30.06.2017 | 07:03

krystian

YubiKey dobry na wszystko, czyli sprzętowe wsparcie logowania po SSH

Macie już swojego YubiKeya? Przeczytajcie koniecznie. A jeśli nie macie, to kupcie a potem przeczytajcie, bo wygląda na to, że te małe breloczki są bardzo ciekawym narzędziem zwiększającym bezpieczeństwo Waszych kont.

W poprzednich artykułach opisywaliśmy w jaki sposób możemy udowodnić swoją tożsamość łącząc się do usługi SSH z wykorzystaniem kluczy publicznych oraz prywatnych oraz z użyciem usługi Google Authenticator. W tym artykule przedstawimy kolejny sposób na wzmocnienie procesu uwierzytelniania stosując uwierzytelnianie wspierane sprzętowo.

Artykuł pod patronatem Aruba Cloud

We współpracy z firmą ArubaCloud pokazaliśmy Wam, jak postawić swój serwer backupów, jak skonfigurować własny serwer VPN i podłączyć do niego komputer, telefony komórkowe oraz domowy ruter a także jak schować się przed cenzurą sieci i jak zacząć serwer zabezpieczać, jak postawić swój własny zdalny pulpitswój serwer WWWjak monitorować zmiany w plikachjak zablokować reklamy na komórce oraz jak skonfigurować bezpieczną kopię zapasową.

Jeśli nie macie jeszcze swojego własnego serwera, to jest to dobra okazja by się w taki wyposażyć. Aruba oferuje dwa miesiące korzystania ze swojego podstawowego serwera gratis – a po zakończeniu promocji będzie on Was kosztował zaledwie 4 złote miesięcznie. Instrukcję jak krok po kroku skorzystać z promocji i uruchomić swój serwer znajdziecie w tym artykule. Jeśli macie już swój serwer – to zapraszamy do lektury kolejnych akapitów.

Mały, ale wariat

Klucze YubiKey powoli rewolucjonizują bezpieczeństwo. Małe, wygodne, łatwe w użyciu pomagają zabezpieczać dostęp do kont Google, Facebooka, Dropboksa, GitHuba czy menedżera haseł a dzięki wszechstronności także do nieograniczonej liczby różnorakich systemów w wielu firmach i organizacjach. Dzisiaj spróbujemy Was namówić do ich użycia w celu zabezpieczenia dostępu do usługi SSH na Waszych serwerach. Zrobimy to krok po kroku w oparciu o funkcję umożliwiającą przechowywanie na YubiKeyu kluczy PGP. Jeśli chcecie od razu przejść do konfiguracji, to zajrzyjcie dwa akapity niżej.

Co potrafi YubiKey

W naszym poradniku użyjemy YubiKey Neo, jako jednego z posiadających najwięcej różnych funkcji. Dostępnych jest wiele różnych modeli, warto zatem przejrzeć ich funkcje i wybrać taki, jaki najbardziej pasuje do naszych zastosowań. YubiKeye potrafią wiele. Poniżej krótkie podsumowanie.

Klucz Yubikey można wykorzystać na wiele sposobów uwierzytelniania niezależnie od siebie:

