Sziasztok,
segítsétek szeretném kérni, milyen kettős hitelesítést használtok, amihez nem kell speciális alkalmazás. Néztem a ubikey NFC-s változatát az ára 400-as euronál egy picit magas, esetleg van más alternatíva amit valaki használ?
A gondom az, hogy majd 3 hetes életem kalandján voltam és 3-5 nap után szinte minden kizárt :( Mivel úgy érzékelte google, microsoft, stb hogy nem szoktam arra járni ezért kérte a kettős hitelesítést, 400Ft-os SMS díjért :D Ami természetesen nem jött meg.
Ezért NFC hitelesítű kulcsban gondolkozom, ki is néztem ezt yubikey-5-nfc-fips
majd az ára miatt rákerestem az alternatív lehetőségekre:alternatívák
Ti mit használtok amin van NFC lehetőség?
Nem egy alkalmazás fontos hogy működjön elsődlegesen Linux, android és MS környezetben, esetleg később apple.
Sajnos az Ubikey áfástól mindenestől 35-50e Ft között van mire bejön az országba :(
lélektani határom 20-25e ft, de ha nincs más megoldás akkor megveszem a UBIKEY-t
Egyáltalán kiváltható vele, google és ms auth programja, vagy teljes tévedésben vagyok?
Hozzászólások
Úgy érted, YubiKey?
trey @ gépház
igen
???
Ezt most úgy érted, hogy egy SMS fogadása 400 forintba kerül neked? Azt hogyan? Vagy neked kellett hitelesíteni magad, egy 0690-es számra küldött SMS-sel? Mert ha utóbbi, akkor téged átvertek. :)
szerk: mondjuk ha az előbbi, akkor is
Költői túlzás volt, 150-369Ft között mozogtak a tarifák, helyi kártyával oldottam meg a netet, de ahhoz először be kellett lépnem egy olyan országba ahol tudtam venni olyan turista sim kártyát, aminek roaming szerződése van a legtöbb környező országgal. Viszont körutamban ez a 3. ország volt.
Ja, nem az összegen csodálkoztam elsősorban, hanem hogy egyáltalán fizetni kell a fogadásért.
Állítólag amcsiban a küldő ÉS a fogadó fél is(!) fizet az sms-ért. Ezért nem volt ott soha népszerű ez a dolog úgy, mint a világ többi részén.
Amugy meg "1st world problem" ;)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ez inkább 3rd world problem lesz... mármint 3rd world országokba utazva jön a problèma.
Ha már thread necromancing, kíváncsi lennék 2 év után végül mi lett OP tapasztalata.
Google Authenticator vagy hasonlo alkalmazas(ok)?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
+1
Nekem van YubiKey is, meg több különböző soft Auth Token is.
Ez utóbbihoz csak a telefonod és internet elérés kell - ez manapság szinte mindenkinél adott, emiatt (is) ma ez a leg elterjedtebb és leg egyszerűbb 2. factor szinte bármilyen autentekáció esetében.
YubiKey persze egészen más szint, és nem függ a telefonodtól.
De persze ez meg egy igen könnyen elveszíthető kicsi biszb*sz. - és a háttetéhez komolyabb IT támogatás kell.
SMS már 10 éve is aggályos volt, szerintem ma már csak azok erőltetik akiknek nagyon elavult IT rendszerük van.
szerintem
zrubi.hu
Google authenticator, és egyéb totp megoldásokhoz internet sem kell.
A Yubikey 5 NFC sorozatnak szerintem nincs érdemi alternatívája. Tud U2F-et, TOTP-t, GnuPG-t, PIV-t, és még jópár finomságot, gyárilag támogatott szinte mindenhol.
Vannak olcsóbb megoldások, de nem tudok olyat ami ilyen teljeskörű és hasonló minőségű lenne. Szerintem érdemes beruházni 2-3 darab YubiKeyre (hogy legyen backup) kényelemben és biztonságban is megtérül az ára.
https://cloud.google.com/titan-security-key ?
Messze nem tud annyit, mint egy Yubikey. És Magyarországra nem is rendelhető.
bevallom erről a Titánról még nem is hallottam.
megnéztem , de nem találtam a webshop-ban egyikben sem: NL, A, USA
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Onlykey-t próbáltam, de NFC-t nem tud, és egyéb korlátai is vannak. Nekem az LCD kijelzős tokenek szimpatikusabbak.
Akkor egyenlore yubikey 5 nfc a nyero. Koszonom mindenkinek, ha van mas otlet irjatok meg batran, a lenyeg fuggetlenedni akarok, google ms soft. auth-tol.
Függetlenedni szeretnél, de azt ne felejtsd el, hogy ennyi pénzért(!) a kulcsok is kompromittálódhatnak, tehát adott esetben egy ilyen hardverrel sem fogsz tudni belépni, mert a G. nem fogja engedi, (vagy a többiek.) - Volt már a Yubinál ingyenes kulcscsere is emiatt.)
Jobb az authentikátor, az legalább feleslegesen nem terheli a pénztárcádat. (A Yubi egyébként munkára éri meg, igazán a szervereket távmenedzselők eszköze. (Ott legalább visszatérül a befektetett pénz.)
azt se felejtsük el, hogy a.) 14-15 év alatt 2 ilyen eset volt, egyiknél elméleti lehetőség nyílt a támadásra a firmware hibája (csak és kizárólóg fips verziónál, 2019) , a másik hibánál a chipgyártó implementációja volt hibás (Infineon, 2017)., de b.) kicserélték a hibás hardver elemet tartalmazó kulcsot (nem kellett újat venni...) c.) NEM tiltott ki senkit a google, tudomásom szerint. Mégis mi alapján tiltana ki??? FUD. Az Infienonos hibánál is az RSA kulcsok voltak hibásak, openpgp-nél.... barormira nem érintett mást. Egyébként google rögtön kitiltotta volna saját magát is. Bár én még opengpgp kulccsal belépni embert még nem láttam. ( https://www.yubico.com/support/security-advisories/ysa-2017-01/). Jah, mert a google a jobb authentikátor helyett yubikeyt használ, csókolom. https://www.yubico.com/resources/reference-customers/google/
Disclaimer: van közöm itthon és a környező országokban a yubikeyhez, de ettől még amit fent leírtam igaz. Mellesleg a fips felesleges és a 35-40e forintos akár bruttó árat sokallom. A FIPS-re mondjuk fene tudja, de a fipset nem szeretik adni, de ha pont ugyanazt szeretnéd pecsét nélkül, szerintem 22e forint alatt megvagy. (csomagküldővel együtt)
Egyenlore a baltas gyilkos darabol :)
:D
A gugli és az ms soft auth cuccai teljesen sztenderd TOTP alkalmazások. Én mindkét cég szolgáltatásaihoz a FreeOTP+ appot használom (f-droid-ról), de pl a keepassxc is beüzemelhető.
szerintem egy kicsit drágán nézted. de reagáltam feljebb a hw hibát író hozzászólásra. direkt reklámot meg nem akarok, de aki keres az talál, szerintem, sokkal olcsóbban a leírt árnál. hivatalosan, ráadásul.
