Sziasztok,
segítsétek szeretném kérni, milyen kettős hitelesítést használtok, amihez nem kell speciális alkalmazás. Néztem a ubikey NFC-s változatát az ára 400-as euronál egy picit magas, esetleg van más alternatíva amit valaki használ?
A gondom az, hogy majd 3 hetes életem kalandján voltam és 3-5 nap után szinte minden kizárt :( Mivel úgy érzékelte google, microsoft, stb hogy nem szoktam arra járni ezért kérte a kettős hitelesítést, 400Ft-os SMS díjért :D Ami természetesen nem jött meg.
Ezért NFC hitelesítű kulcsban gondolkozom, ki is néztem ezt yubikey-5-nfc-fips
majd az ára miatt rákerestem az alternatív lehetőségekre:alternatívák
Ti mit használtok amin van NFC lehetőség?
Nem egy alkalmazás fontos hogy működjön elsődlegesen Linux, android és MS környezetben, esetleg később apple.
Sajnos az Ubikey áfástól mindenestől 35-50e Ft között van mire bejön az országba :(
lélektani határom 20-25e ft, de ha nincs más megoldás akkor megveszem a UBIKEY-t
Egyáltalán kiváltható vele, google és ms auth programja, vagy teljes tévedésben vagyok?
Hozzászólások
Úgy érted, YubiKey?
trey @ gépház
igen
???
Ezt most úgy érted, hogy egy SMS fogadása 400 forintba kerül neked? Azt hogyan? Vagy neked kellett hitelesíteni magad, egy 0690-es számra küldött SMS-sel? Mert ha utóbbi, akkor téged átvertek. :)
szerk: mondjuk ha az előbbi, akkor is
Költői túlzás volt, 150-369Ft között mozogtak a tarifák, helyi kártyával oldottam meg a netet, de ahhoz először be kellett lépnem egy olyan országba ahol tudtam venni olyan turista sim kártyát, aminek roaming szerződése van a legtöbb környező országgal. Viszont körutamban ez a 3. ország volt.
Ja, nem az összegen csodálkoztam elsősorban, hanem hogy egyáltalán fizetni kell a fogadásért.
Állítólag amcsiban a küldő ÉS a fogadó fél is(!) fizet az sms-ért. Ezért nem volt ott soha népszerű ez a dolog úgy, mint a világ többi részén.
Amugy meg "1st world problem" ;)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ez inkább 3rd world problem lesz... mármint 3rd world országokba utazva jön a problèma.
Ha már thread necromancing, kíváncsi lennék 2 év után végül mi lett OP tapasztalata.
Google Authenticator vagy hasonlo alkalmazas(ok)?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
+1
Nekem van YubiKey is, meg több különböző soft Auth Token is.
Ez utóbbihoz csak a telefonod és internet elérés kell - ez manapság szinte mindenkinél adott, emiatt (is) ma ez a leg elterjedtebb és leg egyszerűbb 2. factor szinte bármilyen autentekáció esetében.
YubiKey persze egészen más szint, és nem függ a telefonodtól.
De persze ez meg egy igen könnyen elveszíthető kicsi biszb*sz. - és a háttetéhez komolyabb IT támogatás kell.
SMS már 10 éve is aggályos volt, szerintem ma már csak azok erőltetik akiknek nagyon elavult IT rendszerük van.
szerintem
zrubi.hu
Google authenticator, és egyéb totp megoldásokhoz internet sem kell.
A Yubikey 5 NFC sorozatnak szerintem nincs érdemi alternatívája. Tud U2F-et, TOTP-t, GnuPG-t, PIV-t, és még jópár finomságot, gyárilag támogatott szinte mindenhol.
Vannak olcsóbb megoldások, de nem tudok olyat ami ilyen teljeskörű és hasonló minőségű lenne. Szerintem érdemes beruházni 2-3 darab YubiKeyre (hogy legyen backup) kényelemben és biztonságban is megtérül az ára.
https://cloud.google.com/titan-security-key ?
Messze nem tud annyit, mint egy Yubikey. És Magyarországra nem is rendelhető.
bevallom erről a Titánról még nem is hallottam.
megnéztem , de nem találtam a webshop-ban egyikben sem: NL, A, USA
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Onlykey-t próbáltam, de NFC-t nem tud, és egyéb korlátai is vannak. Nekem az LCD kijelzős tokenek szimpatikusabbak.
Akkor egyenlore yubikey 5 nfc a nyero. Koszonom mindenkinek, ha van mas otlet irjatok meg batran, a lenyeg fuggetlenedni akarok, google ms soft. auth-tol.
