it-swarm-eu.dev

Che cos'è un YubiKey e come funziona?

Come funzionano YubiKeys? Ci sono alternative?

Ecco una foto di uno: yubikey

57
Gabriel Fair

YubiKey è disponibile in diverse varianti, ad esempio YubiKey 4 e YubiKey U2F. Tutti gli YubiKeys sono token hardware e sono collegati a una porta USB. La maggior parte presenta un pulsante induttivo e un modello ha anche [~ # ~] nfc [~ # ~] (il YubiKey Neo ). Le varianti differiscono per quanto riguarda il fattore di forma e il numero di funzioni supportate .

YubiKey 4 offre diverse funzioni:

Per alcune delle sue caratteristiche si presenta come un dispositivo USB HID .

Sono disponibili soluzioni alternative che forniscono un analogo o un sottoinsieme del multi-funzione YubiKey 4. Ad esempio, lettori di chipcard hardware classici (forse anche dotati di tastiera) in combinazione con una chipcard compatibile OpenPGP.

YubiKey U2F è solo un dispositivo U2F, ovvero un dispositivo in grado di generare una coppia di chiavi pubblica/privata specifica di Origin e restituisce un handle di chiave e un chiave pubblica per il chiamante. Come altri dispositivi U2F economici, le chiavi private non vengono archiviate, ma vengono crittografate simmetricamente (con una chiave interna) e restituite come handle di chiave. Utilizzando il key-handle, il dispositivo U2f è quindi in grado di firmare una sfida, creando così una risposta come parte di un'autenticazione a più fattori.

Poiché U2F è uno standard aperto (che viene anche spinto da società come Google), sono disponibili diversi token hardware U2F alternativi economici (cerca ' [~ # ~] fido [~ # ~] Tasto U2F ').

16
maxschlepzig

A quanto ho capito, Yubikey si comporta come una tastiera USB. Lo colleghi al computer, posiziona il cursore in un campo modulo, premi il pulsante su Yubikey e invia una stringa di testo di 44 caratteri al computer come se stessi digitando quei 44 caratteri. Il computer non conosce la differenza tra la digitazione o la generazione da parte di Yubikey.

Un sito Web come un Wordpress con plug-in Yubikey, o il componente aggiuntivo Lastpass in Firefox o qualsiasi altro sito Web che ha un'opzione Yubikey, ha un modulo di accesso con nome utente, password e password Yubikey. inserisci il tuo nome utente e password, posiziona il cursore nel campo Yubikey, quindi premi il pulsante Yubikey e inserisce la password Yubikey nel campo.

Quindi viene inviato il modulo e Yubikey viene convalidato in Yubicloud. Il sito Web verifica se la password di Yubikey inserita è valida. Lo Yubikey stesso non si collega allo Yubicloud. È solo un dispositivo che genera una stringa che lo invia agendo come una tastiera e non si connette a Internet o altro tranne che come quella tastiera.

Prima che tutto funzioni, è necessario aggiornare il proprio account sul sito Web per utilizzare Yubikey. Ciò significa che è necessario collegare la chiave all'account. In questo modo Yubicloud può verificare il codice generato e convalidarlo sul proprio account.

Il sito Web deve ovviamente implementare la funzionalità Yubikey, che è disponibile come servizio gratuito per i proprietari di siti Web.

Se si perde Yubikey, è possibile utilizzare i normali metodi di recupero del sito Web per ripristinare il proprio account e disabilitare Yubikey. Normalmente ciò significa che si ottiene un collegamento per il recupero della password via e-mail e tale collegamento disabilita la funzione Yubikey nel proprio account.

Ho inviato il supporto Yubikey per vedere se questa risposta è corretta. Dissero che questa spiegazione era corretta, tranne per il fatto che spiegava solo una parte del modo in cui la chiave funziona.

Le altre risposte qui non danno alcuna vera spiegazione. Anche l'articolo su Linuxjournal non lo spiega in questo modo. La risposta accettata fornisce una risposta in black box, non quella che stavo cercando quando ho aperto questa pagina. Spero che questa risposta dia una spiegazione migliore e la sua scrittura mi ha fatto capire meglio lo Yubikey.

39
SPRBRN

Ne ho uno e li consiglierei! In realtà l'ho ricevuto gratuitamente dai ragazzi di Yubico, quando frequentavo BSidesLondon.

Pensalo come una chiave sicura RSA, tranne che molto più piccola, più economica e senza batteria. Ottieni (essenzialmente) la stessa sicurezza, sebbene YubiKeys abbia uno spazio chiave significativamente più grande di quelli RSA. Sono anche incredibilmente robusti e possono essere completamente immersi in acqua senza danni.

Ecco il mio:

YubiKey

So che sembra una pubblicità, ma sono davvero fantastici. Rispetto a portare in giro un mucchio di quelle chiavi sicure, sono quasi impercettibili su un portachiavi.

Per quanto riguarda il modo in cui funzionano, si convalidano rispetto a un servizio cloud eseguito da Yubico e forniscono un'autenticazione a due fattori. Tutto il software server è open-source e sono felici che tu esegua i tuoi server di autenticazione. È completamente trasparente.

Fai uno scavo sul loro sito web , ci sono molte informazioni tecniche e descrizioni lì.

19
Polynomial

Dai un'occhiata qui http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Il seguente outtake è scritto da Dirk Merkel, autore dell'articolo precedentemente collegato:

Ogni volta che si preme il pulsante sul dispositivo, genera una password singola e la invia alla macchina host come se fosse stata immessa su una tastiera. Questa password può quindi essere utilizzata dal servizio per autenticarti come utente.

Ti suggerisco di leggere l'articolo di 5 pagine in quanto questo è troppo da prendere qui.

10
Lucas Kauffman

Da quello che ho capito, la password monouso è composta da diverse informazioni diverse, come un timestamp (da quanto tempo è stata la chiave nel tuo computer), un timbro di sessione Yubikey (quante volte lo hai collegato al tuo computer ), un codice speciale randomizzato, un timbro per come è possibile che tu abbia generato una password ecc., quindi lo crittografa. Quindi schiaffeggia un codice speciale assegnato a quello specifico Yubikey, di cui cripta di nuovo. Quindi viene inviato a Yubikey stessi (perché conoscono tutti i codici speciali) e verificano che la chiave sia corretta e qualunque cosa. Quindi indica a chiunque stai tentando di accedere, come Google, che sei la persona giusta, quindi Google ti consente di accedere.

Ci sono altre funzionalità come il fatto che salva solo una stringa o una password sul dispositivo e quando si fa clic fornisce una password. Abbastanza diretto.

1