Mindenkinek köszönöm! eldőlt,
Jobban szétnéztem Yubikey oldalán és találtam magyar disztributort YUBIKEY-re, ott fogom megrendelni így nem kell áfával szállítási költséggel foglalkoznom. Ha jól emlékszem 26e ft lesza type -c csatis.
Már volt értelme az "okvetetlenkedésemnek"! :)
Pont az a lényeg, hogy nem szeretnek fuggeni hosszabb tavon senkitol es nem szeretnen hitelesiteseimet google ms parosra bizni, mivel ha elvesztem a telom meghaltam es jelenleg egyre jobban kizarjak a rootolt telefonokat sot mar a fejlesztoi modra is raszaltak. Legutobb xiaomi adott ki frissitest amely automatikusan visszakapcsolja, ha a gyari karbantartot futtatod. Banki alkalmazasom lassan ket honapja nem indul el, mert tul sok mindenhez akart hozzaferni,telom op rendszere meg beblokkolta a g*cibe. Tudnam torolni korlatozast, de nem vagyok hajlando erik a bankvaltas.(nem iphone)
Kovetkezo telom mar linux lesz 1-2 ev mulva egyre jobb az ubport, az állandó felugyeket es mi tudjuk hogy csinalhatod jobban, megvedunk stb
Kiakaszt. Hagy dontsek mar en! Viszont szukseges a kettos hitelesites, mert mindenhol alap, igy meg van oldva ezert kerestem megbizhato megoldast.
az erste george app is akar valami csalásvédelem aktiválásához hozzáférést kapni a "telefon állapota"-hoz.
Mondjuk a bank úgyis tényleg mindent lát, ott érdemes tényleg olyanhoz menni, amelyikben megbízol. (A telefon adatok nem osztanak/szoroznak már ott.) Gondolj bele: ha csak nem vagy készpénzes varázsló, látja minden tranzakciódat. Azt is, amiről csak te tudsz...
https://naszta.hu
Feltetelezve, hogy a tranzakcio ket fel kozott zajlik, arrol nem csak te, hanem a masik fel is tud, akkor is ha keszpenz :)
(bocs, nem tudtam kihagyni)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Bocs, hogy kérdezem, de a banki applikáció nélkül hogy működik a kettős hitelesítés YubiKey-el. Nem értek hozzá, s tényleg tudni szeretném.
Csak peldanak hoztam fel, mennyire kifordult a vilag magabol. 6-8 eve meg felhivott a bank ejjel fel 3 kor hogy hajnal fel kettokor en voltam e aki a neten fizetett. Orultem a hivasnak es megkoszontem, most meg mar be se tudok lepni az applikacioba, ms google ugyanigy zar ki a vedelmem erdekeben es leszarjak hogy epp neked mennyire lenne szukseges a szolgaltatasuk.
A bankomnal nem fog mukodni, de nem is oda tervezem, hanem mindenhova ahol tamogatjak. Ezert kerestem elterjedt megoldast.
Osszesegeben kerestem megoldast ami nem fugg a ket szolgaltatotol. Mivel ha nem tudsz belepni a gmailedbe outlookba akkor semmihez se fersz hozza amit oda kotottel be.
Kéne tudni, hogy melyik bank, milyen verziójú OS illetve alkalmazás, mennyi ideig nem volt használva az app...
Soft tokenből nem csak a google authenticator létezik, és attól, hogy ők csinálták, nem kell neki hálózat, ergo nem telefonál haza, ha attól félnél.
Mielőtt elolvasod, kalkuláld bele, hogy sok éve használok YubiKey-t és nagyon meg vagyok vele elégedve.
1, A TOTP megoldások szabványosak, nem teszed magad függővé a gyártótól, ez nem lehet érv. Gyakorlatilag ingyen van, ha YubiKey-t választasz az közelebb lehet a lock-in-hez.
TOTP: 0 Ft
2, Ha NFC megoldásra van szükséged U2F/Webauthen-hez hogy könnyebb legyen az élet, szinte kötelező, hogy legyen egy tartalék eszköz. Emellett, ha a szolgáltatás támogatja célszerű egy másik 2nd factor auth, abban az esetben ha mégis elveszítetted volna mindkét kulcsot, vagy meghibásodott az NFC a YubiKey-en (igen jártam így)
YubiKey 5 (NFC): 80-110 EUR (esetedben jelenleg ez akciósan most 43k HUF) !2db!
3, Ha nem akarod csak a U2F/Webauthen részét használni a YubiKey-nek (leírásodból nagyon úgy tűnik, bár így lényegében elveszted az előnyeinek 80%-át) akkor elég a Security Key a YubiCo-tól (NFC-s A vagy C)
Yubikey Security Key (NFC) 55-65 EUR (esetedben 23-27kHUF csatlakozótípustól függően) !2db!
Mindegyik esetben célszerű egy másik feloldási módszer (ahogy már írtam) ha otthagytad valahol a YubiKey-t vagy épp nem tudod valamiért használni.
p.s: Ami történt veled, lehet kellemetlen, de a saját érdekedben tették veled és sokkal rosszabb lenne ha az eset nem fogott volna meg egy lehetséges visszaélést. Szóval ez nem a függésről szól. Az SMS/etc teljesen opcionális x-edik 2ndfactor
Koszonom kell a webauth es az nfc, 5-os lesz. Ez tunik hosszu tavon 5-15 ev jo megoldasnak, remelwm nem tevedek. Termeszetesen lesz mellette valami mas auth is tartalekkent email cimre kod, sms stb. Ami op rendszer fuggetlen.
