Kétfaktoros hitelesítés asztali gépre

Linux Mint

Sziasztok!
Google Authenticator-szerű kétfaktoros hitelesítő programot keresek Linux Mintre. Létezik ilyen?

  • 2130 megtekintés

Ránéztem az authy.com-ra, és nekem ez nem világos, mire is lenne jó. Próbálják magyarázni az egységsugarúnak, és van fenn egy kis videó, amiben arról értekeznek, hogy micsoda nagy veszély, ha online accountokhoz illetéktelenek hozzáférnek, de ettől a videótól sajnos nem világosodtam meg.

Szerintem egy banki account eleve kétfaktoros (vagy ha nem, sürgősen keress másik bankot). A social media oldalakat nem ismerem, de a Google tudtommal szintén tud kétfaktoros azonosítást.

Ha jól értem az itt leírt kommenteket, a PC lokális fiókjára is alkalmazható ez a 2FA technológia. Ennek azonban nyilvánvalóan feltétele, hogy az adott gép online legyen. Na de mi van, ha a laptopot olyan helyen akarom használni, ahol nincs internet kapcsolat? Erre asszongya, hogy:

"Twilio Authy generates secure tokens offline from the safety of your Linux device, this way you can authenticate securely even when in airplane mode."

Ez mennyire biztonságos, hogy offline tokent használsz? Nekem mintha rémlene, hogy az offline tokent is el lehet lopni, és vissza lehet élni vele. Arról nem is beszélve, hogy ugyan a gép fizikai hozzáférését ezzel meggátolhatom, tehát ha például tanár vagyok a suliban, nem piszkálhatják a diákok, de ettől még kaphatok féregvírust, ami szépen elküldi a vizsgakérdéseket :-(

Vessetek a mókusok elé, de nekem ez tényleg csak a gyerekek géptől távol tartására alkalmas megoldásnak tűnik. Bár nem vitatom, hogy sok esetben ezzel a fő veszélyforrást máris sikerül kiiktatni :-)

Az offline 2FA TOTP megvalósítása tulajdonképpen annyi, hogy "tovább tudja számolni" az időalapú egyszeri jelszódat (TOTP) egy darabig, amíg az óra-eltérés túl nagy nem lesz.

Az authy nem a pc-be való belépésre való, hanem arra, hogy ezt a TOTP jelszót relatíve kényelmesen tudd beírni oda ahova kell.

PC belépésre értelmes 2FA mondjuk egy ujjlenyomat-olvasó tud lenni.

Gábriel Ákos

"...a TOTP jelszót relatíve kényelmesen tudd beírni oda ahova kell."

 

Ezt végképp nem értem. Ha egy weboldalra 2FA kódot (vagy hívd TOTF jelszónak, ahogy akarod) kell beadni, akkor vagy SMS-ben kapsz a telódra kódot, vagy mint pl. a Google Duo-nál, nem beírós kódot kapsz, hanem a Duo felületén kell lekattintanod egy zöld gombot. Ehhez képest ez az authy hol jön a képbe?

A TOTP nagy vonalakban úgy működik, hogy a szerver generál egy random "számot" (ez a shared secret) amit valahogy eljuttat a kliensre, "biztonságos" módon. Ezt általában úgy oldják meg, hogy mutatnak egy QR kódot, amit be kell fotózni egy megfelelő mobil alkalmazásba.

Ezután mind a kliens (a mobil alkalmazás segítségével), mind a szerver tud generálni egy kódot a shared secret-ből, mely egy időtartományon belül ugyanaz lesz. Tehát amikor authentikálni akarsz, akkor a kliensen generáltatsz egy kódot (X számjegy, legyen mondjuk 6) és ezt beküldöd a szerver oldalra. A szerver tudja, hogy az adott fiókhoz mi a hozzátartozó shared secret, és ő ebből generál egy számsort. A beküldött számsort összehasonlítja az általa generálttal, és ha megegyeznek, akkor beenged.

( Raynes v | 2021. 10. 16., szo – 18:24 )

Most ugye vicceltek. Asztali gépre minek kétfaktoros akármi? Ilyenről még nem is hallottam. Még laptopon sincs sok értelme szerintem, pedig azt elemelhetik akárhol.

The world runs on Excel spreadsheets. (Dylan Beattie)

Azért lehet értelme, hogy nehezebben tudjon egy támadó hozzáférni a géppel a védett hálózati dolgokhoz, pl.

Dolgoztam bankban, ahol smartcard-ot adtak, a laptopomban van beépített SC olvasó, desktop gépekhez pedig külső SC olvasó volt csatlakoztatva.

