LINUX.ORG.RU

YubiKey touch detector

 , ,


6

2

Это инструмент, который подскажет, когда YubiKey находится в режиме ожидания прикосновения пользователя для авторизации. Интегрируется с UI для отображения индикатора.

YubiKey может протребовать физическое прикосновение для подтверждения следующих операций:

  • команда sudo (через pam-u2f)
  • gpg --sign
  • gpg --decrypt
  • ssh до удаленного хоста (и связанные команды, вроде scp, rsync и т.д.)
  • ssh с одного удаленного хоста до другого (через ssh-agent)

С этим инструментом уже интегрированы py3status и barista.

>>> Подробности

anonymous

Проверено: jollheef ()

Ответ на: комментарий от WitcherGeralt

Схерали?

Воткнут модуль аппаратного шифрования и генерации паролей. Какое-то приложение запросило шифрование, юбикей требует нажатия пальца, сабж сигнализирует об этом, чтобы пользователь не продолбал момент.

Никто секреты не выдаёт в открытом виде, никакое шифрование без ведома пользователя не происходит - причём здесь бумажка с паролями?

tiandrey ★★★★★ ()
Ответ на: комментарий от beresk_let

Если юзать её для двухфакторной, то ок (пока не потеряешь, хехе), но если как основной пароль, то ведь эту хрень легко незаметно умыкнуть. Даже если она сама под паролем (вроде бы нет), то тебе достаточно будет оставить её воткнутой в компьютер без присмотра на какое-то время, чтобы у тебя всё угнали. Но это таки был вопрос, мб там что-то хитрое выдумали, и штука не такая и лоховская.

WitcherGeralt ★★ ()
Ответ на: комментарий от tiandrey

Если ты таки протрёшь и прочтёшь тред, то найдёшь ответ.

В арчвики написано, что эта штука может просто вводить статичный пароль по нажатию, симулируя ввод с клавиатуры. Т.е. есть возможность юзать её как бумажку на мониторе.

WitcherGeralt ★★ ()
Ответ на: комментарий от WitcherGeralt

достаточно будет оставить её воткнутой в компьютер без присмотра на какое-то время, чтобы у тебя всё угнали

Вроде, пальчик там надо прикладывать? Как я понял. Так что надо палец отрезать ещё.

turtle_bazon ★★★ ()
Ответ на: комментарий от WitcherGeralt

В арчвики написано, что эта штука может просто вводить статичный пароль по нажатию, симулируя ввод с клавиатуры. Т.е. есть возможность юзать её как бумажку на мониторе.

Ну да, а ещё можно дверью яйца прищемить и потом говорить, что дверь неправильная.

intelfx ★★★★★ ()
Ответ на: комментарий от Gary

Тупняк какой-то

Ну ще, он имел ввиду, что если там нет мастер-пароля при включении, либо какой биометрии, то пользы от этой хреновины ноль. Ноут например в поездку с собой и украли вместе с юбикеем, то равносильно придумать сложный пароль и записать на корпусе ноута - такой же бред.

fehhner ★★★★ ()
Ответ на: комментарий от fehhner

В таком случае пароль должен быть на ноуте, а не на ключе. Ну и вообще в «двухфакторной аутентификации», «двух-» стоит не просто так.

Биометрия, кстати, полная фигня. В случае утечки пароль можно сменить, а ключ в случае воровства можно отозвать. Поменять отпечаток пальца - уже задача не тривиальная.

Gary ★★★★★ ()
Последнее исправление: Gary (всего исправлений: 1)
Ответ на: комментарий от Gary

Биометрия, кстати, полная фигня. В случае утечки пароль можно сменить, а ключ в случае воровства можно отозвать. Поменять отпечаток пальца - уже задача не тривиальная.

После утечки?

Aceler ★★★★★ ()
Ответ на: комментарий от val-amart

там достаточно прикосновения любого пальца

пользователь yubikey со стажем

Так и зачем ты используешь этот йоба-ключ? В чём скрытый смысл?

DELIRIUM ★★★★★ ()
Последнее исправление: DELIRIUM (всего исправлений: 1)
Ответ на: комментарий от DELIRIUM

Эта кнопка обычно немного защищает от последствий утечки pin. Т.е. троян с кейлогером не сможет так просто выполнить сколько ему угодно операций. Хотя все еще может попытаться маскировать и подменять, а пользователь так и не будет знать, что он подтвердил. Т.е. это компромис между вводом pin на устройстве и на компьютере.

boowai ★★ ()

Перепись дегенератов в треде: yubikey - это smartcard. Их много разных. И используются они, как 2FA, для хранения ключей (SSH/gpg/пр.), OTP/HOTP/TOTP, ну и в кастомных решениях (например, можно сделать чтобы забутить пеку можно было только с паролем И воткнутым ключем).

Вот коммент со швабра (https://habr.com/ru/post/329648/):

Я использую свой юбикей в режиме U2F и как OpenPGP-смарткарту. Через смарткарту у меня настроен GPG, который является ещё и SSH-агентом и использует ключ RSA для авторизации на серверах, менеджер паролей, E2E-шифрование почты и IM, подпись тэгов в гите и так далее.

anonymous ()
Ответ на: комментарий от marataziat

Оглушение человека это уже уголовное преступление, и разбиратся в этом будет полиция!

Можно вежливо оглушить, например, напоив дорогим коньяком. :-)

monk ★★★★★ ()
Ответ на: комментарий от WitcherGeralt

А смарт-карта - это тебе не просто ключ, а криптопроцессор. Приватный ключ генерируется на самой карте и не извлекается с нее. Сама карта опционально защищена паролем. Так что можешь теоретически бросать где хочешь, приватный ключ с нее нельзя извлечь никаким образом. А пока твой пароль узнают ты просто закроешь везде доступ для данного ключа.

aquadon ★★★★ ()
Ответ на: комментарий от monk

Оглушили, отпечатки сняли. Дальше по инструкции.

Зачем оглушать? Среднестатистический анонимус оставляет свои отпечатки на каждой первой дверной ручке.

segfault ★★★★★ ()
Последнее исправление: segfault (всего исправлений: 1)
Ответ на: комментарий от WitcherGeralt

Когда yubikey работает в режиме PIV или PGP (то что используется для gnupg и ssh) то девайс нужно сначала подключить. Для подключения девайса нужно знать пароль от него, и если неправильно ввести этот пароль несколько раз то дейвас очиститься и станет бесполезным (его можно будет инициализировать по новой, ключ уже будет другой и зайти на старые ресурсы будет нельзя).

Сколько раз можно ввести пароль неправильно можно настраивать, так-же есть разные пароли от девайса PIN, PUK и админский пароль. Админский пароль позволяет менять настройки устройства.

Так-что использование этой штуки для авторизации по ssh по ключу и есть 2Factor auth, так как нужно и устройство и пароль от него. Более того если тебя кто-то взломает удалённо и получит полный доступ к машине с ключом, то нужно ещё подтвердить использование устройства нажатием (то-есть нужен ещё физический доступ).

Но всё это конечно настраивается, и нажатие можно отключить.

anonymous ()