В MS ошиблись, и выложили свои данные в инет

ключевой момент тут в том, что можно действовать от вашего имени без вашего физического присутствия. Когда вы вводите пароль, он хранится у вас в голове или даже если на листочке и необходимо знать вас лично или заманить в ловушку чтобы его заполучить. А с ключами достаточно скриптом с эксплойтом поломать один из ваших компьютеров, стянуть файлы и можно будет пользоваться доступами от вашего имени.

Когда вы вводите пароль, он хранится у вас в голове или даже если на листочке и необходимо знать вас лично или заманить в ловушку чтобы его заполучить.

ты путаешься в показаниях. Сначала у тебя было «рассылать password.txt», теперь «хранится у вас в голове»…

А с ключами достаточно скриптом с эксплойтом поломать один из ваших компьютеров, стянуть файлы и можно будет пользоваться доступами от вашего имени.

Можно сделать к ключу доступ только, допустим, от рута(с вводом рутового пароля, когда нужен доступ по ключу), а сломали пользователя. Ну или не от рута, а от отдельного пользователя, который только для доступа к ключу нужен.

нет, это вы не способны увязать логически два разных противопоставленных варианта

1. использовать токены/ключи тоже самое, что хранить пароль в текстовом файле и рассылать всем потому, что взломать вас будет не трудно в т.ч. роботом и скорее всего вы этого не заметите вообще

2. использовать пароли из головы не тоже самое. Даже если вы его где-то записали, т.к. то куда вы его записали уникально также как и сама комбинация символов и цифр. ssh-ключ будет у вас всегда лежать в ~/.ssh/ (если вы не извращенец по конфигурациям) и злоумышленник стянет его скриптом и использует, а до пароля записанного в записной книжке придется добираться с фумкой или паяльником.

если вы вводите пароль чтобы пользоваться ключом, то вы просто делаете свой вариант с паролем более уязвимым в том числе к человеческому фактору когда забыли пароль например

Не, разница есть, ssh по паролю всё же менее безопасный, чем по ключу. Да и по паролю его вечно пытаются подобрать, а ключ подбирать не пытаются. Ну и пароль я же локально ввожу, он может быть один на ВСЕ ключи, и по сети передаваться не будет.

Просто как пароль к хранилищу ключей. И это обезопасит от взлома пользователя и кражи ключей.

Или взломать ПК, поставить кейлогер и спокойно его получить.

есть целый класс уязвимостей для выполнения команд от рута, вобщем если есть какой-то файл обеспечивающий доступ то это вообще не защита, а ее имитация что-бы пользователь не вылазил из тепленькой лужи безграмотности и инертности позволяющей сделать с ним и его сферой ответственности что-угодно

поставить кейлоггер без физического доступа к ПК не так уж просто, поменять пароль можно достаточно легко и на средней параноидальности сеттингах это делается регулярно и за паролями есть некоторый уровень внимания, а ключи лежат веками где-то прописанные, менять их несколько муторнее обычно

Пытаешься утончить? Но уже поздно принимать слабительное, у тебя запор.

ключевой момент тут в том, что можно действовать от вашего имени без вашего физического присутствия. Когда вы вводите пароль, он хранится у вас в голове или даже если на листочке и необходимо знать вас лично или заманить в ловушку чтобы его заполучить.

Телепатия? - нет не слышали.

А еще бывают трояны, буткиты и даже плагины в браузерах, LOL

И вероятно доступ к SMS истории мобильного провайдера, чтобы проходить аутентификацию на сервисах, «защищенных» SMS?

А с ключами достаточно скриптом с эксплойтом поломать один из ваших компьютеров, стянуть файлы и можно будет пользоваться доступами от вашего имени.

PKCS11, U2F/FIDO2 - нет, не знаем :(

если вы вводите пароль чтобы пользоваться ключом, то вы просто делаете свой вариант с паролем более уязвимым в том числе к человеческому фактору когда забыли пароль например

А если это неизвлекаемый ключ, к которому вводится пин. Находится он в аппаратном крипто, криптооперации происходят по интерфейсу PKCS11 ВНУТРИ USB токена, ключ НИКОГДА не покидает внешний USB токен.

Rutoken ECP2/3, Nitrokey PRO 2/3, etc.

Пытаешься утончить?

А ведь в случае утечки пароля может получиться и наоборот, например, очень жидко.

