Lohengrin hat geschrieben: 28.11.2018 17:17:56
Mal die grundsätzliche Frage.
Wozu überhaupt ein Passwort, wenn der Computer das sich merken soll? Man kann auch Schlüssel ohne Passwort erstellen.
[...]
Sehe ich genauso.
Das gilt auch für alle möglichen anderen Passwörter. Je öfter man ein Passwort eingeben muss, desto größer ist die Chance, dass es ausgespäht wird. Was man modular machen kann, sollte man modular machen.
Daher ist bei mir die cache TTL nur auf 10min gesetzt. Das erspart ständiges eingeben wenn ich mich z.b. kurz hintereinander an mehreren systemen per ssh anmelde oder den firefox gerade neu gestartet habe und einige Logins aus dem password-store auslesen lassen muss.
Wenn ich von meinem PC oder Laptop am Arbeitsplatz aufstehe, sperre ich meine Session grundsätzlich per "pause/break"-Taste. Zum Entsperren (und auch Login) ist a) mein Userpasswort und b) der yubikey für challange-response-auth. (pam modul) erforderlich. Ohne yubikey ist selbst mit Ausgespähtem Passwort kein Login möglich, und wenn ich ausser Sichtweite gehe, ziehe ich den key ab (hängt an meinem Schlüsselbund den ich dann i.d.r. sowieso brauche); ist also immer am Mann.
Der Zugriff auf einen der beiden slots für 2FA am yubikey unterbricht automatisch den zugriff auf die gpg-keys (gpg-agent verliert die Verbindung zur Smartcard). Somit _muss_ nach dem anmelden/entsperren erneut das Passwort eingegeben werden sobald einer der keys benötigt wird.
Mein Signaturkey fordert _IMMER_ das Passwort. Alternativ kann man auch einrichten, dass der yubikey (zusätzlich) kurz berührt werden muss. Hintergrund: Die Signatur ist wie eine Unterschrift; so will ich das auch Handhaben und eine bewusste Aktion ausführen müssen. Nur damit ist eine Mail oder ein commit von mir wirklich Signiert.
Das kann jeder natürlich mehr oder weniger strikt einrichten und handhaben - auch komplett ohne Passwörter. Welchen Sinn das dann noch hat sei mal dahingestellt... Bei mir hängen praktisch sämtliche Serverlogins und alle meine verschlüsselten Zugangsdaten von den GPG-Keys ab (= knapp 100 logins, die meisten mit 20-30 stelligen Zufallspasswörtern; unmöglich sich auch nur eins davon zu merken...). Entsprechend paranoid gehe ich auch damit und mit deren Passwörtern um...
Entscheidend ist IMHO, dass wenn man eine smartcard/yubikey nutzt, man auch das handling der keys immer/überall auf mindestens 2FA auslegt - ein Angreifer muss also immer mindestens den yubikey UND das/die Passwörter dafür besitzen um was damit anfangen zu können (oder userpasswort + yubikey). Hat man den key grundsätzlich immer bei sich (Schlüsselbund) wird das schon erheblich erschwert bzw fällt sofort auf.
Ausspähen von Passworteingaben kann man z.B. durch "fakeanschläge" erschweren (für PIN-eingaben an Nummernfeldern sehr praktikabel und einfach anzugewöhnen!), oder man nutzt kein qwerty-layout (das sowieso eine ergonomische katastrophe ist...). Ich werkel mit einem _extrem_ modifizierten dvorak layout - praktisch unmöglich für jemanden da was zu erkennen, erst recht wenn man auch noch etliche Sonderzeichen aus mehreren ebenen (shift, ctrl, alt, meta, super und Kombinationen davon) im Passwort verwendet
ingo2 hat geschrieben: 28.11.2018 17:12:34
Da brauchst du keine neuen Subkey generieren, du kannst bei den Subkeys einfach das Ablaufdatum neu setzen - geht ganz simpel z.B. mit
seahorse - oder? Dann noch auf den Yubikey schreiben - fertig.
Erm, stimmt...
Ich hab meine Notizen dazu nur überflogen um den transfer auf den yubikey nochmal rauszusuchen; das war direkt nach dem erstellen der keys. Weiter unten wäre 'update expiration date' gekommen...
Ich habe vor kurzem paar sachen mit meinem zweiten (ersatz-) yubikey ausprobiert; daher hatte ich wohl noch das umständliche subkey-erstellen relativ frisch im Hinterkopf