне в нескольких облаках типа Yandex Cloud, предоставлять свой облачный сервис аутентификации, который использует по желанию клиента любой набор перечисленных мной ранее факторов, т.е. требовать их одновременно для входа.

Но сейчас у Yandex IMHO какая-то жалкая аутентификация по SMS и упоминание облачного HSM вместо локального PKCS11?

IMHO организации типа госуслуг и банков должны предоставить дополнительно к уже имеющимся хотя бы еще один дополнительный фактор облачной аутентификации через Yandex Cloud, который в свою очередь уже должен создать полноценный многофакторный сервис аутентификации не хуже, чем у Google.

И аналогично его основные конкуренты типа Mail.ru, Selectel и т.п., хорошо бы в кооперации с ведущими разработчиками крипты типа КриптоПро и сильными УЦ типа СКБ Контур и НТСофт.

Btw. Google уже давно поддерживает хотя бы U2F токены.

Тогда в банке или госуслугах можно было бы выбрать один или несколько сервисов облачной аутентификации по условиям и/или

Например:

Обязательные факторы родной банковской аутентификации (логин, скрэтч, SMS)

и одновременно

(фактор Yandex 
или 
фактор Mail.ru
)

и одновременно

(фактор Selectel)

Т.е. настройка как антиспам цепочек.

А каждый из облачных аутентификаторов в свою очередь строил бы аналогично (на выбор клиента) свои цепочки (И/ИЛИ) из набора факторов:

    Логин и пароль
    Код подтверждения из моего e-mail
    Скрэтч код с офлайн карточки одноразовых кодов как в Авангарде
    U2F/FIDO2
    SMS
    PKCS11
    ЭЦП    
    Любое количество других крупных федеральных облачных аутентификаторов (т.е. стекирование цепочек разных облачных аутентификаторов)
    и т.д. и т.п. 

Ессно клиент выбирал бы не все одновременно, а строил наиболее подходящие для него цепочки из собственных соображений безопасности. А операторы могли бы предлагать типовые шаблоны наиболее безопасных с их точки зрения цепочек аутентификации.