Theo mình hiểu cơ bản là SSH qua authen là Yubi key ( private key ). Đúng k hen
khoe Yubikey ... tèo
Trang 3/5
mình hay ghẹo vậy thôi đừng sensitiveCơ bản ý bạn đúng hết ah. dev qu. èn như mình n ợ ng An hàng sml có mé o j đâu.
Nhưng cái gọi là “nỗi sợ tâm l ý @m @nh” thì … nó k cho mình tin cái j hết
, thật ra con ybk hay, m tốn 2-3 năm mới tận dụng dc nó hiệu quả. Tui bth mà. Ngu thì học hỏi mọi ng thôimình hay ghẹo vậy thôi đừng sensitive
Cơ bản nhất , thì SSH authen luôn cần : private và publickey, host giữ private, client muốn connect giữ publickey. Đây là làm thủ công.
Như này là làm thủ công
Còn muốn automate , client tự generate public key dựa theo private key , thì phải setup PKI bao gồm: CA, CSR . Setup tay hơi chua, nên sẽ dùng 1 thằng như smallstep để làm.
Hoặc dùng HCP KeyVault để automate cũng đc nhưng khó hơn smallstep.
SSH nên dùng thẳng ed25519 encryption vì nó support native FIDO2, có nghĩa là support ybk từ trong trứng nước, bỏ qua mấy thằng encryption cũ đi , chỉ dùng ed25519 cho tất cả từ github , ssh , abc các thứ
Lưu ý là nếu dùng ybk nó sẽ bắt confirm mỗi lần login rất khó chịu , vì ko viết script dc nếu cứ bắt confirm như thế
Nên ta sẽ dùng -O resident -O no-touch-required khi tạo keygen với ybk
Hoặc dùng 1 thứ thần thánh hơn nếu cho môi trường chuyên nghiệp , là ssh-agent , lưu key trong ram, restart server clear key
Reactions:
SoulEvilX
Nói thêm về vụ gắn chết ybk vào máy , 
Thật ra ý tưởng này là cho con ybk này , 1 khi ko có gì ngoài tiền thì ... YubiHSM 2 FIPS v2.2 | Hardware Security Module | USB-A (https://www.yubico.com/sg/product/yubihsm-2-series/yubihsm-2-fips/)
Cắm bên trong máy ( máy có hỗ trợ hsm module) , là login thần ko biết quỷ ko hay luôn, mọi thứ đều hoàn hảo trừ giá
Thật ra ý tưởng này là cho con ybk này , 1 khi ko có gì ngoài tiền thì ... YubiHSM 2 FIPS v2.2 | Hardware Security Module | USB-A (https://www.yubico.com/sg/product/yubihsm-2-series/yubihsm-2-fips/)
Cắm bên trong máy ( máy có hỗ trợ hsm module) , là login thần ko biết quỷ ko hay luôn, mọi thứ đều hoàn hảo trừ giá
somehow tui vẫn “dị ứng” gắn chết vào máy quá. ai đó đi ngang chôm đcNói thêm về vụ gắn chết ybk vào máy ,
Thật ra ý tưởng này là cho con ybk này , 1 khi ko có gì ngoài tiền thì ... YubiHSM 2 FIPS v2.2 | Hardware Security Module | USB-A (https://www.yubico.com/sg/product/yubihsm-2-series/yubihsm-2-fips/)
Cắm bên trong máy ( máy có hỗ trợ hsm module) , là login thần ko biết quỷ ko hay luôn, mọi thứ đều hoàn hảo trừ giá
Cũng có thể, ở vn khó nói vì nhiều thành phần ngứa tay. Trừ việc đó ra thì cảm giác sờ sờ cạnh laptop để login thích vlsomehow tui vẫn “dị ứng” gắn chết vào máy quá. ai đó đi ngang chôm đc
Reactions:
thaigiang and SoulEvilX
K liên quan ý này nhưng cho tui quote cho tiện.Cũng có thể, ở vn khó nói vì nhiều thành phần ngứa tay. Trừ việc đó ra thì cảm giác sờ sờ cạnh laptop để login thích vl
View attachment 2745206
Passwordless : Hiện tại tui có xài. @live . Login chỉ cần approve bằng app Authenticate của MS trên phone ( check FaceID ).