Azt hiszem akire válaszoltál kicsit félreérthetően fogalmazott:
A security key tudja a webauth,fido2 és az NFC-t, de nem tud TOTP HOTP stb.
https://yubikey.co.hu/yubikey-kulcsok-osszehasonlito-tablazata-2
Tehát a pontos fogalmazás: ha nem akarsz többet mint webauth, U2F és fido2 NFC akkor......
A security key kb a fele a Yubikey 5 NFCnek.
Pontosan. Annyit, hogy ez a táblázat pontosabb https://yubikey.me/compare-yubikey/ de ezen sincs rajta, hogy van C csatlakozóval Security Key NFC. A YubiKey 5 sokkal több (megéri, ha használod) PIV smartcard funkció miatt főleg, vagy a static pw slotok miatt.
http://www.optimumunknown.com/goodusb.html
Lehet, hogy hülyeség, de ilyet nem lehet relatív egyszerűen csinálni valami 1-2000 Ft-os arduino kompatibilis stick-el? Perszegy munka(/móka, ki hogy áll hozzá).Most látom, amit @levideo küldött be, bocsi.
Jó kérdés, hogy a kódgeneráláshoz hogyan tárolja a kulcsot... Ki lehet-e nyerni az eszközből, vagy sem? Mert ha kinyerhető, akkor lóf...jóska sárga cetlije a monitoron kategória...
A kulcsot tartalmazza a QR kód, amit az elfogadó fél képez. Így néz ki a QR tartalma :
A {kulcs} -ot be lehet az Arduino kódba írni, de HEX formában kell. Itt tudod a a {kulcs} -ot HEX -é alakítani : https://cryptii.com/pipes/base32-to-hex
De letárolhatod SD-kártyára is (SD-kártya kezeló modul) , akkor nem kell fixen a kódba írni sem.
Ha érdekel el tudok küldeni egy minta .ino fájt ami én használok ..
Igen, letárolhatod SD-kárytára, vagy kiplakátolhatod vele a várost. Épp ez a kérdés, hogy hogyan oldod meg azt, hogy a kulcshoz _ne_ lehessen hozzáférni, azt az eszközből ne lehessen kinyerni.
Hát igen .. Modjuk egy bin fájlból elég nehéz. Én a forráskódba írom be , és lefordítva bin-ként írom fel az egységre.
Csak bedugom az USB aljzatba, felmegyek a google fiókomba pl. , megnyomok rajta egy gombot és a generált 6 számjegyet , mint egy virtuális billentyűzet beírja a mezőbe. Ha ellpoják is a pendrive-ot , nem tudják a google jelszavamat. Ez az első faktor.
"Modjuk egy bin fájlból elég nehéz"
Na ne vicceljünk már...
Nem a bin -fájlt látja a tolvaj. Sőt semmi nem lát az AtMega32U4 -en, mert ő egy vituális HID , billyentűzetként látszódik csak a gépen.
Rosszul fogalmaztam.
Kiolvasható az eszközből vagy sem?
Egy billentyűzetből hogy olvasod ki a memóriáját, amit a gyártó beleprogramozott ??
Nekem még nem sikerült .. Persze megint lehet azt írni , hogy "Ne viccelj már, másnak ez nem gond!"
De ilyet ÁLLÍTANI én is tudok.
Neked nehéz, ha valaki ki akarja belőle nyerni, annak meg nem nehéz. Ahogy az 1. faktort (jelszó) is védetten kell kezelni, úgy a másodikat is.
Rosszul fogalmaztam. Fentebb pontosítottam .
Szeretném leszögezni, hogy csak kicsit értek jobban ehhez, mint egy átlagos háziasszony, de a gondolataim:
- Sok mikrokontroller zárható. Nem vagyok benne biztos, hogy lehetetlen utána kiolvasni a tartalmát, de annak elég nagy melónak kell lennie.
- Ha valakinek rendelkezésre áll az eszköz, hogy kinyerje belőle a kulcsot, akkor nem biztos, hogy akarja ezt. Mivel tudja használni magát az eszközt.
- Az extra védelem az, hogy ez az eszköz nálam van. Egy random hacker nem fogja használni, aki nincs a helyszínen. Távolról nem fogja tudni kiolvasni a kulcsot, ha az az USB interfészen nem olvasható,
mert csak annyit tud az eszköz, hogy beírja a generált kódot.
Hol látom rosszul ezeket, vagy mi hiányzik?
Jól megfogalmaztad. Köszi. Én is csak néhány hete gerjedtem rá erre a 2FA dologra.
Néhány éve kezdtem el foglalkozni Arduino/ESP eszközökkel. Közel sem maximum a tudásom.
De szerintem sem (vagy legalább is elég nagy munkával) oldható meg a beégetett adat megszerzése egy ilyen eszközből.
pl most az RPI PICO-t néztem, hogy tök jó lenne azt használni, de azt nem lehet lezárni. De atmega-n úgy rémlik, hogy van ilyen FUSE bit, amit ha átkapcsolsz, többet nem olvasod ki a tartalmát a mikrokontrollernek.
A {kulcs} nem titok. Nem az a lényeg. Hiába tudsz generálni akár on-line belépési kódot (https://totp.danhersam.com/), ha nem tudod, hogy hova érvényes az.
Kulcsod van de nem tudod , hogy hol van a zár hozzá . Illetve ahogy a neve is jelzi ez 2-szintes auth. A belépéshez, mondjuk a Google fiókba tudni kall az e-mail címet , a jelszót, és a generált kódot.
Ha és amennyiben a 2. faktor nem titok (hiszen onnantól, hogy a kulcs nem titok, az egyszer hazsnálatos kód sem az!), akkor az mennyivel növeli a usernév/jelszó páros biztonságát? Gyakorlatilag semmivel, mert ha nem titok, azaz bárki hozzáférhet, akkor az user/pw ellopása esetén a nem titok one time password-del lehet próbálkozni.