Függetlenedni szeretnél, de azt ne felejtsd el, hogy ennyi pénzért(!) a kulcsok is kompromittálódhatnak, tehát adott esetben egy ilyen hardverrel sem fogsz tudni belépni, mert a G. nem fogja engedi, (vagy a többiek.) - Volt már a Yubinál ingyenes kulcscsere is emiatt.)
Jobb az authentikátor, az legalább feleslegesen nem terheli a pénztárcádat. (A Yubi egyébként munkára éri meg, igazán a szervereket távmenedzselők eszköze. (Ott legalább visszatérül a befektetett pénz.)
azt se felejtsük el, hogy a.) 14-15 év alatt 2 ilyen eset volt, egyiknél elméleti lehetőség nyílt a támadásra a firmware hibája (csak és kizárólóg fips verziónál, 2019) , a másik hibánál a chipgyártó implementációja volt hibás (Infineon, 2017)., de b.) kicserélték a hibás hardver elemet tartalmazó kulcsot (nem kellett újat venni...) c.) NEM tiltott ki senkit a google, tudomásom szerint. Mégis mi alapján tiltana ki??? FUD. Az Infienonos hibánál is az RSA kulcsok voltak hibásak, openpgp-nél.... barormira nem érintett mást. Egyébként google rögtön kitiltotta volna saját magát is. Bár én még opengpgp kulccsal belépni embert még nem láttam. ( https://www.yubico.com/support/security-advisories/ysa-2017-01/). Jah, mert a google a jobb authentikátor helyett yubikeyt használ, csókolom. https://www.yubico.com/resources/reference-customers/google/
Disclaimer: van közöm itthon és a környező országokban a yubikeyhez, de ettől még amit fent leírtam igaz. Mellesleg a fips felesleges és a 35-40e forintos akár bruttó árat sokallom. A FIPS-re mondjuk fene tudja, de a fipset nem szeretik adni, de ha pont ugyanazt szeretnéd pecsét nélkül, szerintem 22e forint alatt megvagy. (csomagküldővel együtt)
Egyenlore a baltas gyilkos darabol :)
:D
A gugli és az ms soft auth cuccai teljesen sztenderd TOTP alkalmazások. Én mindkét cég szolgáltatásaihoz a FreeOTP+ appot használom (f-droid-ról), de pl a keepassxc is beüzemelhető.
szerintem egy kicsit drágán nézted. de reagáltam feljebb a hw hibát író hozzászólásra. direkt reklámot meg nem akarok, de aki keres az talál, szerintem, sokkal olcsóbban a leírt árnál. hivatalosan, ráadásul.
Mindenkinek köszönöm! eldőlt,
Jobban szétnéztem Yubikey oldalán és találtam magyar disztributort YUBIKEY-re, ott fogom megrendelni így nem kell áfával szállítási költséggel foglalkoznom. Ha jól emlékszem 26e ft lesza type -c csatis.
Már volt értelme az "okvetetlenkedésemnek"! :)
Pont az a lényeg, hogy nem szeretnek fuggeni hosszabb tavon senkitol es nem szeretnen hitelesiteseimet google ms parosra bizni, mivel ha elvesztem a telom meghaltam es jelenleg egyre jobban kizarjak a rootolt telefonokat sot mar a fejlesztoi modra is raszaltak. Legutobb xiaomi adott ki frissitest amely automatikusan visszakapcsolja, ha a gyari karbantartot futtatod. Banki alkalmazasom lassan ket honapja nem indul el, mert tul sok mindenhez akart hozzaferni,telom op rendszere meg beblokkolta a g*cibe. Tudnam torolni korlatozast, de nem vagyok hajlando erik a bankvaltas.(nem iphone)
Kovetkezo telom mar linux lesz 1-2 ev mulva egyre jobb az ubport, az állandó felugyeket es mi tudjuk hogy csinalhatod jobban, megvedunk stb
Kiakaszt. Hagy dontsek mar en! Viszont szukseges a kettos hitelesites, mert mindenhol alap, igy meg van oldva ezert kerestem megbizhato megoldast.
az erste george app is akar valami csalásvédelem aktiválásához hozzáférést kapni a "telefon állapota"-hoz.
Mondjuk a bank úgyis tényleg mindent lát, ott érdemes tényleg olyanhoz menni, amelyikben megbízol. (A telefon adatok nem osztanak/szoroznak már ott.) Gondolj bele: ha csak nem vagy készpénzes varázsló, látja minden tranzakciódat. Azt is, amiről csak te tudsz...
https://naszta.hu
Feltetelezve, hogy a tranzakcio ket fel kozott zajlik, arrol nem csak te, hanem a masik fel is tud, akkor is ha keszpenz :)
(bocs, nem tudtam kihagyni)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Bocs, hogy kérdezem, de a banki applikáció nélkül hogy működik a kettős hitelesítés YubiKey-el. Nem értek hozzá, s tényleg tudni szeretném.
