YubiKey a další tokeny - nutnost „odemknutí“

Hamparle

  • ****
  • 330
  • junior developer ucho
    • Zobrazit profil
    • E-mail
YubiKey a další tokeny - nutnost „odemknutí“
« kdy: 17. 11. 2020, 18:49:12 »
Jak fungují tyhle USB bezpečnostní tokeny?Je nutné při  každém připojení tohoto  zařízení ho nějak "odemknout" a až potom funguje avizované stisknutí tlačítka do té doby než se odpojí/zamkne(ručně nebo po nějaké době) nebo prostě ho stačí připojit a funguje?

Není to pak riziko, že kdokoli si ten token vezme, s ním může operovat? (Ale třeba tak to je zamýšlené)

A když jsem stiskl tlačítko, znamená, že jsem něco podepsal, nebo je k tomu ještě potřeba něco dalšího (jako heslo)?
« Poslední změna: 17. 11. 2020, 19:25:32 od Petr Krčmář »


Re:Yuibikey a další bezpečnostní tokeny - nutnost "odemknutí"?
« Odpověď #1 kdy: 17. 11. 2020, 19:24:05 »
U všech U2F/FIDO2 tokenů se dá nastavit PIN, dnes to je možné udělat přímo v Chrome nebo speciálními utilitami. Pak je potřeba pro použití ještě do počítače zadat PIN. Připravovaný YubiKey Bio bude mít i čtečku otisků prstů.

Bezpečnostní problém to není, protože i bez PIN se jedná o druhý (či třeba třetí) faktor. Takže nalezení tokenu samo o sobě nestačí pro přihlášení. Ještě by bylo potřeba vědět, komu ten token patřil, na jakých službách ho používal, jaké měl uživatelské jméno a jaké měl heslo. Proto je to vícefaktorová autentizace.

Re:Yuibikey a další bezpečnostní tokeny - nutnost "odemknutí"?
« Odpověď #2 kdy: 17. 11. 2020, 19:28:27 »
Používal jsem hromadu Yubikey ve firmě (50+) a funguje dle systému, který se konfiguruje - u nás přihlášení se k WEBu přes heslo (jiný mechanizmus) a Yubi, pak pro odemčení Bitlockeru - jenom na dotek bez dalšího.

Testovali jsme přihlášení se do Windows - bez dalšího potvrzování a přihlašování se k několika aplikacím...

Pokud mohu posoudit funguje bez problému - jde o bezpečnost typu "něco vlastním" a pokud to nakonfiguruji jinak "něco vlastním a něco znám"

Re:YubiKey a další tokeny - nutnost „odemknutí“
« Odpověď #3 kdy: 17. 11. 2020, 21:13:36 »
Autor by si místo spamování fóra jedním dotazem za druhým mohl přečíst dokumentaci a použít vyhledávač :-)

Ale chápu, že je to (zřejmě) moc práce a plácnout dotaz sem je jednodušší.

Re:YubiKey a další tokeny - nutnost „odemknutí“
« Odpověď #4 kdy: 18. 11. 2020, 14:05:16 »
Keď sa už téma nakuslo - rozmýšľam, že aktualizujem Yubikey (asi až na Bio). Otázka je, či USB A alebo USB C. Má niekto reálnu skúsenosť s USB C a výdržou? Nezničí sa? Aktuálne nie je pohodlná možnosť mať záložný token, takže nerád by som obnovoval všetky účty len preto, že sa mi zničil USB C konektor.