Plusz egy mobil vagy esetünkben egy PENDRIVE kell hozzá amin generálsz kulccsal, a usernév és jelszón kívül. Mondjuk a kulcs ismeretében akár On-Line felületen is tudsz generálni 6 jegyű számot. Van egy néhány a neten ..
Talán ezzel ..
Az egész TOTP generálás nem egy nagy kaland.
Van két fél. Az egyik , ahova be akarsz authentikálni és egy másik , aki te vagy.
A kód generálás röviden: Van egy string : ABCDQWERZUIIO5174M . Van a pillanatnyi időpontból képzett timestamp
Ha mind a két helyen ezzel generálsz egy kódot (van a neten egy csomó ilyen lib minden nyelven), akkor a két kód meg fog egyezni.
Ezért nem kell hozzá internet a generálónak, csak tudnia kall a pontos időt (rtc modul kel az arduinohoz).
Én egy kis CJMCU (AtMega32U4) és egy ZS-04 RTC egységet vettem és Arduino IDE vel megcsináltam a google auth-ot.
Működik szépen ..
aha, és ehhez mi köze van a yubikeyhez?
Semmi ,csak fentebb kérdezték, hogy nincs-e olcsóbb alternatíva a 2FA auth-ra. Van , példáúl ez.
Ez egy vicc, nem alternatíva. Erre ott a telefonod, minek erre külön barkácsolni?
Pláne úgy barkácsolni, hogy a 2FA-s kulcsával (amiből idő alapon generálódik az OTP) simán hajlandó lenne teleplakátolni a várost...
Nem plakátolok ki semmit. Ezt csak azért írtam, hogy nem titkos, hiszen benne van a 2FA QR kódban , a 'secret=' paraméterben. QR-code olvasóval kiolvasható.
A Yubikey szerintetek mit csinál ?? Ugyanezt.
Találsz/lopsz/kapsz egy yubikey-t. Egész pontosan hogyan szeded ki a secret paramétert belőle?
Benne van a qr kódban, igen, de az a kérdésem, hogy a tokenből, miután belekerült, kiolvasható-e a kulcs? (Nem, nem véletlenül "secret" a neve...)
Ha már el van tárolva a tokenben , akkor valóban sehogy.
De ilyen módon a akár az általam használt AtMega32U4 alapú eszközön sem lehet kinyerni, mert ez egy virtuális billentyűzetként látszódik a gépen.
Az eszköz megbontásával, a chip-re kapcsolódva sem lehet visszaolvasni a beletöltött kódot? Mert egy normális hw token esetében ahhoz a memóriához, amiben a védendő adatokat tárolja az eszköz, csak a CPU fér hozzá, kívülről nem olvasható.
Ennyire nem mélyedtem el benne .. Olvass utána, ha érdekel !!
Te akarsz kommersz mikrokontrollerrel hardvertokent csinálni, nem én, úgyhogy neked kéne elmélyedni abban, hogy hogyan is kéne működnie az eszköznek, mit, és hogyan kellene védenie. Én láttam jó meg khm. kevésbé jó idő alapú egyszer használatos jelszavakat generáló megoldásokat - nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen.
"nagyon nem triviális az, hogy valóban jó és biztonságos eszközöd legyen" +1
Egyébként az biztos, hogy egy biztonsági dolgot nem jó ötlet házilag tákolni, ha nem hobbi célra használod. Ilyen a "házi" riasztó is, nem csinálnám. 1000 dolgot szívott végig a gyártó, mire minden tapasztalatot összeszedett, mire a megoldása ott tart, ahol éppen tart.
De ismerkedni a megoldásokkal, tanulni tök jó.
A házi megoldásoknak van az az előnye, hogy más kevésbé tudja kiismerni. Egy gyári riasztónak minden adata, kapcsolása fellelhető a neten, szerintem.
De más, gondolom másként látja ezt .. Joga van hozzá.
Igen, csak a házi megoldásokból az szokott hiányozni, amit már régen feltaláltak. Lehet, hogy aki házi megoldást csinál, nem is tud valamiről, hogy azt hogy lehet nagyon egyszerűen meghackelni, vagy eszébe sem jut valami alap dolog, ami hiányzik a megoldásából. De még a lakástüzet sem tartom kizártnak.
Azt nem hiszem, hogy egy "gyári" riasztót, egy profi nem tud fél perc alatt kikapcsolni. De ott az lenne az optimális, hogy hiába ismeri az eszközt A-Z-ig, akkor sem tehet semmit.
A google fiókom védelmére ez pont elég, és olcsóbb is mint a Yubikey jóval. A jelszavamat úgy is havonta változtatom , ez alap.
Ez a baj, mikor arról írsz amiről látszólag keveset tudsz. Pláne, hogy meg is vagy győződve, hogy mindent. A YubiKey esetén U2F megoldásról beszélünk, ahol nincs shared secret.
Ahogy látom már úgy sem aktuális.
Koszonom mindenkinek megrendeltem yubikey 5 nfc usb a valtozatot mar uton van.
ha a hazai forgalmazótól rendelted, megosztod kérlek, ki az?
https://www.yubico.com/support/shipping-and-buying-information/reseller…
Hungary-ra csak a Mind-info kft-t hozza ki.
Persze nem titok, Onnet rendeltem. https://yubikey.co.hu/
Nem nyitok uj temat, mert lusta vagyok.
Aki Yubikey 5-ot hasznal, az figyeljen picit: https://it.slashdot.org/story/24/09/03/1810216/yubikeys-are-vulnerable-…
Reggel végigolvasva nagyon nincs miért aggódni.
Természetesen, ami egyszer márhoz került, az már nyugodtan tekinthető kompromittálódottnak. Csere.
trey @ gépház
https://support.yubico.com/hc/en-us/articles/15705749884444-Infineon-EC…
Csak fúrja az oldalamat a kíváncsiság, ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?
Írhatna róla valaki egy hosszas blogposztot, mikbe futott bele ilyen fókuszú felhasználási módozatok mellett. Pl. mire abszolut alkalmatlan amiről mélyen hallgat a gyártója? Mi az amit az átlag félreértelmez egy ilyen eszköz megvásárlása előtt, amivel a kézhezvétel után szembesül először (buyers remorse)?
Valós tapasztalatok érdekelnènek elsősorban. A fizetett jutub influenszer review-ok nem érdekelnek, és sajnos előbbiekből van kevés, nehezen megtalálható.