  • U2F – U2F jest otwartym standardem uwierzytelniania, który umożliwia urządzeniom kluczy na bezpieczne uzyskiwanie dostępu do dowolnej liczby usług sieciowych – natychmiast i bez potrzeby instalowania sterowników lub oprogramowania klienckiego. (wykorzystywany np. w logowanie do konta Facebooka czy Google),
  • Yubi OTP – prosty, a zarazem silny mechanizm uwierzytelniania, który jest obsługiwany przez wszystkie YubiKeye. Yubico OTP może być używany jako drugi etap w uwierzytelnianiu 2-etapowym,
  • OATH-TOPT (Time-Based One-Time Password Algorithm) – wygenerowane hasło (PIN) oparte na funkcji czasu – ulegają zmianie, np. co 30 sekund,
  • OATH-HOPT (Hmac-Based One-Time Password Algorithm) – działa tak samo jak TOPT z wyjątkiem tego, że zamiast funkcji czasu używany jest licznik uwierzytelniania,
  • Personal Identity and Verification Card (PIV) – Umożliwia podpisanie i deszyfrowanie podpisów RSA lub ECC przy użyciu prywatnego klucza zapisanego w YubiKey. YubiKey działa w tym przypadku jako inteligentna karta, za pośrednictwem wspólnych interfejsów, takich jak PKCS # 11. PIV wykorzystuje protokół CCID (wykorzystywany np. w firmach do logowania do komputera za pomocą dedykowanej karty chipowej),
  • CCID – Protokół interfejsu karty chipowej (protokół karty chipowej) to protokół USB umożliwiający podłączenie karty inteligentnej do komputera za pomocą czytnika kart, przy użyciu standardowego interfejsu USB,
  • OpenPGP jest otwartym standardem do podpisywania i szyfrowania. Umożliwia podpisywanie / szyfrowanie przez RSA lub ECC operacji przy użyciu klucza prywatnego zapisanego na karcie inteligentnej (takiej jak YubiKey NEO), za pośrednictwem wspólnych interfejsów, takich jak PKCS #11.

YubiKey NEO obsługuje OTP, Smart Card (CCID) i U2F. Umożliwia zarówno połączenie przez USB jak i bezdotykowe NFC, a także standard MIFARE.

Jak skonfigurować YubiKey do współpracy z OpenSSH

Aby skorzystać z naszego YubiKey Neo do połączenia z OpenSSH, wgramy na niego nasz klucz PGP. Będzie on tam bezpieczny – jego wydobycie przez potencjalnych włamywaczy będzie bardzo utrudnione. Poniżej znajdziecie film pokazujący całą operację, a pod nim opis tekstowy.

Zaprezentujemy najłatwiejszy sposób wygenerowania pary kluczy PGP o długości 2048 bitów w systemie Windows. Analogiczną operację można oczywiście przeprowadzić w innym systemie operacyjnym.

1) Instalujemy oprogramowanie Gpg4win.

2) Uruchamiamy program Kleopatra. W głównym oknie programu wybieramy: Settings -> Configure Kleopatra -> GnuPG System -> Zakładka GPG Agent, zaznaczamy opcję „Włączenie obsługi putty”.

3) Pobieramy YubiKey NEO Manager.

4) Uruchamiamy aplikację YubiKey NEO Manager .W aplikacji wybieramy podłączone urządzenie i upewniamy się, że mamy zaznaczoną opcję CCID (Chip Card Interface Device).

5) Uruchamiamy cmd.exe. W oknie konsoli uruchamiamy polecenie:

gpg --card-edit

6) Uzyskujemy dostęp do poleceń administratora wydając polecenie:

gpg/karta> admin

7) Ustawiamy podstawowe informacje o właścicielu karty:

gpg/karta> name

8) Generujemy parę kluczy:

gpg/karta> generate
 Stworzyć poza kartą kopię zapasową klucza szyfrującego? T
 Okres ważności klucza? (0) 1y
 Klucz traci ważność 06/25/19 14:15:01 środkowoeuropejski czas letni
 Czy wszystko się zgadza (t/N)? t

 GnuPG musi utworzyć identyfikator użytkownika do identyfikacji klucza.
 Imię i nazwisko: Krystian K
 Adres poczty elektronicznej:
 Komentarz:

Zmienić (I)mię/nazwisko, (K)omentarz, adres (E)mail, przejść (D)alej czy (W)yjść z programu? D

8) Ustalamy kod PIN oraz Admin PIN:

gnupg/karta> passwd

Domyślny Admin PIN = 12345678 (8+ znaków), domyślny PIN = 123456 (6+ znaków).

8) Eksportujemy klucz publiczny do pliku. W programie Kleopatra wybieramy nasz klucz, wybieramy „Export Certificate” i wskazujemy gdzie chcemy zapisać klucz.

Jako szablon instalacyjny w Aruba Cloud wybraliśmy system Debian/GNU 8.0. Za pomocą programu PuTTY logujemy się na serwer celem zaimportowania klucza.

9) Wgrywamy wyeksportowany publiczny klucz PGP na serwer. Na serwerze zawartość wyeksportowanego pliku zapisujemy tymczasowego pliku „klucz.pgp” w katalogu domowym.

10) Importujemy wgrany klucz PGP wydając polecenie:

$ gpg --import klucz.pgp

11) Sprawdzamy informacje o zaimportowanym kluczu:

$ gpg --list-keys

12) Jeśli wszystko się zgadza, usuwamy plik 'klucz.pgp’:

$ rm klucz.pgp

13) Tworzymy katalog .ssh w katalogu domowym:

$ mkdir .ssh
$ chmod 700 .ssh

14) Zaimportowany klucz PGP konwertujemy na klucz SSH:

$ gpgkey2ssh C4F24B88 > .ssh/authorized_keys
$ chmod 600 .ssh/authorized_keys

To wszystko po stronie serwera – możemy się wylogować i przetestować uwierzytelnianie za pomocą naszego klucza. Ostatnim krokiem jest rekonfiguracja programu PuTTY:

15) Zaznaczamy opcję: Connections > SSH > Auth i zaznaczamy pole „Allow agent forwarding”.

16) Logujemy się na serwer za pomocą certyfikatu bez podawania hasła do konta

Ciąg dalszy nastąpi?

Jeśli podoba Wam się koncept używania YubiKeya, to dajcie znać – przygotujemy wtedy kolejne poradniki opisujące jego różne zastosowanie.

Powrót

Komentarze

  • 2017.06.30 07:54 Lukasz

    Zdecydowanie bardziej, wole użyć YubiKeya jako 2FA – na linuxach zdecydowanie łatwo to wdrożyć kompilując odpowiedni moduł PAM.
    Aczkolwiek to zapewne kwestia wymagań i założeń.

    Odpowiedz
  • 2017.06.30 08:01 Pyth0n

    Super, ale kilka uwag:

    * Yubi OTP – pracuje na algorytmie symetrycznym, przy kompromitacji serwerów firmy Yubico napastnik może impersonować KAŻDEGO użytkownika tego serwisu. Dodatkowo firma może sprawić, że dla wskazanych tokenów serwery odpowiedzą „tak, kod jest OK” dla każdego podanego kodu. Yubico ma siedziby w Szwecji (OK) ale też w USA (nie OK). Pozostałe mechanizmy nie bazują na centralnym, globalnym serwisie uwierzytelniającym.

    * YubiKey4 – w przeciwieństwie do poprzednich wersji – jest zamkniętoźródłowy. Ale za to obsługuje ECC i 4k klucze GPG. Taki tradeoff.

    * W ostatnim przykładzie warto zrobić jednak

    gpgkey2ssh C4F24B88 >> .ssh/authorized_keys

    bo ktoś może sobie krzywdę zrobić.

    * Dodatkowo w gpg2 nie ma już „gpgkey2ssh”, jest „gpg –export-ssh-key”

    Odpowiedz
    • 2017.06.30 09:39 Bartek

      > przy kompromitacji serwerów firmy Yubico

      Ale nie musisz korzystać z ich serwera. Możesz postawić własny serwer, lub nawet zaimplementować liczenie kolejnych tokenów samodzielnie.

      Odpowiedz
      • 2017.06.30 11:32 Pyth0n

        „Ale nie musisz korzystać z ich serwera. Możesz postawić własny serwer, lub nawet zaimplementować liczenie kolejnych tokenów samodzielnie.”

        Tak. Wymaga to poświęcenia któregoś z 2 slotów na tokenie i wgranie tam własnego klucza AES. Po czym albo postawić własny serwis uwierzytelniający, w którym będzie ten AES albo wgrywać go w każdą stację na którą chcesz się logować (i wszystkie stacje będą jechały na tym samym kluczu symetrycznym).

        „Interesuje mnie w jaki sposób można skonfigurować później np switche Cisco”

        Do pracy tego rozwiązania potrzebne jest wsparcie dla obsługi kluczy GPG po stronie serwera SSH i obsługa SSH-agent’a, co w przypadku Cisco jest raczej mało prawdopodobne. Bardziej prawdopodobne (ale ciągle mało) byłoby użycie trybu PIV.

        „wygląda na dość delikatne urządzonko, nie przełamie się służąc jako brelok?”

        Chyba od 2.5 roku mam na kółku w pęku kluczy YubiKey Neo. Jest hermetyczny i wodoodporny, a żeby go złamać trzeba by go chyba w imadło wsadzić, albo pod tramwaj. Żywica jest bardzo dobrej jakości, nawet się na krawędziach nie wytarła.

        Odpowiedz
  • 2017.06.30 08:36 SystemZ

    Czy może ktoś polecić gdzie w rozsądnej cenie można nabyć taki kluczyk w Polsce?

    Swoją drogą, na zdjęciach wygląda na dość delikatne urządzonko, nie przełamie się służąc jako brelok?

    Odpowiedz
    • 2017.06.30 09:06 Adam

      Nad kwestią zakupu będziemy pracować. Nie jest delikatny, wprost przeciwnie. Noszę przy kluczach od miesięcy i nic się nie stało.

      Odpowiedz
      • 2017.06.30 11:13 Pajacyk

        Zakupiłeś bezpośrednio od producenta?

        Odpowiedz
    • 2017.06.30 11:27 tp

      Ja kupowałem na Amazon.
      Nie jest to tania impreza, to fakt. Z mojej perspektywy też jest poważny problem z użyciem 2FA w aplikacjach – ale to niekoniecznie problem samego mechanizmu 2FA a integracji np. logowania za pomocą 2FA.

      Odpowiedz
    • 2017.06.30 18:56 markac

      Na stronie producenta masz listę oficjalnych dystrybutorów w Polsce.
      Nie ma tego dużo. Ja swój kupiłem w Polsce:
      http://yubico.inbase.pl/
      Drogo, ale niewiele taniej kupisz za granicą…

      Odpowiedz
    • 2017.06.30 23:07 Adam

      Na OLX gość ostatnio sprzedawał w dobrej cenie. Sam się zastanawiam nad kupnem.

      Odpowiedz
    • 2017.06.30 23:12 Tod

      Wpisz w googlu „Yubikey Kraków”.

      Odpowiedz
    • 2017.07.01 16:48 Jakub

      Amazon.de wysyła YubiKey do Polski.

      Odpowiedz
  • 2017.06.30 08:47 Werner339

    Witam,

    chętnie dowiedziałbym się czegoś na temat możliwości użycia w/w rozwiązania w świecie domeny Microsoft. Logowanie do stacji roboczych, logowanie do Outlook Web Access itp.

    Pozdrawiam
    Werner

    Odpowiedz
    • 2017.06.30 09:46 Q

      Yubikey można używać jako smartcard. Nie powinno być więc problemów z logowaniem do maszyny.

      Odpowiedz
  • 2017.06.30 08:52 Ano

    Hmmm – czy na Yubikey da się wgrać certyfikaty polskich podpisów elektronicznych – tych używanych do ZUS i US? Jeśli jest PKCS # 11 to tak i będzie działać z np. Płatnikiem? Jeśli tak to znacznie zwiększy się grupa klientów :D

    Odpowiedz
    • 2017.06.30 10:04 tomee

      Jeśli masz klucz prywatny (np. certyfikaty Asseco Business Identity czy jakoś tak) – da się. Jeśli dostajesz kartę z zaszytym w niej kluczem (jak w przypadku podpisu kwalifikowanego) – nie.

      Odpowiedz
  • 2017.06.30 08:56 H.

    Interesuje mnie w jaki sposób można skonfigurować później np switche Cisco do takiego logowania z YubiKey. Tak samo jak każde inne logowanie po ssh z kluczem na Cisco plus ta zmiana w ustawieniach programu putty? Czy jeszcze coś?

    Odpowiedz
  • 2017.06.30 10:43 czesław

    Tak, czekam na więcej. Mam dwa klucze, ale obecnie nie widzę zastosowań dla nich. Wcześniej uzywałem z lastpass, ale zmigrowałem do keepass i yubikey kurzy sie

    Odpowiedz
  • 2017.06.30 11:20 arek

    Witam,
    osobiśnie nie mogę się przekonać do kluczy Yubi – dawniej, w czasach weryfikacji sms należało zaatakować dwa oddzielne urządzenia – pc i telefon. Dziś jest już tylko jedno. Dlaczego klucz Yubi, który nie ma żadnego wyświetlacza i nie można na nim przeczytać co właśnie uwierzytelnia jest bezpieczniejszy?

