Protoze se muzete dostat do situace, kdy ho proste nebudete mit po ruce? ;-) Jo, je to proste o zvazeni rizik... jestli je vetsi problem to, ze system nepojede, dokud se k tomu klici nedostanete, nebo jestli si nechate "zadni vratka" v podobe toho hesla. Sam bych to treba nedelal... ale jak rikam, ruzna prostredi muzou generovat ruzne potreby. A mimoto, jde to parametrizovat i per-user... aneb jde mit ucty, kde se uzivatel jinak nez s klicem neprihlasi a pritom mit ucet, kde i to heslo projde.
Naopak. Pokud se musíš připojit ze zařízení, do kterého nechceš zadávat heslo, myslíš že je bezpečnější k němu připojit flashku s klíčem? Asi těžko, žejo? Pokud ti jde o riziko, že je tam keylogger, vždycky je tam úplně stejné riziko, že tam je kopírka flashek. A jako bonus USBkiller, to by potěšilo určitě ještě mnohem víc. Ideálně kopírka a po jejím doběhnutí výboj do portu s flashkou.
Heslová fráze + 2FA pak může být zcela validní způsob, jak se přihlásit v situaci, kdy s sebou svůj noťas nemáš, ale přesto se připojit musíš. Otázka je, jestli v takové situaci chceš do svojí sítě připojovat cizí zařízení, ale i to se dá snadno řešit, např přístupem přes správcovskou stanici, do které vede jen RDP/VNC (ideálně opět autentizované s 2FA) schované za VPN.
22. 8. 2024, 08:22 editováno autorem komentáře
Pouze to vedete tradicni flame z kategorie "nepotrebuju to ja, takze to nepotrebuje nikdo". Jen teda nevim, proc do OpenSSH teda neposlete patch, co teda PasswordAuthentication zrusi zcela, nebo alespon neposlete patche do distribuci, kdy ve vychozim nastaveni bude ta podpora pro PasswordAuthentication vypnuta. Ono to asi nejake duvody ma, proc i ty defaulty jsou takove jake jsou... mozna zkuste vic premyslet, proc tomu tak je... potazmo zkuste vic premyslet nad tim, proc v nekterych situacich zustava heslo preferovanou volbou. Mozna na neco nakonec prijdete ;-)
Rozhodně to považuju za řádově bezpečnější, než tam zadávat heslo. To, že tam může být nějaký keylogger, by pravděpodobně bylo z pohledu vlastníka počítače omylem či nechtěně. Upravit počítač tak, aby po zalogování hesla poslal výboj do USB portu, by musel být záměr vlastníka počítače.
Pravděpodobnost, že počítač známého, na jiné pobočce firmy, u zákazníka, v hotelu… bude vybaven takovýmto zařízením, je extrémně nízká. Takže já bych to risknul. Zadávat heslo bych neriskoval.
Navíc bych tam stejně musel připojovat vlastní flash disk s SSH klientem (resp. ideálně s vlastním obrazem OS).
Pokud se tolik bojíte elektrického výboje, pořiďte si k tomu ještě nějaký USB hub s přepěťovou ochranou. Ale tipoval bych, že taková přepěťová ochrana bude dražší, než nový YubiKey klíč.
ocividne podivne vyhodnocujete rizika.
- heslo + 2FA, riesi nepravdepodobny problem, ze na stroji kde sa prihlasujem je nieco nevhodne.
- pouzivanie USB na cudzich zariadeniach rozhodne nie je bezproblemova aktivita. Skor by som povedal, ze sanca, ze s tym bude opruz je radovo vyssia ako, ze tam bude keylogger.
A to ani nehovorim o tom, ze akykolvek fyzicky nosic je otravna zalezitost, ktoru mozem stratit ci inak o to prist / pri cestovani cez Peking by som sa obaval duplikacie / etc ...
ocividne podivne vyhodnocujete rizika.
Ano, vyhodnocuju je ve vztahu k reálnému světu.
heslo + 2FA, riesi nepravdepodobny problem, ze na stroji kde sa prihlasujem je nieco nevhodne
Ne, neřeší. Dvoufaktorová autentizace je bezpečná tím, že je dvoufaktorová. Když z toho jeden faktor odstraníte (zveřejníte heslo), zbyde vám pouze jednofaktorová autentizace.
pouzivanie USB na cudzich zariadeniach rozhodne nie je bezproblemova aktivita. Skor by som povedal, ze sanca, ze s tym bude opruz je radovo vyssia ako, ze tam bude keylogger
Velice málo kdy se potkám s nějakým problémem.
A to ani nehovorim o tom, ze akykolvek fyzicky nosic je otravna zalezitost, ktoru mozem stratit ci inak o to prist / pri cestovani cez Peking by som sa obaval duplikacie / etc ...
Úplně stejně máte na nějakém fyzickém nosiči heslo. Token s klíčem jen tak nezduplikuje ani Čína. A pokud byste byl tak zajímavý cíl, že budou řešit něco takhle nákladného, dostanou se i k tomu uloženému heslu.
sudo
nebo třeba přihlášení na konzoli. Používat stejné heslo i pro vzdálené přihlášení vypadá na první pohled nejlogičtěji. I když každodenní používání SSH klíče je jednodušší, vyžaduje to nějaké prvotní úsilí.No možno som hlúpejší ako syn dedinského idiota a televíznej rosničky ale:
Práce z cizího zařízení.
Nebol by práve pre toto prípad lepší HW token s kľúčom?
Nemožnost vynucení politiky hesel/vícefaktorového ověření.
A u hesla ako poznáme, že ho užívateľ nemá v plaitexte nad disku?
Alebo máte na mysli nejaký iný druh autentizácie mimo hesiel?
Pohodlí.
OK toto celkom chápem. BTW nie je tak ťažké mať login či sudo na dotyk HW U2F tokenu.
> Nebol by práve pre toto prípad lepší HW token s kľúčom?
Bylo a v budoucnu to zřejmě půjde snadno s tokeny U2F. Jejich podpora ale byla zavedena v OpenSSH 8.2 a to je pro všechny možné CentOSy a old-old-stable Debiany příliš nová verze, než aby se na takové tokeny dalo spolehnout jako na univerzální klíče. Všechny ostatní typy tokenů vyžadují netriviální úsilí ke zprovoznění v cizím počítači, takže tudy cesta rozhodně nevede.
> A u hesla ako poznáme, že ho užívateľ nemá v plaitexte nad disku?
Nijak, ale to "bezpečnostním auditorům" nevadí. Oni si prostě potřebují odškrtnout, že heslo má minimálně 14 znaků, obsahuje velká písmena, malá písmena, číslice a speciální znaky a mění se každé tři měsíce. Že si pak někdo nalepí aktuální heslo na monitor už není jejich starost.
> BTW nie je tak ťažké mať login či sudo na dotyk HW U2F tokenu.
I při vzdáleném přihlášení přes SSH? To by bylo skvělé, kdyby to nějak šlo. Ale co vím, tak nejčastější řešení je SSH klíčem na uživatelský účet a následně sudo heslem na účet root.
O certifikátech jsem psal před třinácti lety. Od té doby se toho moc nezměnilo, podpora mimo OpenSSH je prakticky neexistující (zkuste si třeba přidat SSH certifikát do GitHubu nebo Gitlabu).
Že by tedy klíče byly zastaralé, to je celkem odvážné tvrzení.
Umí něco podobného. Přes PAM modul.
https://github.com/google/google-authenticator-libpam