"ezzel a Yubi-val home userként meg lehet(ne)-e oldani a password managerek védelmét, belépést sokfaktorossal a cociális networkökbe (FB, twitter), Gmail meg úgy alapvetően a G fiók, Msft fiók és a többiek?"
Gyakorlatilag ez a fo funkcioja szoval a valasz igen :D
Nekem mindenhol YubiKey -van beallitva. Google/MS fiok egyeb webes fiokok es Password managerben is.
Eddig nekem nem volt semmilyen problemam (sem Windows sem Mac alatt) Linuxrol nem tudok nyilatkozni. Nekem van NFC kepes is. Erdemes legalabb kettot venni es az egyiket elrakni backupnak ha esetleg az elsodlegest elhagyod/ellopjak.
Email titkositasnal is lehet vele autholni ha esetleg azt is akarsz (OpenGPG-t is tamogat)
Mi használjuk, elsősorban céges use-case-re, de rákötöttem a privát dolgaimat is (a yubikey a sajátom lesz, ha egyszer kilépek). Jelszót nem váltottunk ki vele sehol, de második faktornak be van állítva gitlab/google/facebook (?)/stb helyen. Kényelmesebb, mint a TOPT-tal baszakodni, és ha jól értem, secure-abb is.
(bár sajnos a legtöbb helyen a TOPT megmaradt alternatív 2FA-nak, így a security nem lett erősebb; de a munkahelyen szigorúan webauthn van, kötelezően mindenhol).
De ki tudod próbálni te is, Yubikey nélkül is, ha van egy androidos vagy ios-es készüléked. De talán Macbookok vagy a Windows Hello is tudja, ha van benne biometrikus cuccmucc - és talán-talán linuxra is össze tudod tákolni, hogy egy jelszóval védett, a laptophoz/géphez kötött kulcs legyen, így.
A weben van egy csomó oldal, ahol tudsz játszani azzal, hogy a meglévő eszközöid vajon hogy támogatják. Ez pl egy: https://webauthn.me/
Tapasztalatok:
Nagyon hasznos kis eszköz, pl a keepass is kezeli. Be lehet állítani, hogy a jelszavakat tároló titkos adatbázist ne csak a kézzel beírt jelszóval tudd megnyitni, hanem a yubikey is kelljen hozzá.
Vagy ami tök jó: A TOTP: (time based one time password, amit valószínűleg most is használsz a google authentikátorral pl). Desktopra telepíthető alkalmazása is van, nem csak mobilra tudod feltenni. Az adatokat a kulcson tárolja, így egy fokkal biztonságosabb, mint a sima authentikátor app.
Nagyon kényelmes, hogy a Google-be, facebook-ba úgy lépek be, hogy beírom az email címem, majd a yubikey-re lementett pinkódot, és csak meg kell érinteni a yubikeyt.
Van akinek nagy előny, hogy akár el is hagyható az okos-telefon ebből a szempontból. (aki pl privacy kérdések miatt aggódik, elég pl egy buta telefon)
Én nem bánom hogy vettem. Érdemes kettőt venni, és mindkettőt ugyanúgy felsetupolni. Backup, ha az egyiket elhagyod.
családban történt csalási esett miatt vettem egy YubiKey 5C NFC-t, hogy kipóbáljam, ezzel emelni lehetne-e az "átlagember" digitális biztonságát.
Ám nem vagyok meggyözödve, hogy ténylegesen védelmet nyújott volna-e az említett esetben. A történet a következö volt:
- sógornö el akart adni egy futócipöt Facebook piactéren.
- relatív hamar jelentkezett valaki, akit érdekelt az üzlet
- elkérte sógornö telefonszámát, meg emailcímét, hogy küldi a foxpost ürlapot, ahol ki kéne tölteni a bankszámlaszámot és már utal is
- a link persze egy phising oldal volt, ami meg lett nyitva a telefonon, onnan kellett tovább menni a banki oldalra. Ott beadta az adatait, de a belépéshez az sms már nem érkezett meg
- aztán gyanús lett neki a dolog, hívta a bankot kb 2 perc múlva, de túl késö volt és ugrott 600k ft.
- ez mind éjfél elött 20 perccel. a banki telefonos hölgy már semmit nem tudott tenni állítólag, a pénz ment egy revolut számlára, onnan meg valahova
- hihetetlen, de az Unicredit még mindig sms alapú rendszert használ
- amikor az ember pénzt fizet be, akkor persze igazolnia kell magát (vicces módon külföldön csak oda adom a banki ablaknál a kártyám meg az összeget [nyilván van felsö határ], és ráteszik a számlámra), és teljesen átláthatónak kell lennie - de ilyenkor utalást nem tudtank visszahozni
- a bank persze mosta kezeit, hogy hát a felhasználó adta meg az adatokat, ök nem tudnak tenni semmit - szerintem az ö felelösségük olyan rendszert nyújtani, amit nem lehet így kijátszani
Kérdések:
1) amit máig nem értek (és az egész pontos, kronológikus ügylefolyást sem tudták pontosan elmondani nekem) az az, hogy a csaló hogy tudta már az elsö sms-t elfogni? Azzal a mókolt foxpost-os oldallal telepített valamit, amivel remote nézte a telefon képernyöjét vagy magának elküldte valahogy a banki adatokat? és valahogy így hozzáfért a telefonon a bejövö sms-kez, megkapta a kódot, elküldte magának és kitörölte az sms-t?
Nem tudom, átírta-e utána a telefonszámot egy sajátra, hogy kényelmesebben tudjon utalni...
2) tegyük fel, lett volna rendes 2FA applikációval (akár YubiKey) a bankszámlához a telefonon - ha nézték a képernyöjét, akkor az sem segített volna, nem?
3) ebböl kb azt kell leszürni, hogy nem azon az eszközön bankolunk ahova a bármiylen authenticator van felrakva, és így külön tartjuk a 2FA kulcsot a banki ügyintézéstöl? Tehát gépen bankolni, telefonon TOTP vagy telefonon bankolni és mondjuk YubiKey Auth a gépen?
