Forum

Forum

Notifications
Clear all

Trezor, Yubikey,...

Page 1 / 3

L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

Cau,

resim nejake lepsi zabezpeceni 2FA autentizace. Momentalne pouzivam Authy, ktere generuje TOTP klice.

Nelibi se mi, ze jsou jednak TOTP klice chranene jen heslem a neustale zadavani klicu.

Premyslel jsem o Yubikey, docela se mi libi, ale vadi mi, ze kdyz ho necham v pocitaci/notebooku a nekdo mi ukradne notebook, ma komplet pristup.

Zkousel sem i Trezor, ale ten zase umi (zrejme) jen ciste 2FA U2F, ale nejde pres nej nijak chranit TOTP klice.

Mate nekdo nejake jine reseni?

Idealni predstava by byla, kdybych pomoci Trezoru a pinu odemkl pristup do u2F a zaroven pristup do nejake TOTP aplikace pro ty 2FA kody, ktere nejdou pomoci U2F.

Bohuzel, yubikey splnuje odemyukani, trezor splnuje chraneni PIN, ale nenasel jsem nic dohromady.

L.


Quote
kumpa
(@kumpa)
Active Member
Joined: 4 years ago
Posts: 10
 

Zdravim,

Nemam to vyzkousene, ale posledni generace YubiKey (pata) podporuje FIDO2, ktere by melo resit presne tuhle situaci. Oznacuji to jako multi-factor authentication, kdy je potreba PIN pred odemcenim YubiKey. Ctvrta generace s FIDO tohle jeste nepodporuje. Nicmene obecne neni dobry zvyk nechavat jakykoli hardwarovy bezp. token trvale zapojeny v PC/laptopu. Plus je potreba YubiKey vzdy mit jako druhy faktor, tj. k primarnimu heslu. Uz jsem zazil i pripady, kdy dotycny tvrdil, jak ma vymakany system spravy hesel tak, ze pouziva YubiKey pro prihlaseni do Keepasu. To ve spojeni s trvale pripojenym tokenem opravdu neni dobry napad 🙂

https://www.yubico.com/2018/08/10-things-youve-been-wondering-about-fido2-webauthn-and-a-passwordless-world/

https://www.yubico.com/2018/09/introducing-the-yubikey-5-series-with-new-nfc-and-fido2-passwordless-features/

M.

This post was modified 3 years ago 2 times by kumpa

ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

Diky za comment.

Jestli ma yubikey i heslo, tak by to bylo supr. Ohledne toho nechavani, muzeme se bavit o tom, ze to tak byt nema, ale kdyz to ma pouzivat i zena, musim volit kompromisy 😉

Osobne nejvic by se mi libilo, kdyby vse fungovalo jen pres NFC a stacilo by mit token jen polozeny vedle PC nebo na nejake podlozce. I tak si ale nejsem jist, ze donutim zenu kazdy vecer vyndat/odnest token pryc od notebooku a dat ho nekam stranou.

Proto bych preferoval to heslo, navic tak, aby po usnuti kompu bylo heslo zapomenuto. Tohle umi pekne trezor, jenze zas neumi TOTP.

Hesla jsou v Lastpassu. Ten pres Yubi stejne nepojede, protoze jen kvuli YubiKey se mi nechce platit Premium account. Problem trochu je, ze Lastpass umi automaticke odhlaseni bud po nejakem case neaktivity nebo po komplet zavreni Chrome. Bohuzel, kdyz se da komp usnout, tak se neprovede ani jedno.

Na druhou stranu umi Laspass z jineho zarizeni vynutit zapomenuti vsech ostatnich sessions, takze tim by to slo pripadne resit. Ale neni to idealni.

Kazdopadne Yubikey bude vzdy v kombinaci s heslem, ktere ve vetsine pripadu bude ulozeno v Lastpass. Jen pro lastpass se bude heslo zadavat. 

Pokud k tomu mas nejake poznatky/vylepseni, sem s nimi 😉

Edit: Jo a jeste mne napada. Na TOTP 2FA ted pouzivam Authy+heslo, ale moc se mi to nelibi. Ten bych chtel presunout bud do Yubi Desktop Manageru, kdy je hlidany tim yubiklicem, nebo do KeePassu, ktery by sel pres heslo+yubi. To musim jeste zkusit


ReplyQuote
kumpa
(@kumpa)
Active Member
Joined: 4 years ago
Posts: 10
 

YubiKey ma i verzi s NFC a to je pak dobre vyuzitelne pri 2FA v aplikacich v mobilu. Jinak faktor zeny zcela chapu, moje argumentace typu "barak taky nezamknes a nenechas klice v zamku", jakozto analogii ponechaneho YubiKey v usb zatim nepadla prilis na urodnou pudu. Castecne pomaha pridelat si YubiKey ke klickum od auta :-))

Ja teda nepouzivam vubec online uloziste hesel (mimochodem zrovna LastPass nema moc dobrou reputaci, letos myslim nic velkeho, ale loni celkem dvakrat nejaky vyznamnejsi problem), ale synchronizuju si KeePass sifrovanou databazi. Hesla v online ulozistich je dobre pouzivat vyhradne s kombinaci HW tokenu.


ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

O NFC verzi vim, ale nevim jak to pak dostat do compu/notebooku. Poradnou ctecku NFC do USB sem nenasel, a ani sem nikde nevygooglil, jestli pak bude umet vse stejne, jako pres klasicke USB.

No, ta argumentace byla dost slozita ;-). Problem s klicema na auto je, ze jsou na miste spolu s penezenkama, takze je otazka, jestli by to pripadne nekdo nevzal taky (v situacich, kdy sme treba pres noc doma a nekdo by sem vlezl).

Kdyz sme pryc, tak to souhlasila s tim, ze bude Yubikey vyndavat. ale jde o ty situace, kdy je NTB spolu s Yubi doma. Ale to bude resit to heslo do Lastpassu a idealne i do Yubi, coz by bylo supr.

Ja ten Lastpass pouzivam uz fakt dlouho a vsechny ty  "problemy" co mel byly vetsinou nafouknuty bubliny. Nikdy jim neutekla zadna data. Jedno byl tusim hack pres prohlizec pres nejakej haclkelj cizi plugin a druhy uz si ani nepamatuju. To loni bylo, ze je koupila tusim ta firma, co koupila i Himachi, nebo jak se ten VPN tool tenkrat jmenoval.

Idealne bych hesla samozerjme mel taky jen offline, jenze potrebuju je na vice PC, k tomu v mobilu. A tech hesel mam fakt tunu. Takze vyuzivam generator hesel + autofill. Jinak na lastpass mam samozrejme ted 2FA od Authy. Ale je to jen ten TOTP a proto to i resim.

Ten KeePass uvidim jak bude pouzitelny. Synchronizovat ho muzu pres dropbox, takze by to nahrada mohla byt. Ale musim vyzkouset i ten mobil.


ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

Jinak co se tyka hesel obecne, tak bych fakt nejradsi, aby uz tahle era kompletne skoncila a preslo se vsude jen na HW key nebo nejakou ala-google autentizaci. Ale to je zatim jen vlhkej sen ;-(


ReplyQuote
S474N
(@s474n)
Eminent Member
Joined: 3 years ago
Posts: 28
 

Jen kraticky dotaz. Cetl jsem si clanky na hlavnim webu a docela mne to zaujalo. Vzhledem k tomu, ze uz to nejaky "patek" bude, tak se chci zeptat, jestli by na tom autor neco zmenil (use case pouziti, jiny HW,...) nebo jestli vse zustava v rovine toho, co psal?


ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

@s474n stale vse plati a vse pouzivam dodnes.

Jedine na co se tesim, tak Yubikey ma predstavit i HW key s otiskem prstu (nejen stisknuti tlacitka, ale primo scanovani). Ale zatim se nevi ani cena.


ReplyQuote
S474N
(@s474n)
Eminent Member
Joined: 3 years ago
Posts: 28
 

Diky za odpoved, jeste me mezitim napadly dalsi veci.

Jinak co se tyce toho s otiskem, tak tam pise vnimam negativa, jak co se ceny tyce, tak i toho, toho ten nemuzu nechat v trezoru/schrance, protoze by ho potom nikdo nemohl pouzit.

S tim souvisi otazka toho, ze jsem nekde v diskusi zahledl, ze pry ve schrance mas ten "obycejny modry" (Yubikey Security Key). Je to pravda? Jaky je vubec rozdil mezi tim klasickym a timto? Ptam se proto, jestli by mi nestacil jen ten modrasek.

A nakonec jeste dotaz, jak to delat s beznymi hesly? Pouzivas nekde interni ukladani hesel v prohlizecich a jejich synchronizaci? Jaky je use case s obyc hesly, treba sem na forum nebo jine nekriticke veci?

A jeste me napadlo, jestli existuje i nejake reseni pro obyc hesla pro platformu iOS. Kdybych chtel vse zmigrovat na jedno misto a vzajemne syncovat i s Windows.


ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

@s474n vsak to neni do trezoru, do trezoru das obycejny, ale tu co nechavas bezne u pocitace a pouzivas jen pro sebe das otisk. Imho dobre. Ta cena je vec druha, uvidime kolik bude.

