#2fa #webauthn #nitrokey #uibykey
@3draven

У меня тоже пока нет ясной и непротиворечивой картины менеджмента всех паролей.

Секреты не должны покидать хардварных ключей, этим хард-токены и хороши.

Но делая бэкап, ты нивелируешь это преимущество. Так как бэкап надо хранить, шифровать, и от шифра хранить ключи. Ведь для бэкапов ключи не помнятся из-за редкого использования.

Пример непокидания закрытого ключа с хардвар-токена:
- OTP
- Challenge response
- PGP
- SSH
- FIDO

Вот это всё умеет Nitrokey 3a.

Для копи-паст паролей нужен клиент "последней мили", который сохранит пароль, а потом в браузер удобно вставит. Bitwarden для этого отлично подходит, со своей кучей клиентского софта и бравзер-плагинами.

Чем защищать битварден? С учётом того, что это концентрат секретов, которые могут утечь. Ведь база на клиентском устройстве часто в расшифрованом виде. Добавим несовершенство изоляции на как на уровне ОС, так и дырявые процы. Выходит, что одного пароля, который хранится в удобном для похищения месте, НЕДОСТАТОЧНО.

Возьмем, Google-аккаунт, угон которого может парализовать жизнь некриптошизы.

Копи-паст пароля, который хранится в btwd, недостаточно. Хорошим вторым, да и первым фактором служит как раз хардварный токен (FIDO/WebauthN), или изолированный OTP, который ни разу не подключался к инету.

Тогда и пароль не нужен с логином. WebAuthN отличный и первый и второй фактор. Но сервисы за более чем два или три года развития этого стандарта так и не научились его использовать. Кроме MS с их hello.

Вернёмся к реальности, в которой копи-паст пароли популярны, хранятся в btwd, но бесполезны без 2FA. Зачем они тогда сложные? Почему не использовать "единый и универсальный пароль".

А самое главное, что делать с хард-токеном в одном единственном экземпляре. Иметь два токена? Бэкапить, но порождать проблемы хранения бэкапов?