4) aki már használ YubiKey-t: nem macerás állandóan rádugni a gépre/NFC olvasóhoz érinteni a kulcsot? A lakáskulcsom karikájára tenném, mert kb egy szintü a fontosságuk. De tényleg ad ennyivel többet mint egy 2FA-s banki app vagy egy Google/MS/xy Authenticator?
5) kipróbáltam egy számomra kevésbé fontos alkalmazáshoz: dropbox-ot bekonfigurálam, müködött minden egyszerüen. Valahol olvastam, hogy belépésnél csak meg kellene érinteni az "arany" Y-t a kulcson és már be is másolná az TOTP-t a weboldalra. Ez nekem csak egy hosszú OTP-t másol be...át lehet állítani OAUTH-HOTP-re, de akkor is csak egy fix kulcsot tudna. Ezt nem lehet átállítani úgy, hogy mindig a meglefelö weboldal 6 számjegyét írja be a mezöbe?
elöre is köszi.
Yubikey pont a szar (net)bankos rendszereket nem tudja megvédeni. Nemcsak idehaza, hanem a világ más országaiban sem, 1-2 ritka kivétellel sehol nem tudod használni. Paypal-nál sem.
Némi olvasnivaló a témában: https://hup.hu/node/186684
Egyelőre valóban nincs igazán olyan netbank, ahol a yubikey lehetne a 2. faktor - mivel a megadott eszközre küldöt push csak minimálisan gyengébb ennél, így nem tornáznak rajta a bankok, hogy legyen.
köszi, megnézem.
Yubikey Paypallal már müködöképes. de elég gyatra a folyamat, 2x dobott ki alatta és többször az volt az érzésem, nem vette át a változtatásokat a 2FA engedélyezése alapján
A banki oldalra a vévévépontbankomneveponthu címről kell belépni, nem random oldalról átirányítva/random linket megnyitva. Jelenleg értelmes helyen a banki mobil alkalmazásba küldött push a 2. faktor, az SMS csak fallback.
Az ilyen csalások esetén a sértett nem biztos, hogy minden részletet kifejt az eset elmondása során, pláne azt ne, amiből kiderülhet, hogy ő volt a hunyó. Sajnos. Edukáció: amit az első mondatban írtam, az kell elsősorban. Másodsorban meg az SMS-t, mint második faktort elfelejteni, de qrvagyorsan...
persze hogy a bank hivatalos oldaláról kell belépni, ö is tudta. De valami szöveggel nyomást gyakoroltak rá, hogy ha nem teszi meg x percen belül, akkor ugrik az üzlet. Ö sem hülye, csak ügyesen egy olyan helyzetbe lett becsalva, ahol egy pillanatra kihagyott a józan ítélöképessége
nyilván az sms csak fallback, de a kérdés, az Unicredit támogat-e 2FA-t egyáltalán? Ez oldal (Unicredit) szerint igen, majd akkor át kell nézzem vele, ha még nem aktiválta...kérdés, egy hasonló helyzetben kicsalják-e belöle a 2FA-s kódot
Arra tippelek, hogy az illeto az SMS-ben kapott kodot is beirta a phising formba. De az csak a belepeshez eleg. Az utalashoz ujabb, SMS-ben erkezo alairo kodra van szukseg. Bar az is lehet, hogy a belepesnel hasznalt kod is jo, ha 30mp-en belul tortenik minden.
Tudtommal a Yubikey sehogyse hasznalhato a magyar bankok 2FA-jakent.
Tessek, meg is van: https://www.unicreditbank.hu/hu/maganszemelyek/napi_penzugyek/elektroni…
-> Csalástípusok -> 2. pont
na ez az amit viszont nem értek, hogy miért lehet így látatlanban kiküldve mobilapp aktiválást kezdeményezni. Az Erste-nél, ha telefont váltasz, akkor a még regisztrált telefonon megjenik egy QR-kód amit az új telefonnal be kell olvasni. Tehát mindkét készüléknek a kezedben kell lennie. Persze be lehetne mesélni az áldozatnak, hogy fotózza ki és küldje tovább, de remélem az már mindenkinek leesne... (néhány embernek valószínüleg így se)
Ismerek olyan bankot, ahol csak személyesen, a bankban lehet pl. a számlához hozzárendelt telefonszámot megváltoztatni. Kényelmetlen, de talßan a legbiztonságosabb
:)
a gyenge lánccszem a user. mint mindig :)
Tényleg, legtöbben nem is értik miért jobb ez, mint egy telefonos app.
Nekem van céges és privát is.
A privát az egy régebbi darab, ismerkedés célból vettem, a gakorlatban nem igazán használom. (az elavultsága miatt)
A céges az eny 'nano 5', és 2FA-ként szolgál a céges SSO-ban.
A viccess része, hogy ez csak egy a sok lehetőségből, ahol persze a sok között ott az email is :D szóval valós végelmet nem ad, mert ugye minden rendszer csak annyira biztonségos amennyire a leggyengébb láncszeme.
Még
viccesebbszánalmasabb, hogy van hogy a két authentikációt gyakorlatilag ugyan azzal az appal tudom megoldani.Nesze neked MFA! - de a 'security theater'-ben jól mutat hogy van ilyen is :D
Aki valós security előnyt szeretne ezzel, annak:
- ezen kell(ene) generálnia és tárolnia az összes (SSH/GPG/TLS) kulcsait,
- NEM jelszó helyett, hanem mellé MFA-ra való.
- De kizárólag ez kell(ene) legyen a 2. faktor, semmi bugyuta failback.
- duplikálni kell (fizikailag) hogy legyen backup eszköz.
szerintem.
zrubi.hu
nemide
Aztán most olvasom, h. yubico-éknál a firmware update mint olyan nem létező fogalom. By design, azért nem! Azaz ha defektes volt a pre-5.7.0 hardvered, akkor kvázi új hardware reviziót kell venned, ami már új szoftverrel (azaz itt a kütyün levő firmware) hagyta el a gyár kapuját. Ami a gyárat 1x már elhagyta, az többé firmware update-t nem lát élete végéig. Se security vulnerability miatt, se fícsör bövülés miatt.
https://support.yubico.com/hc/en-us/articles/360013708760-YubiKey-Firmw…
Ergo tudnod kéne milyen reviziójú / verziójú a hardver amit a bolt árul, mielőtt kifizeted, nehogy apdét előtti régebbi szériásat sózzanak a vevőre (rád)!