 

ad modry, podivej se na stranky yubikey. ten modry je jen hloupy fido2, tzn vhodny na gmail/dropbox/.. a sluzby, co jsou primo fido2. ten drazsi yubikey pak ma vice protokolu a navic ma 2 sloty, kdy si muzes do kazdeho slotu naprogramovat vlastni algo. Takze ja treba mam v druhem slotu challenge-response protocol se seedem, ktery se pouziva na odemykani keepassu.

 

bezna hesla jsou v lastpassu. jsou to hesla, ktera bych v extramu dal klidne verejne sem na blog. kdyz se tam nekdo dostane, holt se tam dostane, ale nic se nestane.

 

hesla do gmailu a dalsich sluzeb tam mam taky, protoze k tomu je to heslo chraneno yubikey. takze samotna krades hesla nic neznamena.

A to co je dulezite je v keepasu, tzn TOTP seedy a dalsi. A pak mam jeste nejvyssi level, a to jsou vsechna master hesla, seedy do cryptomen, atd. a ty jsou v keepasu ve virtualnim storji v Hyper-V s odpojenou sitovou kartou. Tzn neco, jako kdyby to bylo na offline pocitaci.

 

ad iOS, netusim, nesnasim apple platformu z mnoha duvodu 😉


ReplyQuote
S474N
(@s474n)
Eminent Member
Joined: 3 years ago
Posts: 28
 

No o to mi prave jde, rozlisit, co je k cemu vhodne. Tech zkratek je tolik, ze se mi z toho mota hlava a v kombinaci s tim, ze ani nevim, co chtit, je to o to horsi  😀

Nicmene, pokud jsem to dobre pochopil, tak ty zakladni nebrat, protoze si tam nemuzu " predprogramovat" predem klic pro Keepas do slotu 2 a tim padem by ten modry nebyl vhodny pro ulozeni do trezoru/schranky.

Pokud jsem dobre pochopil ty drazsi, tak maji 2 sloty, s tim, ze prvni je urceny pro Yubico OTP (celkem maximalne 32 sluzeb/webu), druhy si muzu preprogramovat cim budu chtit.

Tedy v tvem pripade pouzivas fixni retezec (zatimco ve slotu 1 je TOTP retezec, ktery se pochopitelne vzdy meni).

Trosicku se taky ztracim v tvem use case pouziti jednotlivych programu. Vysvetlim proc.

Ma idea je takova, abych mel vse idealne na jednom miste, v jedne aplikaci, ktera se automaticky syncuje napric platformami (Win, iOS,...).

Pouzivas tedy vubec ulozene prihlasovaci udaje v prohlizeci nebo to mas uplne zapovezeno z duvodu bezpecnosti? Kde je ona hranice, kterou rozlisujes, co das do Keepass a co do Lastpass? Proc vubec mas Lastpass a ne vsechno v Keepass, ktery mi prijde "vice bezpecny" diky Yubikey?

Resil si SSH klice? Pres co a jak? Ptam se proto, aby k tomu nahodou nemusel byt ten druhy slot, ktery "venuji" Keepasu.

Uff, spousta otazek, doufam, ze te to neodradi, ale snazim se to pochopit, abych mohl naroubovat tve reseni na me pozadavky/potreby 🙂


ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

- zakladni brat v pripade, ze mas nastaveny recovery plan tak, ze se potrebujes dostat do dropboxu/google mailu a tam uz najdes vse dalsi potrebne. viz moje clanky o keepasu.

- pokud chces postavit ochranu nad necim vic a chces mit zalohovanou kopii celeho klice, vem dva stejne. ale nemuzes vzit biometriku (leda by si tva polovicka na pamatku urizla tvuj prst).

- ad 2 sloty, muzes tam dat co chces. ja tam yubico OTP vubec nemam. v prvnim mam fido2, v druhy challenge-response 

- ne, v 1 neni TOTP, to je neco jineho. TOTP je google auth. Na ten pouzivam keepas, ale jde pouzit i yubiko totp manager do mobilu

- ad dalsi dotazy. cetl si me 3 clanky ohledne yubico+keepass ? vse je tam totiz vysvetleno

- uz sem totiz odpovidal. hesla mam v lastpassu, ale jen takova, o ktera se v extremu muzu podelit (rohlik, tesco, ruzna fora) nebo ktera jsou chranena dalsim faktorem (gmail, lastpass, burzy, vodnici,...) proste nic, kde by vznikla penezita nebo jina ztrata, pokud by se k nim nekdo dostal. tam kde to jde pozuivam 2FA, at uz TOTP z keepasu, nebo FIDO z Yubikey. tim padem hesla nemaji takovou dulezitost

-  v keepasu jsou defakto jen kreditky, piny, TOTP generatory. zadna hesla v keepasu nemam, neni potreba. na ty staci 2FA. V druhem vice bezpecnem keepasu jsou pak seedy, instrukce kdyz by se mi neco stalo, atd.  vse v dropboxu, do ktereho se lze dostat heslem + yubikey z trezoru. opet vse popsano v clanku

- ssh klice neresim, ty mam lokalne v private repositari v svn na serveru. nepredpokladam, ze by se nekdo potreboval dostat pres muj pc na server, neni tam nic na cem se da vydelat. payment processing je 3rd, takze maximalne nejaka databaze zakazniku, ale zadnej vejvar.