Csak peldanak hoztam fel, mennyire kifordult a vilag magabol. 6-8 eve meg felhivott a bank ejjel fel 3 kor hogy hajnal fel kettokor en voltam e aki a neten fizetett. Orultem a hivasnak es megkoszontem, most meg mar be se tudok lepni az applikacioba, ms google ugyanigy zar ki a vedelmem erdekeben es leszarjak hogy epp neked mennyire lenne szukseges a szolgaltatasuk.
A bankomnal nem fog mukodni, de nem is oda tervezem, hanem mindenhova ahol tamogatjak. Ezert kerestem elterjedt megoldast.
Osszesegeben kerestem megoldast ami nem fugg a ket szolgaltatotol. Mivel ha nem tudsz belepni a gmailedbe outlookba akkor semmihez se fersz hozza amit oda kotottel be.
Kéne tudni, hogy melyik bank, milyen verziójú OS illetve alkalmazás, mennyi ideig nem volt használva az app...
Soft tokenből nem csak a google authenticator létezik, és attól, hogy ők csinálták, nem kell neki hálózat, ergo nem telefonál haza, ha attól félnél.
Mielőtt elolvasod, kalkuláld bele, hogy sok éve használok YubiKey-t és nagyon meg vagyok vele elégedve.
1, A TOTP megoldások szabványosak, nem teszed magad függővé a gyártótól, ez nem lehet érv. Gyakorlatilag ingyen van, ha YubiKey-t választasz az közelebb lehet a lock-in-hez.
TOTP: 0 Ft
2, Ha NFC megoldásra van szükséged U2F/Webauthen-hez hogy könnyebb legyen az élet, szinte kötelező, hogy legyen egy tartalék eszköz. Emellett, ha a szolgáltatás támogatja célszerű egy másik 2nd factor auth, abban az esetben ha mégis elveszítetted volna mindkét kulcsot, vagy meghibásodott az NFC a YubiKey-en (igen jártam így)
YubiKey 5 (NFC): 80-110 EUR (esetedben jelenleg ez akciósan most 43k HUF) !2db!
3, Ha nem akarod csak a U2F/Webauthen részét használni a YubiKey-nek (leírásodból nagyon úgy tűnik, bár így lényegében elveszted az előnyeinek 80%-át) akkor elég a Security Key a YubiCo-tól (NFC-s A vagy C)
Yubikey Security Key (NFC) 55-65 EUR (esetedben 23-27kHUF csatlakozótípustól függően) !2db!
Mindegyik esetben célszerű egy másik feloldási módszer (ahogy már írtam) ha otthagytad valahol a YubiKey-t vagy épp nem tudod valamiért használni.
p.s: Ami történt veled, lehet kellemetlen, de a saját érdekedben tették veled és sokkal rosszabb lenne ha az eset nem fogott volna meg egy lehetséges visszaélést. Szóval ez nem a függésről szól. Az SMS/etc teljesen opcionális x-edik 2ndfactor
Koszonom kell a webauth es az nfc, 5-os lesz. Ez tunik hosszu tavon 5-15 ev jo megoldasnak, remelwm nem tevedek. Termeszetesen lesz mellette valami mas auth is tartalekkent email cimre kod, sms stb. Ami op rendszer fuggetlen.
Azt hiszem akire válaszoltál kicsit félreérthetően fogalmazott:
A security key tudja a webauth,fido2 és az NFC-t, de nem tud TOTP HOTP stb.
https://yubikey.co.hu/yubikey-kulcsok-osszehasonlito-tablazata-2
Tehát a pontos fogalmazás: ha nem akarsz többet mint webauth, U2F és fido2 NFC akkor......
A security key kb a fele a Yubikey 5 NFCnek.
Pontosan. Annyit, hogy ez a táblázat pontosabb https://yubikey.me/compare-yubikey/ de ezen sincs rajta, hogy van C csatlakozóval Security Key NFC. A YubiKey 5 sokkal több (megéri, ha használod) PIV smartcard funkció miatt főleg, vagy a static pw slotok miatt.
http://www.optimumunknown.com/goodusb.html
Lehet, hogy hülyeség, de ilyet nem lehet relatív egyszerűen csinálni valami 1-2000 Ft-os arduino kompatibilis stick-el? Perszegy munka(/móka, ki hogy áll hozzá).Most látom, amit @levideo küldött be, bocsi.
Jó kérdés, hogy a kódgeneráláshoz hogyan tárolja a kulcsot... Ki lehet-e nyerni az eszközből, vagy sem? Mert ha kinyerhető, akkor lóf...jóska sárga cetlije a monitoron kategória...
A kulcsot tartalmazza a QR kód, amit az elfogadó fél képez. Így néz ki a QR tartalma :
A {kulcs} -ot be lehet az Arduino kódba írni, de HEX formában kell. Itt tudod a a {kulcs} -ot HEX -é alakítani : https://cryptii.com/pipes/base32-to-hex
De letárolhatod SD-kártyára is (SD-kártya kezeló modul) , akkor nem kell fixen a kódba írni sem.
Ha érdekel el tudok küldeni egy minta .ino fájt ami én használok ..
Igen, letárolhatod SD-kárytára, vagy kiplakátolhatod vele a várost. Épp ez a kérdés, hogy hogyan oldod meg azt, hogy a kulcshoz _ne_ lehessen hozzáférni, azt az eszközből ne lehessen kinyerni.
Hát igen .. Modjuk egy bin fájlból elég nehéz. Én a forráskódba írom be , és lefordítva bin-ként írom fel az egységre.
Csak bedugom az USB aljzatba, felmegyek a google fiókomba pl. , megnyomok rajta egy gombot és a generált 6 számjegyet , mint egy virtuális billentyűzet beírja a mezőbe. Ha ellpoják is a pendrive-ot , nem tudják a google jelszavamat. Ez az első faktor.
"Modjuk egy bin fájlból elég nehéz"
Na ne vicceljünk már...
Nem a bin -fájlt látja a tolvaj. Sőt semmi nem lát az AtMega32U4 -en, mert ő egy vituális HID , billyentűzetként látszódik csak a gépen.
Rosszul fogalmaztam.
Kiolvasható az eszközből vagy sem?
Egy billentyűzetből hogy olvasod ki a memóriáját, amit a gyártó beleprogramozott ??
Nekem még nem sikerült .. Persze megint lehet azt írni , hogy "Ne viccelj már, másnak ez nem gond!"
De ilyet ÁLLÍTANI én is tudok.
Neked nehéz, ha valaki ki akarja belőle nyerni, annak meg nem nehéz. Ahogy az 1. faktort (jelszó) is védetten kell kezelni, úgy a másodikat is.
Rosszul fogalmaztam. Fentebb pontosítottam .
Szeretném leszögezni, hogy csak kicsit értek jobban ehhez, mint egy átlagos háziasszony, de a gondolataim:
- Sok mikrokontroller zárható. Nem vagyok benne biztos, hogy lehetetlen utána kiolvasni a tartalmát, de annak elég nagy melónak kell lennie.
- Ha valakinek rendelkezésre áll az eszköz, hogy kinyerje belőle a kulcsot, akkor nem biztos, hogy akarja ezt. Mivel tudja használni magát az eszközt.
- Az extra védelem az, hogy ez az eszköz nálam van. Egy random hacker nem fogja használni, aki nincs a helyszínen. Távolról nem fogja tudni kiolvasni a kulcsot, ha az az USB interfészen nem olvasható,
mert csak annyit tud az eszköz, hogy beírja a generált kódot.
Hol látom rosszul ezeket, vagy mi hiányzik?
Jól megfogalmaztad. Köszi. Én is csak néhány hete gerjedtem rá erre a 2FA dologra.
Néhány éve kezdtem el foglalkozni Arduino/ESP eszközökkel. Közel sem maximum a tudásom.
De szerintem sem (vagy legalább is elég nagy munkával) oldható meg a beégetett adat megszerzése egy ilyen eszközből.
pl most az RPI PICO-t néztem, hogy tök jó lenne azt használni, de azt nem lehet lezárni. De atmega-n úgy rémlik, hogy van ilyen FUSE bit, amit ha átkapcsolsz, többet nem olvasod ki a tartalmát a mikrokontrollernek.
A {kulcs} nem titok. Nem az a lényeg. Hiába tudsz generálni akár on-line belépési kódot (https://totp.danhersam.com/), ha nem tudod, hogy hova érvényes az.
Kulcsod van de nem tudod , hogy hol van a zár hozzá . Illetve ahogy a neve is jelzi ez 2-szintes auth. A belépéshez, mondjuk a Google fiókba tudni kall az e-mail címet , a jelszót, és a generált kódot.