Jó kérdés, hogy abban az esetben, ha kiderül, hogy (nagyon) lukas a firmware, a gyártó cseréli-e az eszközt garanciában? Mert ha arra célra,a mire eladták nem, vagy csak korlátozottan alkalmas, akkor azt minimum illene javítani, vagy ha nem javítható, cserélni...
A mostani sebezhetoseg semmiben nem befolyasolja a mukodeset. Atlagember kulcsait nem fogjak masolgatni mert rendkivul draga hack. Akiknel meg ez szobajohet ott ha kikerul a latokorodbol az eszkoz (ertsd jol ha mas is hozzafer fizikailag akkor mar tekintheted kompromittaltnak)
Fűrdeni is yubikey-el a kezedben kellene menni?
Van az a szintu (megalapozott :)) paranoia, ahol vinni kell a furdobe is, de egy-ketszaz emberrol beszelunk globalis szinten :)
Akinek ilyen szinten veszélyben az élete, azt kb a konzumer cuccok amúgy sem tudják megvédeni a diktátor / CIA bérgyilkosaitól.
Még a security része érthető is lenne, de miből tartott volna egy hardveres kapcsolót rárakni, amivel engedélyezni lehet a firmware frissítést? Mint az a kis pöcök, ami ott van az SD kártyákon. Vagy a ház kinyitása után elérhető SMD gomb, ami a Ruuvi tag-ekben van.
Valószinű nem attól akartak megvédeni, hogy tudtodon kivül frissül a firmware, hanem attól, hogy egy hackelt firmware kerüljön rá.
Azt mondják a gyárban garantálják a fw valódiságát és pont. A user ne töltögessen rá új fw-t, mert onnantól nem garantálják, hogy nem lesz hackelhető az eszköz.
Arra meg megoldás lenne a crypto. Csak aláírt firmware-t engedne rátenni, és a kulcs bele van égetve.
Igen, aztán a kulcs véletlen kiszivárog vagy becsúszik egy implementációs hiba és viszlát.
Lehet igy is, de szerintem teljesen érthető egy ilyen eszköznél, hogy a gyártó úgy döntött, hogy nem vállal be ilyen kockázatot.
Ha csak az ellen akarnak védekezni, hogy a beszállítói láncban ne nyúljanak bele, akkor elégséges. Mert ha kiszivárog a kulcs, akkor az a már felhasználóknál levő eszközöket nem érinti. Csak azokat, amik még a beszállítói láncban vannak, és azokat be lehet vizsgálni, és lehet vagy új kulcsot rájuk tenni, vagy felülírni a firmware-t a biztonság kedvéért.
Biztos lehet ebben az érvelésben is hibát találni, nem is az a lényeg, hogy tökéletesen megoldjam a problémájukat. Csak azt mondom, hogy elég gáz dolog úgy kiadni egy security eszközt, amiben lehetetlen javítani a security hibákat. Ez még a planned obsolescence-nél is rosszabb.
Nem csak a beszállitói láncban. A usereknél is gond lehet, ha már más is tud aláirt (akár implementációs hiba miatt nem is jó kulccsal aláirt) érvényes fw update-et késziteni.
Továbbra is állitom, van ráció ebben. Ha komoly security gond van, akkor pedig nem javitani kell, hanem cserélni. Amit jó esetben ingyen megtesz a gyártó.
Pontosan. Mennyibe kerul egy yubikey 5, huszonezer forint? Mindezt kis tetelben vammal, afaval, kereskedok arresevel stb. Tobbe kerul az idom, mig a regit szetverem kalapaccsal, es elsetalok a sarki boltba egy ujert.
Ha a gyartotol szerzed be rendes mennyisegben, biztosan megoldhato a csere is. De akkor valoszinuleg megint nem az eszkoz egysegara lesz a bajod, hanem az esetleges biztonsagi kockazat, az uj eszkozok szetosztasa, illetve az adminisztracios koltsegeid, amivel a csere jar.
"aztán a kulcs véletlen kiszivárog" - Hint: HSM. Szóval maximum az implementációs hiba jöhet igazából számításba - a kulcs kiszivárgásához bizony a HSM-ben kell implementációs hibának lenni, _és_ ezt kihasználva az aláírókulcsot valakinek megszerezni.
Ami a másik, hogy a firmware _cseréjéhez_ a firmware-t tartalmazó tárterületnek valamilyen "csillagállás" esetén írhatónak kell lennie, illetve kell egy legalább a firmware méretével megegyező staging terület, amire betöltődhet a potenciális új firmware, _és_ ott az eszköznek egy nem módosítható tárhelyén lévő kód első körben letiltja az írását(!) majd ellenőrzi, és ha rendben van, akkor felülírja vele az éles firmware-t.
Ehhez kell egy feldolgozóegység, ami képes írni a firmware területét, kell egy staging terület, amit USB felől lehet írni, és ez a frissítő egység felügyeli az írhatóságát, stb.
(Házi feladat: átgondolni, hogy miért nem jó egy pécén/külső eszközön elvégzett integritásellenőrzés alapján betolni a friss firmware-t az eszközbe)
Hogyne HSM, ami egy api-n keresztül aláir bármit, amit adsz neki... Elég, ha azt az api-t meg tudja hivni a támadó a hackelt fw-el és máris van egy aláirt támadó fw-je, amit az egész világon bármelyik yubi megeszik.
Továbbra sem látom, miért akarnák ezt a kockázatot bevállalni? Mit nyernek vele? Annyival többen vennék a terméküket? Vagy éppen kevesebben?
HSM, igen. Csak épp nem online, hanem offline, azaz bezárva egy jól védett gépterembe, illetve rackszekrénybe, ahova csak meghatározott körnek van bejárása, és az aláírandó firmware-t "sneakernet"-en viszi be, illetve aláírás után ugyanígy hozza ki. HSM-mel lehet jól csinálni igen erős megbízhatóságú aláírást - hsm nélkül meg nem igazán.
"Továbbra sem látom, miért akarnák ezt a kockázatot bevállalni?"
