Ключи от города, ключи от машины, ключи от сайта

[phd_ru]

Браузеры в Linux не поддерживают passkeys, только с аппаратным ключом. А отдавать свои ключи Гуглю в Андроиде я не хочу.

Нашёлся, однако, менеджер паролей, который умеет пароли, OTP, passkeys, и интегрируется с браузерами через установку в них расширения. Программа KeePassXC, расширение KeePassXC-Browser. Программа и расширение свободные, не облачные, всё локально.

Для работы с passkeys требуется версия KeePassXC 2.7.7, а в Debian sta(b)le только 2.7.4. Пришлось скачать AppImage версия 2.7.9, он хорошо работает. До обновления Debian буду пользоваться AppImage.

Для работы надо включить в настройках программы и расширения поддержку passkeys, и выключить в расширении fallback — аппаратных ключей у меня не предвидится.

Зашёл на GitHub по OTP, завёл passkey. Ключ сохранился в KeePassXC. Вышел, зашёл по passkey. Работает.

Единственно, чего я не понимаю — чем OTP лучше или хуже passkeys. С точки зрения (не)удобства совершенно одинаково. А с точки зрения безопасности — я пока не понял.

X-Post в ЖЖ.

Comments

[amarao]

Пока оно всё в памяти компьютера - ничем не отличается.

Разница (в т.ч. в удобстве) появляется после начала использования аппаратных токенов (типа Yubikey). OTP надо копировать, а у токена только "потрогать" и ввести пин (если настроил).

[phd_ru]

Понял, спасибо! Аппаратные токены у меня не предвидятся, а интеграция с браузером позволяет вводить что OTP, что passkeys в 1 касание. Ну в 3 — нажать кнопочку в браузере, авторизовать ключ/код в приложении, вернуться в браузер.

[vitus_wagner]

Вот не люблю keepassxc. Причем исключительно за внешний вид. У него очень неэффективное использование ценного экранного простраства. Поэтому пользуюсь keepass2, который выглядит конечно уродски, как и любоее поделие на mono, зато у него на экране кнопкам и иконкам тесно, а данным - просторно.

Пошел смотреть на его обновления и выяснил что OTP туда уже тоже прикрутили. Причем в backports оно уже есть. А вот PassKeys еще нет. Тут KeePassXC опережает.

Вот теперь буду думать, а надо ли мне мои OTP уносить из отдельного otpclient-а в общую базу паролей. Повысит это безопасность или познизит. Удобство-то повысит, поскольку не придется долго рытья в менюшках в поисках otpclient. keepass2 у меня на тулбаре, пользуюсь по нескольку раз в день, а otp - раз в месяц, наверное.

[phd_ru]

> Вот не люблю keepassxc. Причем исключительно за внешний вид.

Угу, я тоже. Вообще все программы, написанные на Qt ненавижу за внешний вид.

> keepass2

Мне нужна интеграция с браузером. Чтобы passkeys ловил и отдавал.

> долго рытья в менюшках в поисках otpclient

Я в командной строке вызываю otpclient-cli. Из скрипта с правильными параметрами.

[vitus_wagner]

Не, у otpclient-cli интерфейс мне тоже не понравился. Настолько, что проще по-мому написать свое на питоне используя pyotp, чем пытаться добиться удобства от этого убожесства.

[phd_ru]

Я это делаю скриптом на shell:

$ ~/admin/prog/otpcli github
Type the DB decryption password: 
Current TOTP (valid for 26 more second(s)): 074024

[amarao]

Я видел интеграции (не помню чего/кого, возможно, 1password), которые, при разлоченном мастер-ключе, вводили otp по нажатию кнопки, прямо в браузере.

В целом, это карго-культ, если все секреты на одном и том же диске лежат. Частично спасает ввод мастер-ключа, но очень частично.

[phd_ru]

Я не люблю 2FA/MFA, для меня в них больше проблем, чем безопасности. И когда 2FA требуется принудительно — Ok, вот вам моя имитация.