Kettős hitelesítés YUBIKEY és alternatívái

Fórumok

Sziasztok,

segítsétek szeretném kérni, milyen kettős hitelesítést használtok, amihez nem kell speciális alkalmazás. Néztem a ubikey NFC-s változatát az ára 400-as euronál egy picit magas, esetleg van más alternatíva amit valaki használ?
A gondom az, hogy majd 3 hetes életem kalandján voltam és 3-5 nap után szinte minden kizárt :( Mivel úgy érzékelte google, microsoft, stb hogy nem szoktam arra járni ezért kérte a kettős hitelesítést, 400Ft-os SMS díjért :D Ami természetesen nem jött meg.
Ezért NFC hitelesítű kulcsban gondolkozom, ki is néztem ezt yubikey-5-nfc-fips
majd az ára miatt rákerestem az alternatív lehetőségekre:alternatívák
Ti mit használtok amin van NFC lehetőség? 
Nem egy alkalmazás fontos hogy működjön elsődlegesen Linux, android és MS környezetben, esetleg később apple.
Sajnos az Ubikey áfástól mindenestől 35-50e Ft között van mire bejön az országba :(
lélektani határom 20-25e ft, de ha nincs más megoldás akkor megveszem a UBIKEY-t
Egyáltalán kiváltható vele, google és ms auth programja, vagy teljes tévedésben vagyok?

Hozzászólások

Úgy érted, YubiKey?

trey @ gépház

Szerkesztve: 2022. 06. 24., p – 10:24

kérte a kettős hitelesítést, 400Ft-os SMS díjért

???

Ezt most úgy érted, hogy egy SMS fogadása 400 forintba kerül neked? Azt hogyan? Vagy neked kellett hitelesíteni magad, egy 0690-es számra küldött SMS-sel? Mert ha utóbbi, akkor téged átvertek. :)

szerk: mondjuk ha az előbbi, akkor is

Költői túlzás volt, 150-369Ft között mozogtak a tarifák, helyi kártyával oldottam meg a netet, de ahhoz először be kellett lépnem egy olyan országba ahol tudtam venni olyan turista sim kártyát, aminek roaming szerződése van a legtöbb környező országgal. Viszont körutamban ez a 3. ország volt.

Google Authenticator vagy hasonlo alkalmazas(ok)?

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

+1

Nekem van YubiKey is, meg több különböző soft Auth Token is.

Ez utóbbihoz csak a telefonod és internet elérés kell - ez manapság szinte mindenkinél adott, emiatt (is) ma ez a leg elterjedtebb és leg egyszerűbb 2. factor szinte bármilyen autentekáció esetében.

 

YubiKey persze egészen más szint, és nem függ a telefonodtól.

De persze ez meg egy igen könnyen elveszíthető kicsi biszb*sz. - és a háttetéhez komolyabb IT támogatás kell.

 

SMS már 10 éve is aggályos volt, szerintem ma már csak azok erőltetik akiknek  nagyon elavult IT rendszerük van.

 

szerintem

A Yubikey 5 NFC sorozatnak szerintem nincs érdemi alternatívája. Tud U2F-et, TOTP-t, GnuPG-t, PIV-t, és még jópár finomságot, gyárilag támogatott szinte mindenhol.

Vannak olcsóbb megoldások, de nem tudok olyat ami ilyen teljeskörű és hasonló minőségű lenne. Szerintem érdemes beruházni 2-3 darab YubiKeyre (hogy legyen backup) kényelemben és biztonságban is megtérül az ára.

bevallom erről a Titánról még nem is hallottam.

Onlykey-t próbáltam, de NFC-t nem tud, és egyéb korlátai is vannak. Nekem az LCD kijelzős tokenek szimpatikusabbak.

Szerkesztve: 2022. 06. 24., p – 19:56

Akkor egyenlore yubikey 5 nfc a nyero. Koszonom mindenkinek, ha van mas otlet irjatok meg batran, a lenyeg fuggetlenedni akarok, google ms soft. auth-tol.

Függetlenedni szeretnél, de azt ne felejtsd el, hogy ennyi pénzért(!) a kulcsok is kompromittálódhatnak, tehát adott esetben egy ilyen hardverrel sem fogsz tudni belépni, mert a G. nem fogja engedi, (vagy a többiek.) - Volt már a Yubinál ingyenes kulcscsere is emiatt.)

