Комментарии
10
Пользуясь случаем спрошу:
настраивал ли кто хранение ключа пользователя на токене (етокен/рутокен).
1. Возможно-ли записать ключ на токен и использовать его в Putty? Гугл приводит довольно старые мануалы по генерации ключа в расширении Firefox, которое уже не устанавливается.
Задача заключается в препятствии копирования ключа (хотя бы непрофессиональными пользователями)
2. Возможно ли настроить работу так, что при извлечении ключа сессия принудительно разрывалась?
настраивал ли кто хранение ключа пользователя на токене (етокен/рутокен).
1. Возможно-ли записать ключ на токен и использовать его в Putty? Гугл приводит довольно старые мануалы по генерации ключа в расширении Firefox, которое уже не устанавливается.
Задача заключается в препятствии копирования ключа (хотя бы непрофессиональными пользователями)
2. Возможно ли настроить работу так, что при извлечении ключа сессия принудительно разрывалась?
1. Записывал заранее сгенерированный ключ на Рутокен ЭЦП 2.0 по мануалу с их wiki. Можно сгенерировать сразу на ключ. Удалось использовать с клиентом openSSH на macOS и Putty-CAC на Windows, но необходима установка драйверов рутокен.
2. Отключение по извлечению настроить не удалось.
2. Отключение по извлечению настроить не удалось.
Libfido2 генерирует сам ключ, так что ее использование необходимо.Если ключ генерируется в библиотеке, а не в токене, это значит, что отсутствует основная «фишка», это неизвлекаемость ключа.
Кто мешает создать слабый ключ, своровать его резервную копию или перехватить его при записи, если компьютер инфицирован?
Он и не извлекается, но библиотека генерирует другой ключ на основе неизвлекаемого, с которым уже может работать ssh
Заголовок с ЛОРа коприровали?
Нет там никакой "двухфакторной" аутентификации. Просто можно использовать FIDO-девайсы как единственный фактор, т.е. железка становится вашим ссш-ключем.
Двухфакторная аутентификация, это например libpam-google-authenticator или duo. И они с openssh работают уже много лет.
Не согласен. Тут используются 2 фактора — владение железкой и владение ключом как файлом на компьютере. По одиночке они равнозначно бесполезны для входа.
Подозреваю, что можно добавить и третий фактор в виде пароля на ключе
Из описания я понял что в файле просто хранится ID железки?
Судя по этому описанию, в файле содержится нечто большее, чем просто id.
https://www.opennet.ru/opennews/art.shtml?num=51800
Также функция доступна пользователям коммерческого OpenBSD в билде от 01.11.2019.
Да, и шо такое — «коммерческий openbsd»? Дайте два.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
В OpenSSH добавлена двухфакторная аутентификация