Hardwarový klíč pro zabezpečení účtů

[chapp]

Ahoj,

predpoklady:
* podpora Linuxu + Android (7.1)
* zabezpecni gmail, facebook, twitter + banky - tady bych asi moc problem necekal
* Keepass jsem koukal ze FIDO 2 primo nepodporuje, tak bych asi musel prejit na jiny. Nejaky odzkouseny?
* Da se treba pouzit nejak pro Veracrypt (driv Truecrypt)?
* Co odemceni zasifrovane oddilu pomoci LUKS?

Koukal jsem na
* GoTrust Idem Key, https://www.czc.cz/gotrust-idem-key-usb-nfc-bezpecnostni-klic/306894/produkt
  600Kc. Ma NFC takze by mel jit i Android. Netusim jak je na tom se SW podporou

* YubiKey C Bio FIDO, https://www.yubikey.cz/product/detail?productTitle=yubikey-c-bio-fido-edition
  2 600Kc + ctecka otisku prstu. Tam asi jediny prinos v pripade, ze by mi ho nekdo ukradl, ze? Telefon jedine pres OTG.

* Trezor T
  5 000. Libilo by se mi ze, na LCD potvrdim odemknuti konkretni aplikace. Telefon jedine pres OTG.

* Ledger nano X
  3 300Kc Potvrzeni aplikace na LCD, ma bluetooth  a baterku takze by melo byt ok i na telefon.

* https://www.alza.cz/kensington-usb-fingerprint-reader-d4944097.htm?o=1
  u tech mi prijde, ze ma telefon trosku smulu

Bez toho aniz bych dokazal posoudit SW podpora... tak mi prijde jako volba Gotrust protoze za par korun posunu zabezpecni o level dal. Nebo Ledger nano X tim bych asi ziskal velkou univerzlnost.

A jeste dve otazky
Muzu treba ty Gotrust mit dva se stejnym klicem? (ztrata, jeden doma, jeden v praci...)
Jak casto treba Gmail v Androidu bude chtit autentikaci?

Dekuji za kazdy nazor, radu, zkusenost...

[Reklama]

[Filip Jirsák]

Koukal jsem na
* GoTrust Idem Key, https://www.czc.cz/gotrust-idem-key-usb-nfc-bezpecnostni-klic/306894/produkt
  600Kc. Ma NFC takze by mel jit i Android. Netusim jak je na tom se SW podporou

Mám pocit, že jsem to na začátku zkoušel a fungovalo to. Nenapadá mne, jak bych to teď znovu ověřil, protože tam, kde se přihlašuju, už to po mně rovnou chce otisk prstu a nemám možnost to přepnout na jiný způsob FIDO2 ověření.

Muzu treba ty Gotrust mit dva se stejnym klicem? (ztrata, jeden doma, jeden v praci...)

Ne, ten klíč je na tokenu už z výroby. Obvykle si ale můžete k jednomu účtu zaregistrovat víc klíčů.

Jak casto treba Gmail v Androidu bude chtit autentikaci?

Jenom poprvé.

[Lukáš Tesař]

Ahoj.

* podpora Linuxu + Android (7.1)

Když klíč podporuje FIDO2, automaticky bude fungovat na Androidu (USB i NFC) a v Linuxu minimálně v hlavních prohlížečích (testováno Chromium a Firefox).

* zabezpecni gmail, facebook, twitter + banky - tady bych asi moc problem necekal

Je to tak. U bank podpora mizerná (mám Air Bank a mBank a ani jedna FIDO2 neumí), ale většina služeb (i těch menších) HW klíče umí.

* Keepass jsem koukal ze FIDO 2 primo nepodporuje, tak bych asi musel prejit na jiny. Nejaky odzkouseny?

Nevím, jak moc chceš self-host řešení, já můžu s podporou FIDO2 všemi deseti doporučit Bitwarden. Vyzkoušel jsem jich asi 5 a BW umí všechno, co potřebuju a jakožto open-source řešení vypadá i velice důvěryhodně.
https://bitwarden.com/

* Da se treba pouzit nejak pro Veracrypt (driv Truecrypt)?

Dle mých informací ne. Viz první odkaz na Googlu, https://github.com/veracrypt/VeraCrypt/issues/129

* Co odemceni zasifrovane oddilu pomoci LUKS?

To vypadá slibněji. Viz https://github.com/shimunn/fido2luks. Nikdy jsem to ale nezkoušel.

Obecně je ta SW podpora založená na podpoře FIDO2 nebo jiného standardu, který daný HW klíč umí.