Jobb az authentikátor, az legalább feleslegesen nem terheli a pénztárcádat. (A Yubi egyébként munkára éri meg, igazán a szervereket távmenedzselők eszköze. (Ott legalább visszatérül a befektetett pénz.)

azt se felejtsük el, hogy a.) 14-15 év alatt 2 ilyen eset volt, egyiknél elméleti lehetőség nyílt a támadásra a firmware hibája (csak és kizárólóg fips verziónál, 2019) , a másik hibánál a chipgyártó implementációja volt hibás (Infineon, 2017)., de b.) kicserélték a hibás hardver elemet tartalmazó kulcsot (nem kellett újat venni...) c.) NEM tiltott ki senkit a google, tudomásom szerint. Mégis mi alapján tiltana ki??? FUD. Az Infienonos hibánál is az RSA kulcsok voltak hibásak, openpgp-nél.... barormira nem érintett mást. Egyébként google rögtön kitiltotta volna saját magát is. Bár én még opengpgp kulccsal belépni embert még nem láttam. ( https://www.yubico.com/support/security-advisories/ysa-2017-01/). Jah, mert a google a jobb authentikátor helyett yubikeyt használ, csókolom. https://www.yubico.com/resources/reference-customers/google/

Disclaimer: van közöm itthon és a környező országokban a yubikeyhez, de ettől még amit fent leírtam igaz. Mellesleg a fips felesleges és a 35-40e forintos akár bruttó árat sokallom. A FIPS-re mondjuk fene tudja, de a fipset nem szeretik adni, de ha pont ugyanazt szeretnéd pecsét nélkül, szerintem 22e forint alatt megvagy. (csomagküldővel együtt)

szerintem egy kicsit drágán nézted. de reagáltam feljebb a hw hibát író hozzászólásra. direkt reklámot meg nem akarok, de aki keres az talál, szerintem, sokkal olcsóbban a leírt árnál. hivatalosan, ráadásul.

Mindenkinek köszönöm! eldőlt,
Jobban szétnéztem Yubikey oldalán és  találtam magyar disztributort YUBIKEY-re, ott fogom megrendelni így nem kell áfával szállítási költséggel foglalkoznom. Ha jól emlékszem 26e ft lesza type -c csatis.

 

Pont az a lényeg, hogy nem szeretnek fuggeni hosszabb tavon senkitol es nem szeretnen hitelesiteseimet google ms parosra bizni, mivel ha elvesztem a telom meghaltam es jelenleg egyre jobban kizarjak a rootolt telefonokat sot mar a fejlesztoi modra is raszaltak. Legutobb xiaomi adott ki frissitest amely automatikusan visszakapcsolja, ha a gyari karbantartot futtatod. Banki alkalmazasom lassan ket honapja nem indul el, mert tul sok mindenhez akart hozzaferni,telom op rendszere meg beblokkolta a g*cibe. Tudnam torolni korlatozast, de nem vagyok hajlando erik a bankvaltas.(nem iphone)

Kovetkezo telom mar linux lesz 1-2 ev mulva egyre jobb az ubport, az állandó felugyeket es mi tudjuk hogy csinalhatod jobban, megvedunk stb

Kiakaszt. Hagy dontsek mar en! Viszont szukseges a kettos hitelesites, mert mindenhol alap, igy meg van oldva ezert kerestem megbizhato megoldast.

Mondjuk a bank úgyis tényleg mindent lát, ott érdemes tényleg olyanhoz menni, amelyikben megbízol. (A telefon adatok nem osztanak/szoroznak már ott.) Gondolj bele: ha csak nem vagy készpénzes varázsló, látja minden tranzakciódat. Azt is, amiről csak te tudsz...

látja minden tranzakciódat. Azt is, amiről csak te tudsz...

Feltetelezve, hogy a tranzakcio ket fel kozott zajlik, arrol nem csak te, hanem a masik fel is tud, akkor is ha keszpenz :)
(bocs, nem tudtam kihagyni)

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Csak peldanak hoztam fel, mennyire kifordult a vilag magabol. 6-8 eve meg felhivott a bank ejjel fel 3 kor hogy hajnal fel kettokor en voltam e aki a neten fizetett. Orultem a hivasnak es megkoszontem, most meg mar be se tudok lepni az applikacioba, ms google ugyanigy zar ki a vedelmem erdekeben es leszarjak hogy epp neked mennyire lenne szukseges a szolgaltatasuk.