Ha és amennyiben a 2. faktor nem titok (hiszen onnantól, hogy a kulcs nem titok, az egyszer hazsnálatos kód sem az!), akkor az mennyivel növeli a usernév/jelszó páros biztonságát? Gyakorlatilag semmivel, mert ha nem titok, azaz bárki hozzáférhet, akkor az user/pw ellopása esetén a nem titok one time password-del lehet próbálkozni.
Plusz egy mobil vagy esetünkben egy PENDRIVE kell hozzá amin generálsz kulccsal, a usernév és jelszón kívül. Mondjuk a kulcs ismeretében akár On-Line felületen is tudsz generálni 6 jegyű számot. Van egy néhány a neten ..
Talán ezzel ..
Az egész TOTP generálás nem egy nagy kaland.
Van két fél. Az egyik , ahova be akarsz authentikálni és egy másik , aki te vagy.
A kód generálás röviden: Van egy string : ABCDQWERZUIIO5174M . Van a pillanatnyi időpontból képzett timestamp
Ha mind a két helyen ezzel generálsz egy kódot (van a neten egy csomó ilyen lib minden nyelven), akkor a két kód meg fog egyezni.
Ezért nem kell hozzá internet a generálónak, csak tudnia kall a pontos időt (rtc modul kel az arduinohoz).
Én egy kis CJMCU (AtMega32U4) és egy ZS-04 RTC egységet vettem és Arduino IDE vel megcsináltam a google auth-ot.
Működik szépen ..
aha, és ehhez mi köze van a yubikeyhez?
Semmi ,csak fentebb kérdezték, hogy nincs-e olcsóbb alternatíva a 2FA auth-ra. Van , példáúl ez.
Ez egy vicc, nem alternatíva. Erre ott a telefonod, minek erre külön barkácsolni?
Pláne úgy barkácsolni, hogy a 2FA-s kulcsával (amiből idő alapon generálódik az OTP) simán hajlandó lenne teleplakátolni a várost...
Nem plakátolok ki semmit. Ezt csak azért írtam, hogy nem titkos, hiszen benne van a 2FA QR kódban , a 'secret=' paraméterben. QR-code olvasóval kiolvasható.
A Yubikey szerintetek mit csinál ?? Ugyanezt.
Találsz/lopsz/kapsz egy yubikey-t. Egész pontosan hogyan szeded ki a secret paramétert belőle?
Benne van a qr kódban, igen, de az a kérdésem, hogy a tokenből, miután belekerült, kiolvasható-e a kulcs? (Nem, nem véletlenül "secret" a neve...)
Ha már el van tárolva a tokenben , akkor valóban sehogy.
De ilyen módon a akár az általam használt AtMega32U4 alapú eszközön sem lehet kinyerni, mert ez egy virtuális billentyűzetként látszódik a gépen.
Az eszköz megbontásával, a chip-re kapcsolódva sem lehet visszaolvasni a beletöltött kódot? Mert egy normális hw token esetében ahhoz a memóriához, amiben a védendő adatokat tárolja az eszköz, csak a CPU fér hozzá, kívülről nem olvasható.
Ennyire nem mélyedtem el benne .. Olvass utána, ha érdekel !!
Te akarsz kommersz mikrokontrollerrel hardvertokent csinálni, nem én, úgyhogy neked kéne elmélyedni abban, hogy hogyan is kéne működnie az eszköznek, mit, és hogyan kellene védenie. Én láttam jó meg khm. kevésbé jó idő alapú egyszer használatos jelszavakat generáló megoldásokat - nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen.
"nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen" +1
Egyébként az biztos, hogy egy biztonsági dolgot nem jó ötlet házilag tákolni, ha nem hobbi célra használod. Ilyen a "házi" riasztó is, nem csinálnám. 1000 dolgot szívott végig a gyártó, mire minden tapasztalatot összeszedett, mire a megoldása ott tart, ahol éppen tart.
De ismerkedni a megoldásokkal, tanulni tök jó.
A házi megoldásoknak van az az előnye, hogy más kevésbé tudja kiismerni. Egy gyári riasztónak minden adata, kapcsolása fellelhető a neten, szerintem.
De más, gondolom másként látja ezt .. Joga van hozzá.
Igen, csak a házi megoldásokból az szokott hiányozni, amit már régen feltaláltak. Lehet, hogy aki házi megoldást csinál, nem is tud valamiről, hogy azt hogy lehet nagyon egyszerűen meghackelni, vagy eszébe sem jut valami alap dolog, ami hiányzik a megoldásából. De még a lakástüzet sem tartom kizártnak.
Azt nem hiszem, hogy egy "gyári" riasztót, egy profi nem tud fél perc alatt kikapcsolni. De ott az lenne az optimális, hogy hiába ismeri az eszközt A-Z-ig, akkor sem tehet semmit.