Không nói góc độ kĩ thuật cao siêu. Tuy nhiên
- Nếu bạn bị "khống chế" hoặc bị attack vào con phone - mất hoàn toàn quyền kiểm soát. Vậy nghĩa là họ easily login được acc bạn rồi !
Do đó góc độ nào đó tiện thì có NHƯNG RISK QUÁ !!!
Nguyên tắc tui là TRUST NO ONE EVEN MYSELF
- Password lần 1 : Bản thân password phải đủ dài ; khó nhớ ( kiểu thuộc lòng - mà chỉ nhớ kiểu nguyên tắc ). Như vậy nếu tui có bị ép buộc thì tâm lý lúc đó sẽ khiến tui KHÔNG THỂ NHỚ . ( tâm lý lúc hoảng loạng )
- 3 physical keys : Đảm bảo việc sở hữu các keys vật lý để nếu password #1 somehow bị leak ra thì đây sẽ là layer bảo vệ tiếp theo. Vật lý nghĩa là nó luôn nằm bên mình ( hoặc tách chúng nó ra 3 nơi ; khi cần thì tới từng nơi lấy sau đó trả về lại chỗ cũ ).
- Bio cho từng key : Nó cũng giống 1 phần việc đặt pass. Nếu ta hoảng loạng ta sẽ k thể nhớ key nào dùng bio nào. Key #1 dùng ngón tay nào hay mống mắt v..v.
- FaceID : Đảm bảo đứa đang login là tui
- Và voice : Đảm bảo đứa đó cũng chính xác là tui
v..v
- Finally authen = "random password" .Một cái last check để đảm bảo chính ta là ta và tỉnh táo ( chứ k thì sao nhớ rule mà nhẩm gen ra pass )
An toàn. Tất nhiên cái giá phải trả CỰC KÌ PHIỀN HÀ. Nhưng 1 là mở cửa mời trộm; 2 là xây rào sắt kín bưng. Ta nên chọn cái nào.
Có 2 chỗ bạn đang hiểu sai:
1. Passwordless ko hẳn là phải dùng authenticator, có thể dùng fido2, passkey cũng được
- Nếu bạn bị "khống chế" hoặc bị attack vào con phone: khống chế ở đây là kề dao vào cổ à ? nếu thế tài khoản ngân hàng mình cũng đưa chứ nói gì tài khoản khác
, còn attack gìđó vào phone thì cũng cần phải có fingerprint/ pin của phone thì mới vào dc authenticator.2. FaceID, fingerprint chỉ là method để login nhanh như m đã nói, nó ko bao giờ là 1 factor để xác thực. Vì 2 thằng này ko đồng nhất, ko làm factor dc
Ví dụ bạn có 1 tài khoản, và 5 thiết bị, thì để login = face, bạn sẽ setup 5 face riêng trên cả 5 thiết bị đấy, và dc lưu trên thiết bị , cả 5 thiết bị này chỉ biết tới faceid dc cài trên nó, hoàn toàn độc lập với nhau. Fingerprint cũng thế.
Nói tiếp về vụ password nhé. M hiện đang manage khoảng 300+ users, và m tốn 2 năm để educate users về passwordless. Cụ thể mình nhồi vào đầu user là :
- Éo có password, Nếu mày có password, mày là security risk của công ty ( hơi extreme nhưng thế mới nhồi vào đầu user nhanh được)
- User hỏi: tao quên password, m trả lời : làm éo gì có pass mà quên.
Dĩ nhiên để làm như thế, m phải setup 1 thời gian khá lâu để hoàn thiện:
- Email: ko pass
- Wifi: ko pass
- VPN: ko pass
- Systems A,B,C: ko pass ( ok này chưa làm dc hoàn toàn nhưng in the progress, vì nhiều legacy systems quá
- Login vào computer thì dùng PIN, thay vì dùng password ( PIN và Password khác nhau)
Thế giới security khác với dev ở chỗ: Bạn ko cần thông minh, chỉ cần ... ngoan là đc. Cứ practice theo security standard, bạn sẽ an toàn.
Reactions:
SoulEvilX
Rất cám ơn bạn nhé.
Tuy nhiên khúc này bạn hiểu sai ý mình. Maybe do mình dùng từ sai.