А если это неизвлекаемый ключ, к которому вводится пин.

а если я ваш ключ возьму ненадолго и себе на такой же ключ скопирую скрытным для вас образом? если просто возьму и попользуюсь, допустим он вам нужен раз один в год? если скопирую сразу при создании и буду использовать через эмулятор?

Находится он в аппаратном крипто

«Ты ничего не панимаешь»(C), зловещий АНБ’шник уже сидит в твоём крипто, и сливает все ключи большому брату.

если есть пароль, есть механизм его смены при компрометации, если у вас ключ, который выдает некий УЦ его замена всегда будет бюрократической операцией на несколько дней, за это время можно успеть сделать все грязные дела. Кроме того, я тут заметил, что все сервисы с 2FA выдают всякие пожизненные фразы для восстановления. Вот вы ручаетесь, что они эти фразы не хранят у себя? Если я себе эти фразу куда-то запишу, ведь запомнить их нереально, чем это будет совершеннее простого пароля в текстовом файле? Вобщем, как всегда повесточная показуха что-бы запудрить мозги тем кто не разбирается, и манипулятивно подставить добившись обратного эффекта. Именно поэтому у фошистов сейчас на включение 2FA принудиловка.

а если я ваш ключ возьму ненадолго и себе на такой же ключ скопирую скрытным для вас образом?

А как долго длится копирование?

Исчезновение аппаратного токена можно заметить?

«Ты ничего не панимаешь»(C), зловещий АНБ’шник уже сидит в твоём крипто, и сливает все ключи большому брату.

А как быть с полностью открытыми реализациями?

ключевое тут то, что его можно использовать без вашего физического присутствия, остальное это ньюансы: можно подрезать в аэропорту, можно украсть и вернуть, можно украсть и не вернуть, но успеть все провернуть пока вы судрожно осознаете суть. Можно оргабить и в независимости от вашего упорства воспользоваться им и провернуть все требуемые операции.

если есть пароль, есть механизм его смены при компрометации, если у вас ключ, который выдает некий УЦ его замена всегда будет бюрократической операцией на несколько дней, за это время можно успеть сделать все грязные дела.

Сколько времени занимает отзыв ключа?

Кроме того, я тут заметил, что все сервисы с 2FA выдают всякие пожизненные фразы для восстановления.

Квантор «Все», для чего он тут?

Вот вы ручаетесь, что они эти фразы не хранят у себя?

Вменяемые хранят хотя бы соленые хэши?

Если я себе эти фразу куда-то запишу, ведь запомнить их нереально, чем это будет совершеннее простого пароля в текстовом файле? Вобщем, как всегда повесточная показуха что-бы запудрить мозги тем кто не разбирается, и манипулятивно подставить добившись обратного эффекта. Именно поэтому у фошистов сейчас на включение 2FA принудиловка.

Жду комментариев в стиле «следователя vadd»:

«Фразу они хранят, а пароль не хранят» и т.д и т.п.

ключевое тут то, что его можно использовать без вашего физического присутствия,

Нужен еще один фактор в зависимости от модели, начиная от парольного пина и до биометрии типа отпечатка, сверяемой самим токеном без участия компа.

остальное это ньюансы: можно подрезать в аэропорту, можно украсть и вернуть, можно украсть и не вернуть, но успеть все провернуть пока вы судрожно осознаете суть. Можно оргабить и в независимости от вашего упорства воспользоваться им и провернуть все требуемые операции.

При аутентификации, сразу же придет сообщение, что какой-то олень пытался зайти с неправильным пином, но с правильным ключом? К сожалению такого пока вроде нет? Зато может прийти сообщение, что кто-то лезет с левого айпи в неправильно время или просто сообщение, что кто-то пытается зайти или даже зашел в ЛК?

Сколько времени занимает отзыв ключа?

если вас посадили в подвал или вы не заметили компрометации, если у вас нет с собой счетов за газ с вашим именем, то сколько угодно, вообще саппорты умеют месяцами морозить и футболить клиентов

«Фразу они хранят, а пароль не хранят» и т.д и т.п.

на пароли есть стандарт «вы не должны хранить пароли в открытом виде», если они делают не так вы приходите к ним с юристами и нагибаете на сотни нефти за халатность, на слова для восстановления ничего такого нет, т.е. у сервиса есть свобода сделать как ему выгодно, а не как правильно

если вас посадили в подвал или вы не заметили компрометации, если у вас нет с собой счетов за газ с вашим именем, то сколько угодно, вообще саппорты умеют месяцами морозить и футболить клиентов

Срок действия сертификата ключа усиленной ЭЦП ограничен обычно 1-3 годами.