A bankomnal nem fog mukodni, de nem is oda tervezem, hanem mindenhova ahol tamogatjak. Ezert kerestem elterjedt megoldast.

Osszesegeben kerestem megoldast ami nem fugg a ket szolgaltatotol. Mivel ha nem tudsz belepni a gmailedbe outlookba akkor semmihez se fersz hozza amit oda kotottel be.

Mielőtt elolvasod, kalkuláld bele, hogy sok éve használok YubiKey-t és nagyon meg vagyok vele elégedve.

1, A TOTP megoldások szabványosak, nem teszed magad függővé a gyártótól, ez nem lehet érv. Gyakorlatilag ingyen van, ha YubiKey-t választasz az közelebb lehet a lock-in-hez.

TOTP: 0 Ft

2, Ha NFC megoldásra van szükséged U2F/Webauthen-hez hogy könnyebb legyen az élet, szinte kötelező, hogy legyen egy tartalék eszköz. Emellett, ha a szolgáltatás támogatja célszerű egy másik 2nd factor auth, abban az esetben ha mégis elveszítetted volna mindkét kulcsot, vagy meghibásodott az NFC a YubiKey-en (igen jártam így)

YubiKey 5 (NFC): 80-110 EUR (esetedben jelenleg ez akciósan most 43k HUF) !2db!

3, Ha nem akarod csak a U2F/Webauthen részét használni a YubiKey-nek (leírásodból nagyon úgy tűnik, bár így lényegében elveszted az előnyeinek 80%-át) akkor elég a Security Key a YubiCo-tól  (NFC-s A vagy C)

Yubikey Security Key (NFC)  55-65 EUR (esetedben 23-27kHUF csatlakozótípustól függően) !2db!

 

Mindegyik esetben célszerű egy másik feloldási módszer (ahogy már írtam) ha otthagytad valahol a YubiKey-t vagy épp nem tudod valamiért használni. 

 

p.s: Ami történt veled, lehet kellemetlen, de a saját érdekedben tették veled és sokkal rosszabb lenne ha az eset nem fogott volna meg egy lehetséges visszaélést. Szóval ez nem a függésről szól. Az SMS/etc teljesen opcionális x-edik 2ndfactor

Azt hiszem akire válaszoltál kicsit félreérthetően fogalmazott:

A security key tudja a webauth,fido2 és az NFC-t, de nem tud TOTP HOTP stb.

https://yubikey.co.hu/yubikey-kulcsok-osszehasonlito-tablazata-2

Tehát a pontos fogalmazás: ha nem akarsz többet mint webauth, U2F és fido2 NFC akkor......

A security key kb a fele a Yubikey 5 NFCnek.

Szerkesztve: 2022. 06. 28., k – 11:49

Lehet, hogy hülyeség, de ilyet nem lehet relatív egyszerűen csinálni valami 1-2000 Ft-os arduino kompatibilis stick-el? Perszegy munka(/móka, ki hogy áll hozzá).

Most látom, amit @levideo küldött be, bocsi.

A kulcsot tartalmazza a QR kód, amit az elfogadó fél képez.  Így néz ki a QR  tartalma :

otpauth://totp/akarki@gmail.com?secret={kulcs}&issuer=Google&algorithm=sha1&digits=6&period=30

A {kulcs}  -ot  be lehet az Arduino kódba írni, de HEX formában kell. Itt tudod a a {kulcs} -ot HEX -é alakítani : https://cryptii.com/pipes/base32-to-hex

De letárolhatod SD-kártyára is  (SD-kártya kezeló modul) , akkor nem kell fixen a kódba írni sem.

Ha érdekel el tudok küldeni egy minta .ino  fájt ami én használok ..

Hát igen .. Modjuk egy bin fájlból elég nehéz. Én a forráskódba írom be , és lefordítva bin-ként írom fel az egységre.

Csak bedugom az USB aljzatba, felmegyek a google fiókomba pl. , megnyomok rajta egy gombot és a generált 6 számjegyet , mint egy virtuális billentyűzet beírja a mezőbe.  Ha ellpoják is a pendrive-ot , nem tudják a google jelszavamat. Ez az első faktor. 

Szeretném leszögezni, hogy csak kicsit értek jobban ehhez, mint egy átlagos háziasszony, de a gondolataim:

- Sok mikrokontroller zárható. Nem vagyok benne biztos, hogy lehetetlen utána kiolvasni a tartalmát, de annak elég nagy melónak kell lennie.

