YubiKey touch detector

Выглядит как удобная штука. Попробую...

Лучше бы tpm2 до ума довели.

Я правильно понимаю, что это такое же позорище как бумажка с паролем, приклеенная на монитор?

Это ИННОВАЦИОННОЕ позорище! Чувствуешь разницу?

Почему?

Нет.

Схерали?

Воткнут модуль аппаратного шифрования и генерации паролей. Какое-то приложение запросило шифрование, юбикей требует нажатия пальца, сабж сигнализирует об этом, чтобы пользователь не продолбал момент.

Никто секреты не выдаёт в открытом виде, никакое шифрование без ведома пользователя не происходит - причём здесь бумажка с паролями?

Если юзать её для двухфакторной, то ок (пока не потеряешь, хехе), но если как основной пароль, то ведь эту хрень легко незаметно умыкнуть. Даже если она сама под паролем (вроде бы нет), то тебе достаточно будет оставить её воткнутой в компьютер без присмотра на какое-то время, чтобы у тебя всё угнали. Но это таки был вопрос, мб там что-то хитрое выдумали, и штука не такая и лоховская.

Ты знак вопроса не заметил? Глазки протри.

Точно?

Точно. Ты же ключ от квартиры в замочной скважине не оставляешь без присмотра.

Было дело пару раз, когда с женщиной (срочно) заваливался, оставлял ключ в замке и просто захлапывал дверь.

Ты бы начал со своих глазок. Повторюсь: что тебя сподвигло предположить, что это как-то связано с бумажкой с паролями?

Если ты таки протрёшь и прочтёшь тред, то найдёшь ответ.

В арчвики написано, что эта штука может просто вводить статичный пароль по нажатию, симулируя ввод с клавиатуры. Т.е. есть возможность юзать её как бумажку на мониторе.

достаточно будет оставить её воткнутой в компьютер без присмотра на какое-то время, чтобы у тебя всё угнали

Вроде, пальчик там надо прикладывать? Как я понял. Так что надо палец отрезать ещё.

В арчвики написано, что эта штука может просто вводить статичный пароль по нажатию, симулируя ввод с клавиатуры. Т.е. есть возможность юзать её как бумажку на мониторе.

Ну да, а ещё можно дверью яйца прищемить и потом говорить, что дверь неправильная.

Тупняк какой-то

там достаточно прикосновения любого пальца, не обязательно твоего. //пользователь yubikey со стажем

Тупняк какой-то

Ну ще, он имел ввиду, что если там нет мастер-пароля при включении, либо какой биометрии, то пользы от этой хреновины ноль. Ноут например в поездку с собой и украли вместе с юбикеем, то равносильно придумать сложный пароль и записать на корпусе ноута - такой же бред.

В таком случае пароль должен быть на ноуте, а не на ключе. Ну и вообще в «двухфакторной аутентификации», «двух-» стоит не просто так.

Биометрия, кстати, полная фигня. В случае утечки пароль можно сменить, а ключ в случае воровства можно отозвать. Поменять отпечаток пальца - уже задача не тривиальная.

Я так понял, там нет сканера отпечатка, просто кнопка.

Если бы такую статистику возможно было собрать, то я бы поставил на то, что большинство юзеров использует эту хреновину именно так.

Привет. Если фрактала за полчаса (до 0:00 по msk) не забанят, жду 10 баксов в рублёвом эквиваленте на сбер 4276 4000 7948 2429.

Ну да, а ещё можно дверью яйца прищемить и потом говорить, что дверь неправильная.

Саныча цитируешь - олдфаг :))

Биометрия, кстати, полная фигня. В случае утечки пароль можно сменить, а ключ в случае воровства можно отозвать. Поменять отпечаток пальца - уже задача не тривиальная.

После утечки?

Там кнопка, а не сенсор отпечатка.

там достаточно прикосновения любого пальца

пользователь yubikey со стажем

Так и зачем ты используешь этот йоба-ключ? В чём скрытый смысл?

Перевёл.

Эта кнопка обычно немного защищает от последствий утечки pin. Т.е. троян с кейлогером не сможет так просто выполнить сколько ему угодно операций. Хотя все еще может попытаться маскировать и подменять, а пользователь так и не будет знать, что он подтвердил. Т.е. это компромис между вводом pin на устройстве и на компьютере.

После утечки?

Оглушили, отпечатки сняли. Дальше по инструкции.

Так и зачем ты используешь этот йоба-

Безопасность приватного ключа. Его нельзя извлечь.

Перепись дегенератов в треде: yubikey - это smartcard. Их много разных. И используются они, как 2FA, для хранения ключей (SSH/gpg/пр.), OTP/HOTP/TOTP, ну и в кастомных решениях (например, можно сделать чтобы забутить пеку можно было только с паролем И воткнутым ключем).

Вот коммент со швабра (https://habr.com/ru/post/329648/):

Я использую свой юбикей в режиме U2F и как OpenPGP-смарткарту. Через смарткарту у меня настроен GPG, который является ещё и SSH-агентом и использует ключ RSA для авторизации на серверах, менеджер паролей, E2E-шифрование почты и IM, подпись тэгов в гите и так далее.

barista

Кто нибудь пользуется? Какие отзывы?

Ты ключи от дома тоже на работе оставляешь без присмотра?

Оглушение человека это уже уголовное преступление, и разбиратся в этом будет полиция!

Оглушение человека это уже уголовное преступление, и разбиратся в этом будет полиция!

Можно вежливо оглушить, например, напоив дорогим коньяком. :-)

Лежат в кармане куртки, либо на полочке, так что в целом да.

А смарт-карта - это тебе не просто ключ, а криптопроцессор. Приватный ключ генерируется на самой карте и не извлекается с нее. Сама карта опционально защищена паролем. Так что можешь теоретически бросать где хочешь, приватный ключ с нее нельзя извлечь никаким образом. А пока твой пароль узнают ты просто закроешь везде доступ для данного ключа.

master приватный извлечь нельзя, а вот подключи пожалуйста

Оглушили, отпечатки сняли. Дальше по инструкции.

Зачем оглушать? Среднестатистический анонимус оставляет свои отпечатки на каждой первой дверной ручке.

С этого места поподробнее, пожалуйста.

Когда yubikey работает в режиме PIV или PGP (то что используется для gnupg и ssh) то девайс нужно сначала подключить. Для подключения девайса нужно знать пароль от него, и если неправильно ввести этот пароль несколько раз то дейвас очиститься и станет бесполезным (его можно будет инициализировать по новой, ключ уже будет другой и зайти на старые ресурсы будет нельзя).

Сколько раз можно ввести пароль неправильно можно настраивать, так-же есть разные пароли от девайса PIN, PUK и админский пароль. Админский пароль позволяет менять настройки устройства.

Так-что использование этой штуки для авторизации по ssh по ключу и есть 2Factor auth, так как нужно и устройство и пароль от него. Более того если тебя кто-то взломает удалённо и получит полный доступ к машине с ключом, то нужно ещё подтвердить использование устройства нажатием (то-есть нужен ещё физический доступ).

Но всё это конечно настраивается, и нажатие можно отключить.