Passwordless ý mình là dùng 1 "cái gì đó" để approve. Ví dụ như passkey bạn nói . Trên phone với MS mình xài MS Authenticator ( nên chắc vì vậy mình xài từ Authen sai ). Khi login k cần pass chỉ cần submit và approve trên app.
Hay dùng Windows / iCloud làm passkey. Login chỉ cần nhập pass / Face ID của máy là nó approve.
Again sorry mình diễn giải sai.
Agree . Cái bạn nói khống chế đúng như mình nói.- Nếu bạn bị "khống chế" hoặc bị attack vào con phone: khống chế ở đây là kề dao vào cổ à ? nếu thế tài khoản ngân hàng mình cũng đưa chứ nói gì tài khoản khác
- Tuy nhiên nếu CHÍNH BẢN THÂN BẢN CŨNG KHÔNG THỂ NHỚ PASSWORD thì làm sao đưa ???
Khi đó bạn rất hoảng loạng.
- Finger / Pin v..v. mấy cái này họ cướp được / chôm được / break được - dù không dễ
Bỏ qua yếu tố chính trị. Mình chỉ nói dưới góc độ "an toàn".
Nếu bạn được "mời" lên đồn CA - họ bắt bạn login gmail. Không làm thì bị quánh sml. Mà làm thì cũng banh xác.
Nên lúc này yếu tố : CHÍNH TUI CŨNG KHÔNG THỂ LÀM ĐƯỢC là cần thiết.
Tui vẫn hợp tác đó thôi. Nhưng không thể. Voice có sự run sợ là thứ không thể control.
Nhớ đọc đâu đó việc chia các factor là
- Những gì người dùng biết (thường là mật khẩu - password)
- Những gì người dùng có (mã thông báo bảo mật - security token)
- Những gì duy nhất thuộc về người dùng (xác minh sinh trắc học, như dấu vân tay hoặc quét khuôn mặt - biometric verification)
Tụ chung cái ý chính của mình là
Bạn sẽ safety nếu chính bạn cũng không thể login NẾU
- Bạn không bình tĩnh
- Bạn không nhớ nguyên tắc
- Bạn không lành lặn ( bị chặt ngón tay lấy xài finger )
- Bạn không bị khống chế : Nếu voice bạn có vẻ đang run / lo sợ thì cũng sẽ là false
Tất cả các yếu tố này không ( hoặc khó break ) bằng technical.
Có lẽ mình hiểu k đúng technical của security ở việc này ?
PS:// tiện lợi / thuận tiện là cái mình ..... vứt bỏ đầu tiên khi đụng tới security.
Passwordless Theo mình hiểuít nhiều gìđó sẽ cần 1 thứđể approve. Thứ đó có thể được protect bởi PIN / Faceid .Nói tiếp về vụ password nhé. M hiện đang manage khoảng 300+ users, và m tốn 2 năm để educate users về passwordless. Cụ thể mình nhồi vào đầu user là :
- Éo có password, Nếu mày có password, mày là security risk của công ty
- User hỏi: tao quên password, m trả lời : làm éo gì có pass mà quên.
- Thiết bị vật lý đó : Có thể bị cướp
- Face có thể bị cưỡng ép
- PIN : Có thể bị tra khảo
Nếu vậy đâu thật sự 100% secure nữa. Dù agree nó tốt hơn là password.
Tuy nhiên nếu như cái mình nói trên
- Uh bạn cướp được thiết bị vật lý đó . Bạn cướp được thứ tự xài đó.
- Bạn có thể ép mình show face ra check
- PIN v..v. bạn có thể bắt mình khai ra hết .
NHƯNG
- Nếu voice mình không bình thường ; Lo sợ hãi . Thì false
- Nếu face mình có vết đánh thì false
- Nếu mình vì quá sợ mà quên luôn nguyên tắc generate password . Thì false
Nhưng thứ này hoàn toàn không thể cướp vì nó thuộc về tâm lý, và cơ thể mình.
Ví dụ như 1 căn nhà , bạn sẽ dùng chìa khoá để mở cửa ra vào, rồi vào phòng mình lại dùng 1 chìa khoá để mở cửa tiếp.
Nếu bạn dùng password thay vì cái key trên , mỗi ngày ra vào phòng rồi ra/vào nhà là mỗi lần gõ pass.