A google fiókom védelmére ez pont elég, és olcsóbb is mint a Yubikey jóval. A jelszavamat úgy is havonta változtatom , ez alap.
Ez a baj, mikor arról írsz amiről látszólag keveset tudsz. Pláne, hogy meg is vagy győződve, hogy mindent. A YubiKey esetén U2F megoldásról beszélünk, ahol nincs shared secret.
Ahogy látom már úgy sem aktuális.
Koszonom mindenkinek megrendeltem yubikey 5 nfc usb a valtozatot mar uton van.
ha a hazai forgalmazótól rendelted, megosztod kérlek, ki az?
https://www.yubico.com/support/shipping-and-buying-information/reseller…
Hungary-ra csak a Mind-info kft-t hozza ki.
Persze nem titok, Onnet rendeltem. https://yubikey.co.hu/
Nem nyitok uj temat, mert lusta vagyok.
Aki Yubikey 5-ot hasznal, az figyeljen picit: https://it.slashdot.org/story/24/09/03/1810216/yubikeys-are-vulnerable-…
Reggel végigolvasva nagyon nincs miért aggódni.
Természetesen, ami egyszer márhoz került, az már nyugodtan tekinthető kompromittálódottnak. Csere.
trey @ gépház
https://support.yubico.com/hc/en-us/articles/15705749884444-Infineon-EC…
Csak fúrja az oldalamat a kíváncsiság, ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?
Írhatna róla valaki egy hosszas blogposztot, mikbe futott bele ilyen fókuszú felhasználási módozatok mellett. Pl. mire abszolut alkalmatlan amiről mélyen hallgat a gyártója? Mi az amit az átlag félreértelmez egy ilyen eszköz megvásárlása előtt, amivel a kézhezvétel után szembesül először (buyers remorse)?
Valós tapasztalatok érdekelnènek elsősorban. A fizetett jutub influenszer review-ok nem érdekelnek, és sajnos előbbiekből van kevés, nehezen megtalálható.
"ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?"
Gyakorlatilag ez a fo funkcioja szoval a valasz igen :D
Nekem mindenhol YubiKey -van beallitva. Google/MS fiok egyeb webes fiokok es Password managerben is.
Eddig nekem nem volt semmilyen problemam (sem Windows sem Mac alatt) Linuxrol nem tudok nyilatkozni. Nekem van NFC kepes is. Erdemes legalabb kettot venni es az egyiket elrakni backupnak ha esetleg az elsodlegest elhagyod/ellopjak.
Email titkositasnal is lehet vele autholni ha esetleg azt is akarsz (OpenGPG-t is tamogat)
Mi használjuk, elsősorban céges use-case-re, de rákötöttem a privát dolgaimat is (a yubikey a sajátom lesz, ha egyszer kilépek). Jelszót nem váltottunk ki vele sehol, de második faktornak be van állítva gitlab/google/facebook (?)/stb helyen. Kényelmesebb, mint a TOPT-tal baszakodni, és ha jól értem, secure-abb is.
(bár sajnos a legtöbb helyen a TOPT megmaradt alternatív 2FA-nak, így a security nem lett erősebb; de a munkahelyen szigorúan webauthn van, kötelezően mindenhol).
De ki tudod próbálni te is, Yubikey nélkül is, ha van egy androidos vagy ios-es készüléked. De talán Macbookok vagy a Windows Hello is tudja, ha van benne biometrikus cuccmucc - és talán-talán linuxra is össze tudod tákolni, hogy egy jelszóval védett, a laptophoz/géphez kötött kulcs legyen, így.
A weben van egy csomó oldal, ahol tudsz játszani azzal, hogy a meglévő eszközöid vajon hogy támogatják. Ez pl egy: https://webauthn.me/
Tapasztalatok:
Nagyon hasznos kis eszköz, pl a keepass is kezeli. Be lehet állítani, hogy a jelszavakat tároló titkos adatbázist ne csak a kézzel beírt jelszóval tudd megnyitni, hanem a yubikey is kelljen hozzá.
Vagy ami tök jó: A TOTP: (time based one time password, amit valószínűleg most is használsz a google authentikátorral pl). Desktopra telepíthető alkalmazása is van, nem csak mobilra tudod feltenni. Az adatokat a kulcson tárolja, így egy fokkal biztonságosabb, mint a sima authentikátor app.
Nagyon kényelmes, hogy a Google-be, facebook-ba úgy lépek be, hogy beírom az email címem, majd a yubikey-re lementett pinkódot, és csak meg kell érinteni a yubikeyt.
Van akinek nagy előny, hogy akár el is hagyható az okos-telefon ebből a szempontból. (aki pl privacy kérdések miatt aggódik, elég pl egy buta telefon)
Én nem bánom hogy vettem. Érdemes kettőt venni, és mindkettőt ugyanúgy felsetupolni. Backup, ha az egyiket elhagyod.
:)
a gyenge lánccszem a user. mint mindig :)
Tényleg, legtöbben nem is értik miért jobb ez, mint egy telefonos app.
Nekem van céges és privát is.
A privát az egy régebbi darab, ismerkedés célból vettem, a gakorlatban nem igazán használom. (az elavultsága miatt)
A céges az eny 'nano 5', és 2FA-ként szolgál a céges SSO-ban.
A viccess része, hogy ez csak egy a sok lehetőségből, ahol persze a sok között ott az email is :D szóval valós végelmet nem ad, mert ugye minden rendszer csak annyira biztonségos amennyire a leggyengébb láncszeme.
Még
viccesebbszánalmasabb, hogy van hogy a két authentikációt gyakorlatilag ugyan azzal az appal tudom megoldani.Nesze neked MFA! - de a 'security theater'-ben jól mutat hogy van ilyen is :D
Aki valós security előnyt szeretne ezzel, annak:
- ezen kell(ene) generálnia és tárolnia az összes (SSH/GPG/TLS) kulcsait,
- NEM jelszó helyett, hanem mellé MFA-ra való.
- De kizárólag ez kell(ene) legyen a 2. faktor, semmi bugyuta failback.
- duplikálni kell (fizikailag) hogy legyen backup eszköz.
szerintem.
zrubi.hu
nemide
Aztán most olvasom, h. yubico-éknál a firmware update mint olyan nem létező fogalom. By design, azért nem! Azaz ha defektes volt a pre-5.7.0 hardvered, akkor kvázi új hardware reviziót kell venned, ami már új szoftverrel (azaz itt a kütyün levő firmware) hagyta el a gyár kapuját. Ami a gyárat 1x már elhagyta, az többé firmware update-t nem lát élete végéig. Se security vulnerability miatt, se fícsör bövülés miatt.
https://support.yubico.com/hc/en-us/articles/360013708760-YubiKey-Firmw…
Ergo tudnod kéne milyen reviziójú / verziójú a hardver amit a bolt árul, mielőtt kifizeted, nehogy apdét előtti régebbi szériásat sózzanak a vevőre (rád)!
Jó kérdés, hogy abban az esetben, ha kiderül, hogy (nagyon) lukas a firmware, a gyártó cseréli-e az eszközt garanciában? Mert ha arra célra,a mire eladták nem, vagy csak korlátozottan alkalmas, akkor azt minimum illene javítani, vagy ha nem javítható, cserélni...
A mostani sebezhetoseg semmiben nem befolyasolja a mukodeset. Atlagember kulcsait nem fogjak masolgatni mert rendkivul draga hack. Akiknel meg ez szobajohet ott ha kikerul a latokorodbol az eszkoz (ertsd jol ha mas is hozzafer fizikailag akkor mar tekintheted kompromittaltnak)
Fűrdeni is yubikey-el a kezedben kellene menni?
Van az a szintu (megalapozott :)) paranoia, ahol vinni kell a furdobe is, de egy-ketszaz emberrol beszelunk globalis szinten :)
Akinek ilyen szinten veszélyben az élete, azt kb a konzumer cuccok amúgy sem tudják megvédeni a diktátor / CIA bérgyilkosaitól.
Még a security része érthető is lenne, de miből tartott volna egy hardveres kapcsolót rárakni, amivel engedélyezni lehet a firmware frissítést? Mint az a kis pöcök, ami ott van az SD kártyákon. Vagy a ház kinyitása után elérhető SMD gomb, ami a Ruuvi tag-ekben van.
Valószinű nem attól akartak megvédeni, hogy tudtodon kivül frissül a firmware, hanem attól, hogy egy hackelt firmware kerüljön rá.
Azt mondják a gyárban garantálják a fw valódiságát és pont. A user ne töltögessen rá új fw-t, mert onnantól nem garantálják, hogy nem lesz hackelhető az eszköz.
Arra meg megoldás lenne a crypto. Csak aláírt firmware-t engedne rátenni, és a kulcs bele van égetve.
Igen, aztán a kulcs véletlen kiszivárog vagy becsúszik egy implementációs hiba és viszlát.
Lehet igy is, de szerintem teljesen érthető egy ilyen eszköznél, hogy a gyártó úgy döntött, hogy nem vállal be ilyen kockázatot.
