You are here
Home > posts

The YubiKey NEO.

The YubiKey NEO.

YubiKey-serien av hardware-engangs-passord (OTP) generatorer har v rt pa markedet i noen ar na i 2010,

vi sa pa den tidligere generasjonen enheter nar stotte til dem kom til Fedora.

Men siden den tiden har flere oppdateringer til bade maskinvare og programvare siden av YubiKey-produkter blitt rullet ut,

Tilbyr brukerne noen ekstra valg for rimelige sikkerhetstokener.

For de som ikke er kjent med den aktuelle produktlinjen, er YubiKey en reduserende USB-A nokkelfob.

som inneholder en sikker kryptografisk modul pa innsiden og en enkel beroringsknapp pa utsiden.

Den grunnleggende modellen er flat nok til at den ligner en nokkel mer enn en tradisjonell USB-minnepinne,

og selskapet gjor til og med en kompakt versjon («Nano») som knapt stikker ut utover USB-porten.

Lagringsplass pa nokkelen er lesbeskyttet og fysisk tamper-proof;

brukeren laster en hemmelig nokkel inn i en av de tilgjengelige lagringsplassene,

og selv om sporet kan overskrives, kan den lagrede hemmeligheten ikke trekkes ut.

Nar nokkelen er koblet til en USB-port og knappen trykket,

nokkelen beregner en hash (eller annen relevant funksjon) basert pa hemmeligheten.

og sender resultatet til bruk som en OTP.

Det som gjor YubiKey popul rt, er dens fleksibilitet.

Til tross for den spesielle kretsen under hetten, nar den er plugget inn,

nokkelen presenterer seg for vertsdatamaskinen som et standard USB-tastatur og mdash;

passordene det sender ut sendes som tegnstrenger,

slik at de kan mates like lett inn i en applikasjon,

et systeminnloggingsskjerm eller et nettsted, uavhengig av operativsystemet.

I tillegg kan lagringsplassene konfigureres pa flere forskjellige mater.

Et av de mest popul re alternativene (basert pa blogginnlegg og vurderinger) er RFC 4226,

bedre kjent som den HMAC-baserte One-Time Password (HOTP) -algoritmen fra OATHs apne autentiseringsstandard.

HOTP er et popul rt valg for multi-faktor autentisering ordninger for web-tjenester,

Selv om de mer popul re tjenestene ser ut til a stotte Time-Based One-Time Password (TOTP) varianten,

som legger til en annen smidge av sikkerhet ved a beregne HMAC hash av dagens tidsstempel i stedet for en enkel teller.

YubiKey selv gjor ikke TOTP (det har ikke en innebygd klokke),

men mange brukere vil v re kjent med TOTP som algoritmen som brukes av Google Authenticator, FreeOTP og lignende.

YubiKey begrensning til HOTP er ikke et trivielt element;

Brukere som onsker a sikre sine kontoer pa offentlige webtjenester har vanligvis ikke noe valg som.

til om tjenesten stotter HOTP eller TOTP.

Siden de fleste av de store navnene ser ut til a foretrekke TOTP,

Brukerne av disse tjenestene kan fole seg frustrert over at nokkelen deres er mindre nyttig enn de hadde hapet.

Men heldigvis finnes det andre konfigurasjonsalternativer enn HOTP.

Noen av dem, i kombinasjon med andre verktoy, lover a utvide YubiKey’s funksjonalitet pa interessante mater.

I tillegg til den nevnte YubiKey Nano har selskapet introdusert en annen modell.

med forskjellige egenskaper enn den opprinnelige YubiKey:

YubiKey NEO, som legger til et N rfelt kommunikasjons (NFC) grensesnitt og et felles kriterium-godkjent JavaCard-sikker element.

NFC-modusen kan fungere som et generisk MIFARE Classic RFID-token,

og JavaCard-elementet kan lastes med noen av flere sikkerhetsapplets og brukes som et smartkort.

Disse tilleggene utvider i stor grad antallet og typen tjenester som nokkelen kan brukes til.

De eldre YubiKey-modellene stottet to konfigurasjonsspor som kunne lastes med separate legitimasjonsbeskrivelser & mdash;

ett spor blir utlost av en hurtig trykk pa enhetens knapp,

den andre blir utlost av en lang trykk.

Men to sett med legitimasjonsbeskrivelser er ikke sa mange i SaaS- raen;

med flere kontoer for a beskytte, velger man favoritttjenester,

eller kjope flere YubiKeys?

Pa selskapets diskusjonsforum har kjoperne periodisk spurt.

om det ville v re mulig a stotte mer enn to spor pa nokkelen,

og selskapets svar tyder pa at det er tilstrekkelig lagringsplass pa tastene,

men at UI-utfordringen er betydelig.

Et kort trykk og et langt trykk kan v re rimelig skilt,

men 10 eller 12 forskjellige knappetrykklengder vil uten tvil v re vanskelig.

NEO er kanskje et svar pa dette langvarige kunde onske,

bruker mer av enhetens lagringskapasitet.

De andre endringene rullet ut siden var forrige titt pa YubiKey skjedde pa programvarefronten.

Selskapet er na vert for en rekke gratis programvareverktoy,

fra et par nokkelkonfigurasjonsverktoy (ett kommandolinjev rktoy og ett Qt-drevet grafisk tilbud)

til et utvalg av biblioteker for a legge til YubiKey-godkjenning til popul re webrammer.

Det grafiske konfigurasjonsverktoyet lar brukeren laste inn en av de to programmerbare lagringsplassene pa en tast,

slette eksisterende konfigurasjon (er), og angi noen viktige alternativer.

(for eksempel karakterfrekvensen hvor enheten sender passordnokkelkoder og beskytter nokkelens konfigurasjon ved a sette inn et passord).

For tiden er det fire konfigurasjonsalternativer for datautvalgene:

HOTP-modusen som er nevnt tidligere,

et statisk passord,

en utfordrings-responsmodus,

og et spesielt OTP-alternativ som bare fungerer med Yubicos egen skybaserte webtjeneste.

Statisk passordmodus gir samme streng hver gang, selvfolgelig.

Utfordringsresponsmodus er utformet for a grensesnitt med et program som kjorer pa datamaskinen som nokkelen er koblet til.

Det beregner hash av en utfordringsstreng som sendes til nokkelen ved soknaden.

For tiden stottes to forskjellige utfordrings-responsordninger:

HMAC-SHA1, og en tilpasset algoritme stottes bare av Yubico-programvare.

HMAC-SHA1-alternativet er mer interessant av utfordrings-responsordninger,

fordi det gir en skritt mot a bruke nokkelen som en TOTP token & mdash;

som ville gjore det brukbart med langt mer offentlige webtjenester enn HOTP,

inkludert Google, Dropbox, GitHub, og mange flere.

Denne tiln rmingen krever nedlasting og installering av et hjelpeprogram (som er gratis programvare) kalt YubiTOTP.

Med nokkelen satt inn, kan YubiTOTP sende en tidsstempel til nokkelen som «utfordringen»

slik at hashverdien som sendes ut som svaret, er et fullt kompatibelt TOTP-passord.

Nar det gjelder NFC-stotten, bruker NEOs grunnleggende funksjonalitet NFB-datautvekslingsformat (NDEF)

sender en forhandsbestemt streng (for eksempel en grunnadresse) med det genererte OTP-passordet vedlagt.

til det nar enheten blir berort til en NFC-leser.

Offisielt stottes bare noen fa NFC-kompatible vertsenheter & mdash;

hovedsakelig navn-merke Android-telefoner & mdash;

men brukere pa forumet ser ut til a ha funnet suksess med mer enn bare den godkjente listen.

NDEF-meldingsstrengen kan tilpasses med konfigurasjonsverktoyet,

og NFC-funksjonen ma v re koblet til ett av de to eksisterende YubiKey-konfigurasjonssporene.

Derved tillater det kontaktlos drift (som er praktisk for godkjenning gjennom en enhet som en telefon som ikke har en USB-port),

men det legger ikke til stotte for en tredje konfigurasjon.

Yubico lager ogsa en NFC-kompatibel versjon av YubiTOTP for Android,

som tillater NEO a tjene som en TOTP-token gjennom en NFC-kompatibel telefon.

Selskapet lager ogsa et par applikasjoner (en for Android, en for skrivebordet)

som implementerer den samme todelt TOTP-dansen som YubiTOTP,

men med den betydelige ekstra bonusen for lagring av flere TOTP hemmelige legitimasjoner.

Denne funksjonen er designet for NEO, men det krever at du laster inn den tilsvarende JavaCard-appleten.

inn i NEOs smartcard secure element og en prosess som for tiden,

er en ekte hodepine-inducer som mange brukere pa diskusjonsforumet ikke synes a kunne jobbe med.

I mine egne tester har jeg ikke engang v rt i stand til a fa det forste trinnet til a fungere riktig:

slar pa smartkortet alternativet via kommandolinjens konfigurasjonsverktoy.

Dokumentasjonen sier at du angir dette alternativet ved a kjore ykpersonalize -m82.

vil lage en smartkortleser og det normale YubiKey faux-tastaturet.

begge vises som tilkoblede USB-enheter nar nokkelen er koblet til.