A kockázat (amit fentebb írt módon gyakorlatilag nullához közelire lehet csökkenteni) az egy dolog, a másik a nehezebb része: a hardvert kell úgy kialakítani, hogy saját maga képes legyen a rátöltésre szánt firmware-t megbízhatóan ellenőrizni, és csak és kizárólag a sikeres validálás után élesíteni. Na ez az, amihez az eszközt is át kellene tervezni - nem is kicsit.
Erről a netlock "webes" aláirása jut eszembe, ott is HSM-el irják alá az ügyfél nevében, az is egy vicc.
Ha elzárod a nagyontitkos rack szekrénybe, akkor is alá tudja iratni vele egy bad actor a hackelt fw-t, ha hozzáfér.
De lényegre továbbra sem válaszoltál, miért kellene ezt a - szerinted - minimális plusz kockázatot bevállalnia a yubinak? Mit nyerne vele? Több ügyfelet? Vagy kevesebbet?
Mint irod nagyon át kellene tervezni az eszközt, hogy biztonságosan működjön a fw frissités. Ezt mondtam én is. És vissza is kanyarodtunk a MINEK kérdéskörhöz.
"akkor is alá tudja iratni vele egy bad actor a hackelt fw-t, ha hozzáfér"
Az a bad actor most is bele tud kókányolni disznóságot a firmware-be, ha a megfelelő helyen/módon hozzáfér. Az, hogy a release-elt, azaz gyártásba kerülő eszközökre írandó firmware hogyan van védve, azt nem tudjuk - de vélhetően megvan a védelem a "release-re mehet" állapot és a chip-be beírás közötti útvonalon történő mókolás ellen. Lehet, hogy pont azzal, hogy a buildelt firmware kap egy aláírást, és a chipbe író eszköz ezt ellenőrzi.
Nem én írtam, hogy kéne mondjuk aláírt firmware feltöltésére lehetőséget adni - én csak leírtam, hogy mekkora munka lenne ezt megvalósítani - amiben pont nem a firmware aláírása lenne a legnagyobb probléma, hanem az a része a folyamatnak, amikor az aláírt firmware rákerül az eszközre, megtörténik az ellenőrzése, és a korábbi firmware felülírása/tényleges cseréje lezajlik.
Az aláírtan kiadott firmware frissítés plusz munka, minimális előny és hardveres módosítást igényel, úgyhogy én is azt mondom, amit te, hogy ez a gyártónak nagyon nem éri meg, mert jelentősen több ügyfele nem lesz tőle, az eszközökkel szembeni bizalom nem fog relevánsan megnőni - miközben azért bőségesen kellene a dologba pénzt lapátolni.
Még jó hogy van erre szabvány hogy hogyan kell ilyen rendszert csinálni.
https://www.commoncriteriaportal.org/files/ppfiles/anssi-cc-pp-2018_02f…
Nincs mit.
Köszi szépen, továbbitom a yubiéknek, biztos nagy hasznukra válik.
Az hogy van rá szabvány módszer, az egy dolog - a kérdés az, hogy adott eszközben (ami a védett értékekhez képest jellemzően elhanyagolható költség) érdemes-e, gazdaságos-e egy minden szempontból védetten/biztonságosan működő firmware-csere lehetőségét megvalósítani, vagy sem. Ha át kell tervezni a teljes eszközt, újabb komponenseket kell belepakolni, növelve a gyártás bonyolultságát és költségét, miközben az árban ezt nem lehet részben sem érvényesíteni, akkor nem érdemes ebbe invesztálni.
A HSM a szolgáltatónál van és az ügyfél online aktivál kulcsot kérdésre dobtam be a szabványt amely alapján az ilyen szolgáltatásokat nyújtani lehet auditálás után.
Ez esetben a severity miatt nem cserélik (Ez a hivatalos válasz. Rákérdeztem, annak ellenére, hogy olvastam a saját minősítésüket)
Ha olyan lenne ami súlyosnak minősülne, akkor cserélnék. Nem hiszem, hogy nem lehetne nagy tételben velük vitázni, és egy Alphabet biztosan kapott is valami ellentételezést. Kicsi (<1000 eszköz) tulajok semmi jóra ne számoljanak.
Szerintem jó ez, ha nem lehet frissíteni a firmware-t, akkor nem is tudja egy támadó felülírni a sajátjával. Oké hogy akkor kukázni kell a teljes eszközt, de ez így biztonságos.
Ott a pont. A firmware-t másik aláírtra cserélni nem triviális, ha a teljes útvonalon biztosítani akarod, hogy ténylegesen az aláírt, eredeti image kerüljön az eszközre kiírásra.
https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp
Ez hol a francba lenne a Yubikey alternatívája?
A YubiKey nem csak egy TOTP eszköz, tud sok más dolgot is.
Ha jól értem a topiknyitót itt a totp is elég.
Nem tudom mennyibe kerül most ,de én annó fido2 key-t vettem, és használom is mai napig is. Az okostelefonról szinte teljesen lejöttem, gyakorlatilag banki app van még rajta meg nagyritkán gps-re veszem csak elő, egyébként a táskában elvan internet tab-ként. És pont azért amit írsz, hogy az okostolefonos app kitettségemet csökkentsem. Ezzel lehet biztonsági és kényelmi okokból nem egyetérteni, de én ezt látom jónak jelenleg. A webes második faktort váltom ki vele, és debianon is megy. (de laptopot nem azzal authentikálok, megtartottam a jelszavas módszert, csak pl. outlook vagy google fiókhoz) Nézd meg, hátha beválik neked is. Én max hobbi okokból kezdenék saját megoldást építeni, mert kész működő megoldások vannak, amik átlag embernek tök elég. Mivel nekem több lépcsős belépnem bejutni mindenhová (a saját laptopom sem triviális) így is magasan túltoltam tudom jól, mert nem vagyok illegális poresz terjesztő ,drogbáró ,tenorista :D
-42-
Azóta is használom, email fiokok vedelmere, notebook login kenyelmes. Bar ott mar az ujjlenyomat is jol megy mar. Ami felmerult gond az elmult hónapokban noname android tv-n egy core rendszer frissites utan nem lehet a kulccsal hitelesítési, hasznalhatatlanna valt, uj emailt kellett csinálnom a ket android tvre es/vagy boxra.
Telefonos hitelesito appot nem is hasznalok privatban.