it-swarm-eu.dev

Co je to YubiKey a jak to funguje?

Jak YubiKeys funguje? Existují nějaké alternativy?

Zde je obrázek jednoho: yubikey

57
Gabriel Fair

YubiKey přichází v různých variantách, například YubiKey 4 a YubiKey U2F. Všechny YubiKeys jsou hardwarové tokeny a jsou připojeny k USB portu. Většina obsahuje indukční tlačítko a jeden model má také NFC ( YubiKey Neo ). Varianty se liší, pokud jde o tvarový faktor a počet podporované funkce .

YubiKey 4 poskytuje několik funkcí:

  • OTP generace
  • Generování OTP kompatibilní s OATH (tj. HOTP a TOTP )
  • napodobit čtečku čipových karet s vloženým OpenPGP čipová karta (až 4K bit RSA nebo 256 bit ECC velikost soukromého klíče)
  • fungují jako zařízení PIV (až 2 kB bit RSA nebo 256 bitů ECC velikost soukromého klíče)
  • jednat jako 2F zařízení
  • přehrajte statické heslo

Pro některé ze svých funkcí se prezentuje jako SB HID zařízení.

K dispozici jsou alternativní řešení, která poskytují podobnou nebo podmnožinu multifunkční YubiKey 4. Například klasická hardwarová čtečka čipových karet (možná dokonce s klávesnicí) v kombinaci s čipovou kartou kompatibilní s OpenPGP.

YubiKey U2F je pouze zařízení U2F, tj. Zařízení, které je schopné generovat pár veřejného/soukromého klíče specifický pro Origin a vrací volajícímu popisovač klíče a veřejný klíč. Stejně jako jiná levná zařízení U2F nejsou soukromé klíče uloženy, místo toho jsou symetricky šifrovány (interním klíčem) a vráceny jako popisovač klíče. Pomocí klíče popisovače je pak zařízení U2f schopné podepsat výzvu, a tak vytvořit odpověď jako součást vícefaktorové autentizace.

Protože U2F je otevřený standard (který je také tlačen korporacemi jako Google), existuje několik alternativních levných hardwarových tokenů U2F (hledejte ' FIDO U2F klíč ').

16
maxschlepzig

Jak to chápu, Yubikey se chová jako USB klávesnice. Připojíte jej k počítači, umístíte kurzor do pole formuláře, stisknete tlačítko na Yubikey a odešle do počítače textový řetězec 44 znaků, jako byste tyto 44 znaky zadávali. Počítač neví, jaký je rozdíl mezi zadáním textu nebo Yubikeyem, který jej generuje.

Web jako je Wordpress web s pluginem Yubikey, doplněk Lastpass ve Firefoxu nebo jakýkoli jiný web, který má možnost Yubikey), má přihlašovací formulář s uživatelským jménem, ​​heslem a heslem Yubikey. zadejte své uživatelské jméno a heslo, umístěte kurzor do pole Yubikey, poté stiskněte tlačítko Yubikey a do pole zadejte heslo Yubikey.

Poté je formulář odeslán a Yubikey je validován v Yubicloud. Web zkontroluje, zda je zadané heslo Yubikey platné. Samotný Yubikey není spojen s Yubicloudem. Je to jen zařízení vytvářející řetězec, který jej vysílá, fungující jako klávesnice a nepřipojuje se k internetu nebo k ničemu jinému, než jako tato klávesnice.

Před tím, než to všechno funguje, musíte aktualizovat svůj účet na webu, aby používal Yubikey. To znamená, že musíte svůj klíč propojit s účtem. Yubicloud tak může zkontrolovat vygenerovaný kód a ověřit jej ve vašem účtu.

Webové stránky samozřejmě musí implementovat funkci Yubikey, která je pro majitele webových stránek k dispozici jako bezplatná služba.

Pokud se Yubikey ztratí, můžete použít běžné metody obnovy, které musí web obnovit váš účet a deaktivovat Yubikey. Normálně to znamená, že dostanete e-mail s odkazem na obnovení hesla a tento odkaz zakáže funkci Yubikey ve vašem účtu.

Poslal jsem Yubikeymu podporu, abych zjistil, zda je tato odpověď správná. Řekli, že toto vysvětlení je správné, kromě toho, že vysvětluje pouze jednu část způsobu, jakým klíč funguje.

Ostatní odpovědi zde neposkytují žádné skutečné vysvětlení. Ani článek v Linuxjournalu to nevysvětluje tímto způsobem. Přijatá odpověď dává odpověď na černou skříňku - ne to, co jsem hledal, když jsem otevřel tuto stránku. Doufám, že tato odpověď dá lepší vysvětlení a psaní, díky němuž jsem Yubikeyovi lépe porozuměl.

39
SPRBRN

Jeden mám a doporučil bych je! Když jsem chodil na BSidesLondon, dostal jsem ho od Yubico zdarma.

Přemýšlejte o tom jako o bezpečném klíči RSA, s výjimkou mnohem menších, levnějších a bez baterie. Získáte (v podstatě) stejné zabezpečení, i když YubiKeys mají výrazně větší prostor pro klíče než ty RSA. Jsou také neuvěřitelně robustní a mohou být plně ponořeny do vody bez poškození.

Tady je můj:

YubiKey

Vím, že to zní jako inzerát, ale jsou opravdu skvělé. Ve srovnání s přenášením spoustu těchto zabezpečených klíčů jsou na klíčence téměř nepostřehnutelné.

Pokud jde o to, jak fungují, ověřují se proti cloudové službě, kterou Yubico provozuje, a poskytují dvoufaktorové ověření. Veškerý serverový software je open-source a jsou rádi, že můžete provozovat své vlastní ověřovací servery. Je to úplně průhledné.

Nechte si kopat na jejich web , je tam spousta technických informací a popisů.

19
Polynomial

Podívejte se sem http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Následující výstup napsal autor Dirk Merkel, autor dříve propojeného článku:

Pokaždé, když na zařízení stisknete tlačítko, vygeneruje jednorázové heslo a odešle ho hostitelskému počítači, jako by jste ho zadali na klávesnici. Toto heslo pak může služba použít k ověření uživatele jako uživatele.

Navrhuji, abyste si přečetli 5stránkový článek, protože je toho příliš mnoho na to, abyste se sem dostali.

10
Lucas Kauffman

Z toho, co jsem pochopil, je jednorázové heslo tvořeno několika různými informacemi, například časovým razítkem (jak dlouho byl klíč v počítači), razítkem relace Yubikey (kolikrát jste jej připojili k počítači) ), náhodný speciální kód, razítko toho, jak často jste vygenerovali heslo atd., poté jej zašifruje. Pak se zabouchne do speciálního kódu přiřazeného tomuto konkrétnímu Yubikeymu, který opět zašifruje. Poté je odeslán samotným Yubikeym (protože znají všechny speciální kódy) a ověřují, že váš klíč je správný a cokoli. Poté vám řekne, komu se pokoušíte přihlásit, jako je Google, že jste ta správná osoba, a pak vás Google nechá vstoupit.

Existují i ​​další funkce, jako je to, že pouze uloží řetězec nebo heslo do zařízení a po kliknutí na něj získáte heslo. Docela rovně.

1