Cụ thể hơn , nếu hàng ngày bạn cần login vào 10-20 server = password, bạn sẽ làm như nào ?
- 20 servers đó có thể là 20 pass giống hoặc khác nhau
- Theo good practice, thì cứ 60 ngày đổi pass 1 lần
, nó là best practice.Ok , Nếu bạn hướng tới 100% security thì có thể đúng. Mình ko hướng 100% vì điều đó là ko thể.
Mình hướng tới : security cao nhất có thể , nhưng vẫn bảo đảm workflow sử dụng hàng ngày dễ dàng
Nếu bị cướp kề dao vào cổ , nói thật nó bảo tụt quần buscu chắc mình cũng làm , nói gì đưa mấy account
Lỡ nó đành vào mông thì xao?
Nếu nói tao quên pass, cứ mỗi lần quên lại bị nắc 1 phát , nắc đến khi nào nhớ pass thì xao
Reactions:
pham tuan binh, thaigiang, .bingo. and 1 other person
Có những thứ chính ta có muốn cũng k thể khi mà tâm lý hoảng loạng .Nếu nói tao quên pass, cứ mỗi lần quên lại bị nắc 1 phát , nắc đến khi nào nhớ pass thì xao
Đúng k ta ?Chưa kể nắc đau quá ta khóc => voice bị tác động :v
Yah cái này chút khác với bạn. Với mình dễ = unsecure. Chưa kể dễ = user không có knowledge = die.
Sorry
Anyways thanks bạn nhiều. Có vài thứ hay nhờ bạn mình vọc thêm.Ví dụ như 1 căn nhà , bạn sẽ dùng chìa khoá để mở cửa ra vào, rồi vào phòng mình lại dùng 1 chìa khoá để mở cửa tiếp.
Nếu bạn dùng password thay vì cái key trên , mỗi ngày ra vào phòng rồi ra/vào nhà là mỗi lần gõ pass.
Cụ thể hơn , nếu hàng ngày bạn cần login vào 10-20 server = password, bạn sẽ làm như nào ?
Ở cấp độ quản lí , thì nhân lên số nhân viên , bạn sẽ ko muốn quản lí = pass nữa mà sẽ là tín đồ của certificate
- 20 servers đó có thể là 20 pass giống hoặc khác nhau
- Theo good practice, thì cứ 60 ngày đổi pass 1 lần
Ok , Nếu bạn hướng tới 100% security thì có thể đúng. Mình ko hướng 100% vì điều đó là ko thể.
Mình hướng tới : security cao nhất có thể , nhưng vẫn bảo đảm workflow sử dụng hàng ngày dễ dàng
Nếu bị cướp kề dao vào cổ , nói thật nó bảo tụt quần buscu chắc mình cũng làm , nói gì đưa mấy account
Lỡ nó đành vào mông thì xao?
Nếu nói tao quên pass, cứ mỗi lần quên lại bị nắc 1 phát , nắc đến khi nào nhớ pass thì xao
Với mình thì :Có những thứ chính ta có muốn cũng k thể khi mà tâm lý hoảng loạng .
Chưa kể nắc đau quá ta khóc => voice bị tác động :v
Yah cái này chút khác với bạn. Với mình dễ = unsecure. Chưa kể dễ = user không có knowledge = die.
Sorry
Dễ sử dụng + good security = khó setup
User ko có kiến thức : thì đừng cho user làm , đẩy hết cho IT làm.
1 ví dụ, như vpn setup chẳng hạn:
về mặt setup, nó cũng khá nhiêu khê, nhưng đáng setup, nó dư tiêu chuẩn MFA ( passkey + corporate device + SSL Ceritificate từ ZeroSSL) đằng sau 1 click đấy
Reactions:
SoulEvilX
Reactions:
nnkjsc
hỏi ko phải nhà quê chứ làm sao để react post này vậy
, sao account m ko react dc , tính thả tym.Mình nghĩ bạn hơi cực đoan quá rồi.
Bạn secure 100% cá nhân nhưng bạn có đảm bảo các dịch vụ mà bạn sử dụng cũng 100% secure hay không?
Reactions:
SoulEvilX
Yah nhưng cái nào mình làm đc thì mình sẽ ráng làm tốt ? Còn out of control rùi thì ...thua.
Có bác nào thử cái này chưa nhỉ: