Yubikey – přidání kódu za heslo

Yubikey – přidání kódu za heslo
« kdy: 06. 12. 2015, 00:21:00 »
Zkousel jsem na serveru pouzivat dvoufazove prihlasovani pomoci Google Authenticator (libpam-google-authenticator).

Na SSH funguje dobre, ale vadi mi ona "dvoufazovost". Samostatne zadam heslo a overovaci kod.
Chapu ten princip, nastavuje se to i v sshd (ChallengeResponseAuthentication).
Kód: [Vybrat]
$ ssh hostname
 login as: <username>
 Verification code: <generated/backup-code>
 Password: <password>
 $

Nekde jsem cetl, ze Youbikey ma jiny zpusob. Uzivatel prida overovaci kod na konec hesla a PAM modul si ho odrizne.

Rad bych neco podobneho. Kdyz nekterym uzivatelum zapnu Google Authenticator, tak aby zadavali heslo ve tvaru mojeHeslo1234, kde 1234 by byl kod z mobilu.
Takze by to pak funogvalo uplne vsude. Ne pouze na SSH a par podporovanych programu. Treba i na http basic auth.

Existuje nejaka moznost, jak to udelat?
Yubikey si zatim kupovat nechci, staci mi nezapominat nosti mobil, natoz dalsi vec.
« Poslední změna: 06. 12. 2015, 06:05:12 od Petr Krčmář »
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."


Re:Yubikey – přidání kódu za heslo
« Odpověď #1 kdy: 06. 12. 2015, 13:28:15 »
Nekde jsem cetl, ze Youbikey ma jiny zpusob. Uzivatel prida overovaci kod na konec hesla a PAM modul si ho odrizne.
Yubikeys je několik druhů a různé druhy podporují různé protokoly. Ten nejlevnější (jediný cenově zajímavý) podporuje jenom U2F, což dost zajímavě navržený protokol, ale jeho použitelnost je zatím docela omezená, i když se dá doufat, že se časem rozšíří hlavně díky ohlášené nativní podpoře ve Windows 10. Není to ekvivalent OTP i když to tak z nějakých krátkých popisů může vypadat, a k použité jinému než v podporovaném browseru vyžaduje netriviální podporu v software [1]. Vyšší (a podstatně dražší) verze Yubikey pak mají klasické OTP.

Takže pokud bys uvažoval nad Yubikey, tak si předem dobře nastuduj, jestli to opravdu chceš a jestli to opravdu umí to, co si myslíš.

[1] viz https://plus.google.com/+MiroslavPrymek/posts/LnckaHqGLBC

M.

Re:Yubikey – přidání kódu za heslo
« Odpověď #2 kdy: 06. 12. 2015, 14:16:07 »
Nu, můžeš zkusit použít LinOTP nebo (komercializovaný) OpenOTP, jejich moduly fungují jak chceš, vše do jendoho řádku. A můžeš používat normálně aplikaci do mobilu pro generování kódů, v podstatě i tu Googlí....
http://linotp.org/
Používáme to LinOTP, aŤ proti software authetikátorům v mobilu, tak přes yubikey NEO.
Třeba RedHat v Brně má nasazen ten OpenOTP.