Плюсы, минусы, подводные камни usb-ключей для 2FA?

Ну удобнее. Не надо доставать телефон, разблокировать экран, открывать приложение. Мелкий ключ всегда в компьютер вставлен.

Приложение на телефоне не защищает от MITM-атак, как в момент регистрации, так и при вводе одноразовых паролей. Стандартное приложение на телефоне (например Google Authentificator под Андроид) несложно расковырять дебаггером, получив физический доступ к устройству на короткое время, и клонировать ключи. Теоретически можно сделать это и дистанционно при помощи ядреного эксплоита.

Sergey Aksenov В Pixel 2 есть чип TPM. Я не знаю, использует ли его Google Authenticator, но было бы логично. Тогда уровень безопасности будет почти, как у USB-ключа. Разве что его трогать пальцем не надо, чтобы он подписал токен.

Alexander Lourier TOTP не подписывает токены, он просто выдает 6-значное число на основании текущего времени с точностью до 30 секунд и секретного ключа, который сначала надо на устройство передать. Хранить секретные ключи можно, конечно, в TPM (точнее шифровать их при помощи TPM), но момент передачи всё равно как следует не защитишь. И фишинг, само собой, не исключишь. USB-ключи передаются физически, не копируются, фишингу не подвержены.

Да, логично. В момент регистрации USB-ключа тоже наверное можно MITM сделать, но тогда потом без этого MITM не будет аутентификация проходить. А в TOTP можно тихо упереть секретный ключ, и дальше сколько угодно генерировать числа.

Телефон удобнее, правильный USB ключик надёжнее. Спереть с правильного токена закрытый ключик возможно, но дорого. С телефона - проще. Если ещё нет моделей с такой-же схемой работы. Теоретически ничего не мешает тот-же интерфейс и чип интегрировать в телефон.

А как можно на двух телефонах заиметь общий Authenticator?

Andrei Lukovenko самое простое - отсканировать один QR-код двумя телефонами

Владислав Ярмак а если второй телефон появился уже после привязки первого?

Andrei Lukovenko я не знаю простого способа извлечь общий ключ из приложения 2FA. проще перепривязать оба

Так вот нет такого способа. И бакапа, как такового, нет.

Andrei Lukovenko на всех сервисах по-разному делают. где-то скрэтч-коды. в годэдди второй телефон с другим кодом можно привязать. в фэйсбуке и гугле для второго фактора можно несколько способов на выбор использовать. не совсем понимаю, к чему ваша сентенция.

Authenticator не предлагает внятного способа восстановления доступа при потере устройства. Это очень, очень плохо. Не нужно им пользоваться, лучше пользоваться донглом.

Andrei Lukovenko там какие-то qr коды есть для утери устройства. Как раз на этот случай.

"Яблоюзеры должны страдать!"