Belépéshez Windows alatt ki lehetett választani, hogy jelszó helyett SC-vel authentikál az ember, és az SC jelszavát kellett megadni. Szóval a két faktor a kártya birtoklása és a jelszó ismerete volt.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( klixnetwork | 2021. 10. 16., szo – 18:53 )

Kapcsold be a BIOS hitelesítést, akkor már lesz még egy faktor. Esetleg TPM... amúgy mi szükség erre?!

Bocsánat,  nem akaratlagos volt. Ettől még válaszolhatnál, hogy a hozzászólásod miért lenne releváns? Mert kritizálni a kérdést vagy a kérdezőt nem teszi a kérdést semmissé. (megjegyzem egy idegen szó sem volt a kérdésben) 

Az első faktor a pin, amit a bitlocker állít be, a második a windows jelszó.

When BitLocker is enabled on a system drive and the PC has a TPM, you can choose to require that users type a PIN before BitLocker will unlock the drive. Such a PIN requirement can prevent an attacker who has physical access to a PC from even getting to the Windows logon, which makes it virtually impossible for the attacker to access or modify user data and system files.

Requiring a PIN at startup is a useful security feature because it acts as a second authentication factor (a second “something you know”).

 

https://docs.microsoft.com/en-us/windows/security/information-protectio…

Ahogy én értem (és egy kis keresés után megerősítettek ebben), hogy az első faktor megadása után a második faktor bármelyik a három közül lehet:

- valami amit tudsz

- valami amit birtokolsz

- valami, ami vagy
 

Tehát ha van két password-öd, akkor is kétfaktoros authentikációról beszélünk.

 

https://authy.com/what-is-2fa/

Hát rosszul érted. A listád ellenére ez két jelszó, nem is jelent sokkal többet mintha egymás után írnád a két jelszót.

A két faktor akkor tekinthető függetlennek, ha a faktorok megszerzéséhez kell valami extra tudás. PL ha TPM chipben lenne a titok és a pin idő függvényében változna amit a telefonodon lévő adatpárral ellenőriznél (ami a telefon titok tárában van és bármivel feloldva jeleníti meg az aktuális értéket)

Jelen esetben a gép feletti irányítás átvétele a felhasználó személyében, illetve a rajta tárolt adat megszerzéséhez elégséges maga az eszköz és a tulajdonos tudás. Ezt elegendő megszerezni egy diszkrét időpontban és már nyitva is az elérés. Nem is beszélve arról, hogy bekapcsolt állapotban már nincs is BIOS jelszó a képben (egyébként ezért jelent minimálisan nagyobb védelmet ahogy az első mondatomban leírtam, mivel megadása nem minden alkalommal kötelező) 

rosszul érted, kétféle faktorral kell azonosítsd magad.

  • a jelszó az a "valami amit tudsz".
  • a TOTP az a "valami amit birtokolsz"
    • igazából ezt "hágja meg" az authy kicsit azzal, hogy ugyanazon a gépen is futhat az authy mint amivel be akarsz jelentkezni
  • az ujjlenyomat az a "valami ami vagy"

Gábriel Ákos

( uid_4263 v | 2021. 10. 18., h – 10:55 )

Szerkesztve: 2021. 10. 18., h – 10:55

Tök jó nézni ahogy elbeszéltek itt egymás mellett. Bizonyos feltételek mellett bőven van értelme asztali gépen vagy laptopon 2FA -zni (nyilván legyen jelszó, ujjlenyomat, disk encryption, ami kell - ha viszik, úgysem tudják használni).

A 2Fa pedig azt jelenti hogy külső szolgáltatásokhoz generál OTP kódokat. Én is bánom hogy a mobilomra meg a tabletemre raktam vagy 15 2fa -t, és állandóan keresgélem a mobilt a kezemmel. Semmilyen értelemben nem látok abban kockázatot, hogy ez ne a mobilon, hanem a gépemen fusson. Hacsak nem törik meg a gépet és irányitják távolról. Akkor esetleg.

Én azért nem tennék a laptopomra kód generátort, mert a laptopot nem viszem mindenhova magammal. A telefont se, de sokkal többször van nálam.

Ha más gépről akarok belépni, akkor a telefon nagyobb eséllyel van nálam, mint a laptopom. Ennyi.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hmm.

Ezt hogy csinálod meg? Én a telefonon Google Authenticator-t használok a legtöbb ilyen dologhoz, és nem tudok pl. két külön telefonon ugyanahhoz az alkalmazáshoz érvényes kódot generálni, pedig ugyanaz a generátor mindkét helyen. Átvinni nem tudja (vagy nem akarja) a szükséges tudást egyikről a másikra.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.