- Ha valakinek rendelkezésre áll az eszköz, hogy kinyerje belőle a kulcsot, akkor nem biztos, hogy akarja ezt. Mivel tudja használni magát az eszközt.

- Az extra védelem az, hogy ez az eszköz nálam van. Egy random hacker nem fogja használni, aki nincs a helyszínen. Távolról nem fogja tudni kiolvasni a kulcsot, ha az az USB interfészen nem olvasható,
mert csak annyit tud az eszköz, hogy beírja a generált kódot.

Hol látom rosszul ezeket, vagy mi hiányzik?

Jól megfogalmaztad. Köszi. Én is csak néhány hete gerjedtem rá erre a 2FA dologra.

Néhány éve kezdtem el foglalkozni  Arduino/ESP eszközökkel. Közel sem maximum a tudásom.

De szerintem sem (vagy legalább is elég nagy munkával)  oldható meg a beégetett adat megszerzése egy ilyen eszközből. 
 

A {kulcs}  nem titok. Nem az a lényeg. Hiába tudsz generálni akár on-line belépési kódot (https://totp.danhersam.com/), ha nem tudod, hogy hova érvényes az.

Kulcsod van de nem tudod , hogy hol van a zár hozzá . Illetve ahogy a neve is jelzi ez 2-szintes auth. A belépéshez, mondjuk a Google fiókba tudni kall az e-mail címet , a jelszót, és a generált kódot.

Ha és amennyiben a 2. faktor nem titok (hiszen onnantól, hogy a kulcs nem titok, az egyszer hazsnálatos kód sem az!), akkor az mennyivel növeli a usernév/jelszó páros biztonságát? Gyakorlatilag semmivel, mert ha nem titok, azaz bárki hozzáférhet, akkor az user/pw ellopása esetén a nem titok one time password-del lehet próbálkozni.

Plusz egy mobil vagy esetünkben egy PENDRIVE  kell hozzá amin generálsz kulccsal, a usernév  és jelszón kívül. Mondjuk a kulcs ismeretében akár On-Line felületen is tudsz generálni 6 jegyű számot. Van egy néhány a neten  ..

Talán ezzel ..

Az egész TOTP generálás nem egy nagy kaland.

Van két fél.  Az egyik , ahova be akarsz authentikálni és egy másik , aki te vagy.

A kód generálás röviden: Van egy string : ABCDQWERZUIIO5174M  . Van a pillanatnyi időpontból képzett timestamp

Ha mind a két helyen ezzel generálsz egy kódot (van a neten egy csomó ilyen lib minden nyelven), akkor a két kód meg fog egyezni.
Ezért nem kell hozzá internet a generálónak, csak tudnia kall a pontos időt (rtc modul kel az arduinohoz).

Én egy kis CJMCU (AtMega32U4) és egy ZS-04 RTC egységet vettem és Arduino IDE vel megcsináltam a google auth-ot.

Működik szépen ..

Te akarsz kommersz mikrokontrollerrel hardvertokent csinálni, nem én, úgyhogy neked kéne elmélyedni abban, hogy hogyan is kéne működnie az eszköznek, mit, és hogyan kellene védenie. Én láttam jó meg khm. kevésbé jó idő alapú egyszer használatos jelszavakat generáló megoldásokat - nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen.

"nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen" +1

Egyébként az biztos, hogy egy biztonsági dolgot nem jó ötlet házilag tákolni, ha nem hobbi célra használod. Ilyen a "házi" riasztó is, nem csinálnám. 1000 dolgot szívott végig a gyártó, mire minden tapasztalatot összeszedett, mire a megoldása ott tart, ahol éppen tart.

De ismerkedni a megoldásokkal, tanulni tök jó.

Igen, csak a házi megoldásokból az szokott hiányozni, amit már régen feltaláltak. Lehet, hogy aki házi megoldást csinál, nem is tud valamiről, hogy azt hogy lehet nagyon egyszerűen meghackelni, vagy eszébe sem jut valami alap dolog, ami hiányzik a megoldásából. De még a lakástüzet sem tartom kizártnak.

Azt nem hiszem, hogy egy "gyári" riasztót, egy profi nem tud fél perc alatt kikapcsolni. De ott az lenne az optimális, hogy hiába ismeri az eszközt A-Z-ig, akkor sem tehet semmit.

Koszonom mindenkinek megrendeltem yubikey 5 nfc usb a valtozatot mar uton van.