    Odpowiedz
    • 2017.06.30 18:25 Adam

      Bo nie da się z niego zdalnie ukraść uwierzytelnienia, najprościej ujmując. Trzeba ukraść fizyczny kluczyk. A wkłada się go tylko gdy faktycznie trzeba – zatem wiesz co uwierzytelniasz.

      Odpowiedz
      • 2017.06.30 19:05 pm7

        Paradoksalnie, oznacza to wzrost zagrożeń w miarę adaptacji tego mechanizmu na różnych stronach, bo nie da się sprawdzać, czy logujemy się do tej strony, co myślimy. Są jednak dostępne lepsze rozwiązania, z ekranem. Choćby ten Trezor, o którym pisałem niżej, albo konkurent „Ledger Nano S” (niestety zamknięte firmware).

        Odpowiedz
        • 2017.06.30 21:11 Adam

          Jeśli uważasz że oszukiwać Cię może Google Chrome to problem może być większy niż kradzież hasła OTP z tokenu. Dla potrzeb logowania się do poczty czy Facebooka to chyba i tak dużo więcej niż potrzeba.

          Odpowiedz
          • 2017.06.30 22:36 pm7

            Ideą sprzętowego tokena jest zmniejszenie ataków możliwych do wykonania przez ISP i/lub komputer.
            Jeżeli zakładamy ufanie Google Chrome, dlaczego by nie zaimplementować U2F w software, na komputerze? :)

          • 2017.07.01 07:18 Adam

            A gdzie jest takie założenie sensu U2F? Ja się z nim nie spotkałem. A jeśli masz złośliwy komputer to masz inną kategorię problemów.

          • 2017.07.01 09:07 Duży Pies

            Poza tym, super-ważną wiadomość pocztową szyfrujemy PGP/GPG i dopiero wtedy puszczamy w Sieć:)

  • 2017.06.30 12:54 pm7

    A ja bym pokazał „TREZOR Bitcoin Wallet”.
    Co prawda reklamowany jest głównie jako sprzętowy portfel BTC, ale obsługuje też inne funkcje:
    https://trezor.io/functions/
    -U2F
    -SSH
    -GPG
    -Password Manager

    Firmware jest open-source i ponieważ urządzenie ma wyświetlacz, umożliwia sprawdzenie do jakiego serwisu/serwera zezwalamy na logowanie. Do tego możliwe jest używanie PIN-u w sposób uniemożliwiający odczytanie go przez wirusa na komputerze.
    Działa na razie wyłącznie po microUSB, ale zarówno na PC jak i telefonach z Androidem.
    Wszystkie klucze są generowane z jednego sekretu który łatwo zapisać (ale tylko w momencie generowania) – 24 prostych angielski słów.

    Nie jest wymagane specjalne wsparcie po stronie serwera SSH, z jego perspektywy widzi on zwykły klucz SSH (Trezor generuje osobny klucz dla każdego serwera).

    Odpowiedz
  • 2017.06.30 18:39 markac

    Mam YubiKey 4, kupiony z myślą o TrueCrypt.
    O SSH też myślałem i zabieram się za czytanie…

    Odpowiedz
  • 2017.06.30 18:57 Arek

    Czy YubiKey NEO Manager ma otwarty kod źródłowy?

    Odpowiedz
  • 2017.06.30 19:55 Rob

    W jaki sposób mogę zalogować się do SSH z komórki używając tego klucza?

    Czy klucz nadaje się też jako portfel bitcoinow?

    Odpowiedz
  • 2017.06.30 23:06 Adam

    Widziałem te klucze ostatnio na OLX. Fajna sprawa, może sobie kupię, tylko zastanawiam się jak można wykorzystać w Yubikey NEO NFC?
    Nie specjalnie widzę sens używania go w telefonie za każdym razem.

    Odpowiedz
  • 2017.07.01 06:25 maximus

    YubiKey 4 od YubiKey NEO różni się tylko tym że ten drugi ma NFC czy coś jeszcze? Którego bardziej warto kupić?

    Odpowiedz
    • 2017.07.02 21:44 Łukasz

      Yubikey4 wspiera klucze RSA 4096 i ECC 384. NEO ma NFC (jak nie używasz z telefonu to zbędne), ale wspiera tylko RSA 2048 i ECC 256.

      Jak ktoś używa dłuższych kluczy albo nie potrzebuje NFC to lepiej Yubikey4 (sam posiadam i bardzo się sprawdza). A poza tym Neo nie ma certyfikatu FIPS 140.

      A… i polecam zamawiać u producenta na zniżce dla użytkowników githuba (przy yubikey4 to było jakoś z 7-8$ mniej o ile dobrze pamiętam).

      Poza tym tańszy o 10$ i ma ładniejszy znaczek na przycisku ;).

      Odpowiedz
  • 2017.07.01 08:22 Marcin

    Swoje klucze kupowałem tutaj http://it4us.pl/yubico-start/
    Używam 4 i Fido, na razie do:
    – Google, Dropbox, Facebook,
    – RDP
    – bawiłem się logowaniem do stacji Windows i Mac

    Kolega używa też NEO z Androidem i jest bardzo zadowolony. Potrafi odblokować ekran, program pocztowy. Niby nic, ale okazuje się że człowiek z natury leniwy i łatwiej zbliżyć YK niż klepać kod…

    Generalnie klucze są super wytrzymałe, proste w konfiguracji i użyciu.

    Odpowiedz
    • 2017.07.03 22:52 czesław

      RDP? Jak to zrobić? Bardzo mnie interesuje zabezpieczenie serwerów za pomocą jakiegoś klucza. Próbowałem certyfikatami, ale nie udało mi sie.

      Odpowiedz
  • 2017.07.01 20:30 markac

    Jednak nic z tego nie rozumiem.
    Logowanie do serwera po SSH mam po kluczu prywatnym SSH i bez tego YubiKey.
    Na video prosi o PIN, ale przecież nie o PIN smart card tu chodzi, więc o co chodzi?
    Kiedy wpina się ten klucz, w którym momencie?
    Bo jeśli służy tylko do wygenerowanie pary kluczy to… jaki jest tego sens, skoro mogę zrobić to bez tego klucza USB?
    Jakoś oporny jestem chyba na wiedzę.

    Odpowiedz
    • 2017.07.01 23:18 pm7

      PIN jest do YubiKey i po wpisaniu go YubiKey potwierdza serwerowi, że masz prawo do logowania.
      Innymi słowy, chodzi o miejsce przechowania klucza dostępu do serwera. Ponieważ jest na YubiKey, nie da się go ukraść (YubiKey nigdy nie eksportuje klucze, wyłącznie podpisuje wiadomości/odszyfrowuje po podaniu PIN). Przynajmniej ja tak rozumiem, ale jest przekombinowana metoda :)

      Odpowiedz
      • 2017.07.02 11:04 markac

        Aha.
        Przez chwilę myślałem, że PIN służy tylko jako Passphrase do odkodowania klucza prywatnego z pliku.

        Odpowiedz
        • 2017.07.02 23:05 K

          Dobrze napisałeś – pin służy do Smart Card.

          Odpowiedz
    • 2017.07.04 13:03 Zjawa

      PIN jest do smartcard (Yubikey), po wpisaniu karta zaczyna przetwarzać polecenia hosta.

      Użycie smartcard to rozbudowanie uwierzytelniania kluczem prywatnym/publicznym w ssh. Z perspektywy serwera z którym się łączysz nie ma różnicy. YK lub inny smart card zabezpiecza klucz przed wykradzeniem, nie da się skopiować na inną maszynę (ale da się go użyć na hoście do którego podłączony jest YK)

      Odpowiedz
  • 2017.07.04 13:24 Zjawa

    YK4 Nano można wcisnąć w port USB w laptopie – nie przeszkadza w pracy i przenoszeniu, do laptopa jest o niebo wygodniejszy niż jakikolwiek inny czytnik SC.
    Idealnie niestety też nie jest:
    * oprogramowanie YK nie lubi więcej niż jednego klucza jednocześnie.
    * YK4 obsługuje kilka rozwiązań, ale jednocześnie można używać tylko jednego. U2F używa się tylko w momencie autoryzacji, OATH można i w zasadzie należy zamykać po autoryzacji, ale użycie ssh z kluczem na SC blokuje YK na czas użycia sesji – czyli najczęściej długo..

    Odpowiedz
    • 2017.07.04 14:56 Juan

      Testowałem trochę Yubikey4 i nie rozumiem do końca tej fascynacji nim. Jako karta inteligenta ok, jest 2FA, super. Ale poza tym wystarczy zgubić/ukraść klucz – wtedy to nawet ułatwia sprawę.

      Odpowiedz
      • 2017.07.04 19:31 Adam

        Tak? A login i hasło nosisz napisane mazakiem na kluczyku?

        Odpowiedz
        • 2017.07.06 12:58 Juan

          Skrót myślowy – chodziło mi o inne niż PIV zastosowanie, gdzie wystarczy włożyć kluczyk i nacisnąć przycisk (lub przyłożyć NEO), aby się uwierzytelnić. Brakuje tego drugiego składnika (np. PINu), żeby było to bezpieczniejsze. Chyba, że wiecie jak to zrobić z KeePass’em/Veracrypt, żeby jeszcze wołał o PIN?
          Wolę IronKey zdecydowanie. Poza tym to jest rozwiązanie raczej dla geeków, jakoś nie widzę tego, żeby zwykli użyszkodnicy zaczeli tego używać masowo.

          Odpowiedz
  • 2017.07.04 20:50 Majatki

    Chciałbym żebyście pokazali jak to działa z githubem używając gita z linii komend. Po za tym warto wspomnieć że taki firefox jeszcze nie ma wsparcia dla tych kluczy.

    Odpowiedz
  • 2017.07.14 14:58 zakius

    hej hej, taka mała prośba: moglibyście uporządkować tagi we wpisach we współpracy z Arubą? część ma aruba, część ArubaCloud, a może są i inne i ciężko to ogarnąć

    Odpowiedz
  • 2017.07.27 16:59 Mat

    Super było by wdrożyć coś takiego do autentykacji z serwerami VPN i usługami RDP w MS Server. Oczywiście w środowisku wielodomenowym. Gdybyście taki poradnik zrobili byłbym gotów nawet za niego zapłacić :)

    Odpowiedz
  • 2017.10.04 15:27 Szymon

    Szalenie interesujące, tylko że z jakichś powodów u mnie opisana procedura nie działa. Konkretnie: mam Yubikey 4, Windows 10, zainstalowany Yubikey Neo Manager 1.4.0, który widzi mój Yubikey i podaje, że connection mode jest OTP+U2F+CCID, Gpg4Win 2.3.4, które Yubikeya nie widzi – błąd przy próbie użycia gpg –edit-card wygląda tak:

    gpg: selecting openpgp failed: No such device
    gpg: Karta OpenPGP niedostępna: No such device

    Jakieś sugestie?

    Odpowiedz
    • 2017.10.05 11:41 Szymon

      Odpowiem sam sobie, bo problem rozwiązałem: gpg domyślnie usiłowało korzystać z wbudowanego czytnika SmartCard w moim laptopie, w którym oczywiście żadnej karty nie było. Po jego wyłączeniu w managerze urządzeń wszystko działa bezproblemowo.

      Odpowiedz
  • 2021.01.18 12:20 janusz

    Obecnie w Ubuntu 20.04 openssh używane jest w wersji 8.2p1 (która to ma wbudowane wsparcie dla kluczy u2f). Czy będzie aktualizacja artykułu lub nowy? Pozdrawiam

    Odpowiedz
  • 2021.06.20 21:52 paulina

    Jak za pomocą yubikey 2fa zabezpieczyć logowanie windows server, rdp? Zgóry dziekuje za odp.

    Odpowiedz

Zostaw odpowiedź do Zjawa

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

YubiKey dobry na wszystko, czyli sprzętowe wsparcie logowania po SSH

Komentarze