Нужен еще один фактор в зависимости от модели, начиная от парольного пина и до биометрии типа отпечатка, сверяемой самим токеном без участия компа.

пинкод это просто наихудший пароль, который подбирается за меньше милисекунды, отпечатки - самый простой способ подделать типа биометрию

Зато может прийти сообщение, что кто-то лезет с левого айпи в неправильно время или просто сообщение, что кто-то пытается зайти или даже зашел в ЛК?

там будет «если это были не вы срочно нажмите кнопку», вы привязанный к батарее, просто не сможете это сделать своевременно

А как быть с полностью открытыми реализациями?

Да какая разница?! Там в коробочке живой АНБ’шник, натуральный.

ну как если вы выложили свой пароль в открытый доступ и еще и предупредили, что эта лафа только на 1-3 года, а потом вы выложите другой пароль

пинкод это просто наихудший пароль, который подбирается за меньше милисекунды, отпечатки - самый простой способ подделать типа биометрию

Самоблокировка после 3-10 неудачных попыток ввода пина?

самоблокировка это в банкоматах/аппках, так или иначе пин - это простейший пароль, который запросто скиммится хоть камерой наблюдения хоть миллионом способов, а пин к файловому ключу это пароль заведомо скомпрометированный

там будет «если это были не вы срочно нажмите кнопку», вы привязанный к батарее, просто не сможете это сделать своевременно

Причем тут батарея, если речь идет о не первом факторе?

Где важно физическое присутствие, ЭЦП его заменить не может, если вы про госов.

Например, осуществлять сделки с недвижимостью, и т.п. операции по ЭЦП можно допускать IMHO только с письменного (лучше обязательно нотариально заверенного) согласия сторон сделки.

Т.е. абсолютно необходима возможность подачи запрета на подобные электронные сделки от заинтересованного владельца собственности, и чтобы снять такой запрет можно было ТОЛЬКО при личном визите. Тоже самое необходимо сделать относительно возможности взятия кредитов.

Где важно физическое присутствие, ЭЦП его заменить не может, если вы про госов.

Например, осуществлять сделки с недвижимостью, и т.п. операции по ЭЦП можно допускать IMHO только с письменного (лучше обязательно нотариально заверенного) согласия сторон сделки.

Нет, вы можете (пока еще) запретить сделки с недвигой без вашего физического присутствия, но они не запрещены «по умолчанию», для этого необходимо во-первых знать, что их можно запретить, во-вторых дойти до мфц или типа того. При том, что это исключение, в остальных случаях такой мазы фактически не существует и все можно сделать без физического присутствия и даже без паролей из вашей головы.

такой запрет можно было ТОЛЬКО при личном визите. Тоже самое необходимо сделать относительно возможности взятия кредитов

а как личное присутствие подтверждается? авторитетом нотариуса, который может точно также как и мошенники нарубить дел и свалить в другую страну?

кстати, «физическое присутствие» и пароль вводимый из вашей головы это не совсем одно и то же. Пароль просто может никто не знать и вы можете его так или иначе не сказать. А вот любой чухан похожий на вас, который предъявляет паспорт похожий на ваш сотруднице которую взяли месяц назад и через месяц уволят это тот же password.txt но уже в сфере социальной инженерии кмк.

Нет, вы можете (пока еще) запретить сделки с недвигой без вашего физического присутствия, но они не запрещены «по умолчанию», для этого необходимо во-первых знать, что их можно запретить, во-вторых дойти до мфц или типа того. При том, что это исключение, в остальных случаях такой мазы фактически не существует и все можно сделать без физического присутствия и даже без паролей из вашей головы.

Для важных действий, которые могут повлиять на судьбу человека IMHO абсолютно необходимо по умолчанию устанавливать возможность управления по ЭЦП в отключенное состояние.

Я не спец по офлайн аутентификации, но IMHO нотариат и простая письменная форма существует намного дольше ЭЦП. Для их проверки существуют как минимум свидетели, отработанный процессуальный кодекс, сейчас уже сеть видеокамер, которыми утыканы современные города и т.п.

И ничто не мешает затребовать при осуществлении действия дополнительно ЭЦП и при нотариально или простой письменной форме, но ТОЛЬКО в качестве ВТОРОГО фактора, т.е. что бы оба условия были необходимыми и ЭЦП и личное присутствие с собственно ручной подписью. Аналогично тому, как например, в Сбере при личном визите некоторые операции подтверждают их же картой с чипом.

с аппаратными ключами, кстати, был реальный прецедент когда мошенники не привлекая внимания полгода ходили в сеть ЦБ РФ используя ключ какого-то однодневного банка и клепали поручения в свою пользу пока не успели наворовать на какие-то космические суммы ну и счастливо свалить конечно же

Для важных действий, которые могут повлиять на судьбу человека IMHO абсолютно необходимо по умолчанию устанавливать возможность управления по ЭЦП в отключенное состояние.

ну я понял, что ваше решение - не использовать ключи, я об этом и примерно и объяснял

сейчас уже сеть видеокамер

вы хоть раз видели, что такое изображение с камеры безопасности? а что думаете насчет современных возможностей ИИ подрисовывать лица и что-угодно?

в качестве ВТОРОГО фактора, т.е. что бы оба условия были необходимыми и ЭЦП и личное присутствие с собственно ручной подписью

сразу 5 факторов, что-бы реальный пользователь всегда страдал месяцами переписываясь с поддержкой, а паразиты могли дальше проводить свой жоп сысурити и еще крутить ему рекламу с автоответчика

Для меня наиболее дико сейчас выглядит наличие массы приложений для планшетов типа Android, где почему-то расслабленные условия для аутентификации по сравнению с обычными настольными компами.

Это какой-то олигофрен придумал навязать людям идею, что их смартфоны безопаснее обычных компов? Те и другие по сути являются обычными компами к тому же подключенными к Internet, куда ставится различный custom софт. Без внешнего аппаратного крипто это абсолютно НЕбезопасные девайсы.

Лично меня уже замонал троян на одном из планшетов, сначала мне рассказывали, что это все якобы из-за глючного экрана, потом, когда Qiwi стал сообщать, что устройство зарутовано, теже люди начали говорить, что мне нужно срочно выбросить мой девайс (наверно чтобы не палить их троян?).

сразу 5 факторов, что-бы реальный пользователь всегда страдал месяцами переписываясь с поддержкой, а паразиты могли дальше проводить свой жоп сысурити и еще крутить ему рекламу с автоответчика

По умолчанию только один фактор - личный визит.

А далее хоть 10 факторов по желанию лица и наличию тех. возможности, чтобы лицо при личном визите само могло выбрать необходимый для него набор факторов, возможно с какими-то ограничениями, когда некоторые факторы обязательны.

Лично я бы предпочел, чтобы в мой ЛК госуслуг можно было зайти только при соблюдении одновременно следующих условий:

1. Логин и пароль
2. Код подтверждения из моего e-mail
3. Скрэтч код с офлайн карточки одноразовых кодов как в Авангарде
4. U2F/FIDO2
5. SMS

Если хоть один фактор отсутствует, то сразу чтобы отправляло к ним пати вэн слало мне e-mail и SMS, что кто-то лезет в мою учетку.

Даже ЭЦП тут лишняя, если только просто для входа в ЛК (а не для подтверждения действия/операции), но можно было бы включить при желании еще 6-ым фактором даже для входа.

«личный визит» это просто ответственность третьих лиц среди которых тоже могут быть преступники, остальные варианты не сильнее пароля из головы и подделываются, ну и уже 2 фактора или даже 1 плохо сделанный чаще доставляют проблем самим подлинным пользователям, а не взломщикам

«личный визит» это просто ответственность третьих лиц среди которых тоже могут быть преступники,

Тысячу+ лет (если верить учебникам) жили с личными визитами? Какие еще варианты?

остальные варианты не сильнее пароля из головы и подделываются,

Какая адовая ахинея. Пароль украсть НАМНОГО проще, чем аппаратный ключ, и остальные перечисленные мной факторы.

ну и уже 2 фактора или даже 1 плохо сделанный чаще доставляют проблем самим подлинным пользователям, а не взломщикам

Так трудно понять, что я предлагаю самому лицу выбирать тот набор факторов, который будет ему «доставлять» ?

если слишком часто проходить аутентификации это может стать уязвимой точкой, например вам подделают аутентификационный диалог и получат реальные доступы

если слишком часто проходить аутентификации это может стать уязвимой точкой, например вам подделают аутентификационный диалог и получат реальные доступы

Подделают U2F/FIDO2?

Вы обратитесь хотя бы к консультанту или репетитору (если у вас хватит денег на это), чтобы он вам объяснил, сколько стоит подделка каждого из перечисленных мной факторов хотя бы по отдельности, даже боюсь представить сколько получится итого, особенно, если туда добавить еще и фактор неизвлекаемого ключа PKCS11.

Тысячу+ лет (если верить учебникам) жили с личными визитами? Какие еще варианты?

в наивном веке преступность была менее развита, гугла же не было даж

Это извечная борьба защиты и средств нападения, правоохранителей и преступности, белого и черного.

IMHO важно не отставать в этой борьбе от темной стороны и не допускать до влияющих на принятия соответствующих решений некомпетентных лиц.

нет никакой борьбы, есть паразитизм безопасников через создание ее видимости

Да и кстати, многофакторная аутентификация - это всего лишь защита от одного из многих других векторов атаки на информационную систему, включая как приложение, так и инфру.

Среди многих других уязвимостей (как компа/инфры пользователя, так и инфры сервиса типа госуслуг и т.п.) можно отметить следующие: неправильная настройка инфры, дырявый софт, проприетарное оборудование с закладками, которыми не факт что будет рулить только белая сторона.

Различные физические в т.ч. удаленные РЭБ атаки на инфру, ведущие к ее сбоях и даже утере хранимых данных. А так же дроны, метеориты, землетрясения и другие форс мажоры., а с учетом якобы существования «климатического» и другого оружия то и вовсе становится очень грустно в плане защиты.

И вероятно сотни других факторов незащищенности, о которых знают только в топовых спецслужбах.

К сожалению, так называемая «бумажная безопасность» IMHO временами очень далека от реалий с угрозами в нынешней ситуации.

Да и кстати, многофакторная аутентификация - это всего лишь защита от одного из многих других векторов атаки на информационную систему, включая как приложение, так и инфру.

Вот представьте себе хорошо бронированную дверь по бокам от которой детсадовские заборчики высотой ниже колена.

IMHO безопасностью должны заниматься узкоспециализированные люди на федеральном уровне в нескольких облаках типа Yandex Cloud, предоставлять свой облачный сервис аутентификации, который использует по желанию клиента любой набор перечисленных мной ранее факторов, т.е. требовать их одновременно для входа.

Но сейчас у Yandex IMHO какая-то жалкая аутентификация по SMS и упоминание облачного HSM вместо локального PKCS11?

IMHO организации типа госуслуг и банков должны предоставить дополнительно к уже имеющимся хотя бы еще один дополнительный фактор облачной аутентификации через Yandex Cloud, который в свою очередь уже должен создать полноценный многофакторный сервис аутентификации не хуже, чем у Google.

И аналогично его основные конкуренты типа Mail.ru, Selectel и т.п., хорошо бы в кооперации с ведущими разработчиками крипты типа КриптоПро и сильными УЦ типа СКБ Контур и НТСофт.

Btw. Google уже давно поддерживает хотя бы U2F токены.

Тогда в банке или госуслугах можно было бы выбрать один или несколько сервисов облачной аутентификации по условиям и/или

Например:

Обязательные факторы родной банковской аутентификации (логин, скрэтч, SMS)

и одновременно

(фактор Yandex 
или 
фактор Mail.ru
)

и одновременно

(фактор Selectel)

Т.е. настройка как антиспам цепочек.

А каждый из облачных аутентификаторов в свою очередь строил бы аналогично (на выбор клиента) свои цепочки (И/ИЛИ) из набора факторов:

    Логин и пароль
    Код подтверждения из моего e-mail
    Скрэтч код с офлайн карточки одноразовых кодов как в Авангарде
    U2F/FIDO2
    SMS
    PKCS11
    ЭЦП    
    Любое количество других крупных федеральных облачных аутентификаторов (т.е. стекирование цепочек разных облачных аутентификаторов)
    и т.д. и т.п. 

Ессно клиент выбирал бы не все одновременно, а строил наиболее подходящие для него цепочки из собственных соображений безопасности. А операторы могли бы предлагать типовые шаблоны наиболее безопасных с их точки зрения цепочек аутентификации.