Jeg har ikke fatt smartkort-aktiveringskommandoen til a fungere pa noen av maskinene mine,

det ser ut til a ikke v re noen feilsokingsprosess,

og jeg har ikke mottatt svar fra Yubico til min stotte e-post pa emnet.

Smartkort-funksjonaliteten er ny, og selskapet har nylig begynt a jobbe.

pa et smartkortspesifikt konfigurasjonsverktoy, sa kanskje forbedret stotte er pa vei,

men nav rende situasjon er en skuffelse likevel.

Sammenligning av skuffelsen er at JavaCard-sikkerhetselementet er rapportert.

for a stotte flere forskjellige applets av interesse som ville utvide nokkelens funksjonalitet & mdash;

for eksempel OpenPGP eller OpenSSH-godkjenning.

Det hjelper ikke med at Yubicos dokumentasjon, diskusjonsforum,

og Android-apps er ofte ikke enige om terminologien til de forskjellige delene som er involvert.

eller trinnene som trengs for a konfigurere smartkort-funksjonalitet,

heller ikke at de har en vane med a peke pa dode lenker pa wiki.

Forhapentligvis, med litt mer tid investert, vil slike problemer alle vise seg a v re losbare,

I sa fall vil en titt pa NEOs smartkortfunksjoner komme fram.

State of the art.

Med det grunnleggende konfigurasjonsverktoyet kan brukeren laste to separate konfigurasjoner i de to tilgjengelige sporene pa NEO.

Hvis man er sikker pa at skrivebordshjelpeprogrammet er sikkert (og man bor selvfolgelig gjore omhu i slike saker),

sa kan YubiKey brukes til a autentisere til en eller to TOTP-talende tjenester som et multifaktorautentiseringshjelpemiddel.

I TOTP-modus er YubiKeys prim re konkurrent programmer som Google Authenticator eller FreeOTP.

Problemet er at disse programmene kan lagre et ubegrenset antall HOTP / TOTP hemmelige legitimasjon,

og til Yubico far kinks ut av smartcard-funksjonaliteten, kan selv YubiKey NEO bare lagre to.

Pa plussiden er det folk som enten ikke har eller ikke kan.

bruk en Android-enhet som den andre faktoren i deres multi-faktor autentisering oppsett,

og nar man kommer rett ned til det, er en mobil app egentlig ikke en «ting du har» i verste forstand av ordet.

En app kan bli kompromittert eller skadet; YubiKey er,

i det minste et maskinvare som er vanskeligere a bryte inn enn en smarttelefon,

og gar aldri ut av batteristrom pa bare feil tidspunkt.

Verdien av alternativene for ikke-HOTP / TOTP-konfigurasjon er mer av personlig mening enn noe annet.

Yubicos skytservicetilbud kan v re interessant for noen systemadministratorer,

men det er sannsynligvis mindre interessant for den gjennomsnittlige forbrukeren,

som bare vil legge til tofaktorautentisering til en eksisterende online-konto.

Den statiske passordalternativets reelle sikkerhetsverdi er at den lar brukeren lagre et passord.

det er for langt og komplisert a bli husket, men,

med overflod av krypterte passord-lagringsprogrammer der ute i dag,

verdien av a lagre et slikt passord pa en maskinvaretoken er for det meste at den kan reise med brukeren i feltet.

Det scenariet har sine grenser; Pa et usikkert system kan YubiKey bli utsatt for tastetrykkslogging.

eller andre angrep som helt ville undergrave et statisk passord, men hvilken OTP er utviklet for a folie.

Uten smartkortfunksjonene er NEO litt mer interessant enn standard YubiKey.

fordi det kan brukes bade via USB og via NFC & mdash; selv om det kommer til dobbelt pris ($ 50 mot $ 25).

Men clincher er fortsatt at HOTP er langt mindre utbredt enn TOTP,

og adopsjon blant tjenesteleverandorer ser ut til a fortsette i samme vene.

Det legger langt mer pres pa Yubicys programvaretilbud for a gi en smertefri opplevelse for konfigurasjon og bruk.

Konfigureringsverktoyene er ikke sa enkle a bruke som fotografisk QR-kode metode tilgjengelig for Google Authenticator,

men de har gjort enhetens utvalg av muligheter lett a forsta og (viktigere) lett a teste.

Med ethvert flaks vil smartkortfunksjonaliteten komme i relativt kort rekkefolge.

Top

Hallo! Vil du spille i det mest populære kasinoet? Vi fant det for deg. Gå her nå!