Ha csak az ellen akarnak védekezni, hogy a beszállítói láncban ne nyúljanak bele, akkor elégséges. Mert ha kiszivárog a kulcs, akkor az a már felhasználóknál levő eszközöket nem érinti. Csak azokat, amik még a beszállítói láncban vannak, és azokat be lehet vizsgálni, és lehet vagy új kulcsot rájuk tenni, vagy felülírni a firmware-t a biztonság kedvéért.
Biztos lehet ebben az érvelésben is hibát találni, nem is az a lényeg, hogy tökéletesen megoldjam a problémájukat. Csak azt mondom, hogy elég gáz dolog úgy kiadni egy security eszközt, amiben lehetetlen javítani a security hibákat. Ez még a planned obsolescence-nél is rosszabb.
Nem csak a beszállitói láncban. A usereknél is gond lehet, ha már más is tud aláirt (akár implementációs hiba miatt nem is jó kulccsal aláirt) érvényes fw update-et késziteni.
Továbbra is állitom, van ráció ebben. Ha komoly security gond van, akkor pedig nem javitani kell, hanem cserélni. Amit jó esetben ingyen megtesz a gyártó.
"aztán a kulcs véletlen kiszivárog" - Hint: HSM. Szóval maximum az implementációs hiba jöhet igazából számításba - a kulcs kiszivárgásához bizony a HSM-ben kell implementációs hibának lenni, _és_ ezt kihasználva az aláírókulcsot valakinek megszerezni.
Ami a másik, hogy a firmware _cseréjéhez_ a firmware-t tartalmazó tárterületnek valamilyen "csillagállás" esetén írhatónak kell lennie, illetve kell egy legalább a firmware méretével megegyező staging terület, amire betöltődhet a potenciális új firmware, _és_ ott az eszköznek egy nem módosítható tárhelyén lévő kód első körben letiltja az írását(!) majd ellenőrzi, és ha rendben van, akkor felülírja vele az éles firmware-t.
Ehhez kell egy feldolgozóegység, ami képes írni a firmware területét, kell egy staging terület, amit USB felől lehet írni, és ez a frissítő egység felügyeli az írhatóságát, stb.
(Házi feladat: átgondolni, hogy miért nem jó egy pécén/külső eszközön elvégzett integritásellenőrzés alapján betolni a friss firmware-t az eszközbe)
Hogyne HSM, ami egy api-n keresztül aláir bármit, amit adsz neki... Elég, ha azt az api-t meg tudja hivni a támadó a hackelt fw-el és máris van egy aláirt támadó fw-je, amit az egész világon bármelyik yubi megeszik.
Továbbra sem látom, miért akarnák ezt a kockázatot bevállalni? Mit nyernek vele? Annyival többen vennék a terméküket? Vagy éppen kevesebben?
Ez esetben a severity miatt nem cserélik (Ez a hivatalos válasz. Rákérdeztem, annak ellenére, hogy olvastam a saját minősítésüket)
Ha olyan lenne ami súlyosnak minősülne, akkor cserélnék. Nem hiszem, hogy nem lehetne nagy tételben velük vitázni, és egy Alphabet biztosan kapott is valami ellentételezést. Kicsi (<1000 eszköz) tulajok semmi jóra ne számoljanak.
https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp
Ez hol a francba lenne a Yubikey alternatívája?
A YubiKey nem csak egy TOTP eszköz, tud sok más dolgot is.
Ha jól értem a topiknyitót itt a totp is elég.
Nem tudom mennyibe kerül most ,de én annó fido2 key-t vettem, és használom is mai napig is. Az okostelefonról szinte teljesen lejöttem, gyakorlatilag banki app van még rajta meg nagyritkán gps-re veszem csak elő, egyébként a táskában elvan internet tab-ként. És pont azért amit írsz, hogy az okostolefonos app kitettségemet csökkentsem. Ezzel lehet biztonsági és kényelmi okokból nem egyetérteni, de én ezt látom jónak jelenleg. A webes második faktort váltom ki vele, és debianon is megy. (de laptopot nem azzal authentikálok, megtartottam a jelszavas módszert, csak pl. outlook vagy google fiókhoz) Nézd meg, hátha beválik neked is. Én max hobbi okokból kezdenék saját megoldást építeni, mert kész működő megoldások vannak, amik átlag embernek tök elég. Mivel nekem több lépcsős belépnem bejutni mindenhová (a saját laptopom sem triviális) így is magasan túltoltam tudom jól, mert nem vagyok illegális poresz terjesztő ,drogbáró ,tenorista :D
-42-