- spousta otazek ano, cast rozumna, cast mi prijde duplicitni z clanku. procti plz clanek, at se netocime v kruhu

This post was modified 2 years ago by L

ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860

ReplyQuote
L
 L
(@l)
Famed Member Admin
Documentator
Joined: 7 years ago
Posts: 2860
Topic starter  

A jeste jedna vec, celou topologii zabezpeceni si musis udelat dle sveho use case, musis zvolit co je pro tebe jeste prijatelne a co uz ne. da se udelat vetsi zabezpeceni, ale je to opruz. takze volis mezi pohodlim a bezpecim.

napriklad jsem ochotny ozelet heslo do rohliku, protoze mi maximalne nekdo neco objdna, ale nemusim ho zadavat vzdy rucne. atd.

Vzdy predpokladm s nejhorsi variantou. Keepas/Lastpass lze hacknout, youbikey lze ukrast. ale vetsinou nikdy ti nevybrakuji vice SW najednou a k tomu i HW najednou. a i kdyby jo, stale je yubikey chranen pinem. I kdyby dostali ten a dostanou se ti k mailu, nesmi se dostat k seedum s penezi, atd. Kdyz ti barak shori, musis byt schopny vse obnovit, hesla, seedy, ale i data. tzn nejaka banka, nebo kamarad kterymu veris u neho v trezoru, nebo nekde zakopane na zahrade, atd.

proste komplet recovery plan. a to stejne vcetne elektronicke zaveti. pokud ze dne na den zmizis, dostane se ke vsemu tvoje polovicka? nebo vse zustane ztraceno...

This post was modified 2 years ago by L

ReplyQuote
S474N
(@s474n)
Eminent Member
Joined: 3 years ago
Posts: 28
 

Clanky jsem samozrejme cetl, dokonce i vicerkrat, vcetne diskusi pod. Potom jsem taky sjizdel nejaka videa na YT, ale abych se mohl "kvalifikovane" rozhodnout, jakou cestou (a proc) se vydat, tak musim mit komplexni informace. A stale v tom lehce receno tapu a nechci zbytecne uspisit rozhodnuti, abych nasledne litoval.

Slot 2 a jeho pouziti je mi docela jasne. Tam si nastavim fixni klic, kterym nasledne odemykam pristup do Keepassu, kde jsou nejdulezitejsi udaje.

Co nechapu je to, proc pouzivat LastPass, ono ty veci nejde mit ulozene jen v Keepassu? Nebo je use case pouziti Keepassu tak zbytecne "slozite" (treba z duvodu absence autofill u web formu? nevim, spekuluji, proto se ptam) a prave proto radeji uprednostnujes LastPass?

V cem jeste plavu je tedy slot 1 a jeho obsah. Co jsem videl ty zahranicni videa, tak to vsichni pouzivali pro Yubico TOTP, coz jsem si prave rikal, ze dava dost smysl. Odbourat Google Auth a prejit na Yubico reseni, kdy pri prilozeni klice napriklad k telefonu kamarada, tak mi to nacte moje kody - tam se mi libi i tato provazanost a myslim si, ze z hlediska bezpecnosti to bude mit Yubico vychytane.

Mohl by ses prosim vic rozepsat k tomu slotu 1. Tobe je to mozna jednoznacne jasne, protoze to pouzivas, ale ber to tak, ze to vysvetlujes nekomu, kdo se se zkratkami FIDO, TOTP atd setkal pred tremi dny poprve. Pouzivas tam FIDO nebo FIDO2 a proc zrovna toto? Jakou to ma vyhodu nebo v cem je to jine proti TOTP?

Zatim to vypada na to, ze vezmu 2x 5 NFC, abych je mohl pouzivat s pocitacem i mobilem. Respektive si nejsem jist, jestli na tom mobilu mam trvat, ale rad bych pouzival to Yubico TOTP. Jde totiz o to, ze bych byl nerad svazan pouze s pocitacem a nekdy se proste muze stat, ze se budu k necemu potrebovat prihlasit i "v terenu" a bud z mobilu nebo z jineho zarizeni.


ReplyQuote
Page 1 / 3
Share: