Security Key + Freie Software? (gelöst)
Security Key + Freie Software? (gelöst)
Kennt jemand hier vielleicht eine Möglichkeit, 2FA mit einem Hardware-key aber ohne propritäre Software zu hinzubekommen? Die Schlüssel von Yubikey brauchen anscheinend immer die proprietäre Software (?).
Zuletzt geändert von Ozelot am 16.04.2021 09:00:57, insgesamt 2-mal geändert.
Re: Security Key + Freie Software?
Ich habe einen Nitrokey und einen von solo (open source hard- und software)
Bin zufrieden (recht hochpreisig und die firmware reift beim Kunden ... )
Bin zufrieden (recht hochpreisig und die firmware reift beim Kunden ... )
Re: Security Key + Freie Software?
Der Solokey seiht interessant aus. Ich finde leider keinerlei Hinweise oder Erfahrungsberichte, wie man den benutzt um damit z.B. ein Googlekonto zu verifizieren. Offensichtlich muß ich den Key anmelden ("enrol") und dann freilich bei jedem Login benutzen - was für Software brauche ich, daß der dabei auch erkannt wird?
Re: Security Key + Freie Software?
Möglicherweise ist der Anwendungsfall zu beschränkt, aber du kannst doch ein verschlüsseltes LVM mit Passphrase und "detached LUKS header" [1] erzeugen. Den Header packst du auf einen entfernbaren Datenträger.
[1] https://wiki.archlinux.org/index.php/Dm ... UKS_header
[1] https://wiki.archlinux.org/index.php/Dm ... UKS_header
Re: Security Key + Freie Software?
Ich habe die beiden:
Nitrokey und Somu im Test Zwei Fido-Sticks für alle Fälle - Golem.de
https://www.golem.de/news/nitrokey-und- ... 44778.html
Und sie funktionieren soweit mit Firefox, Chrome und dem Androiden (usb-c Adapter).
Der kleine ist fest im Thinkpad.
Nitrokey und Somu im Test Zwei Fido-Sticks für alle Fälle - Golem.de
https://www.golem.de/news/nitrokey-und- ... 44778.html
Und sie funktionieren soweit mit Firefox, Chrome und dem Androiden (usb-c Adapter).
Der kleine ist fest im Thinkpad.
Re: Security Key + Freie Software?
Wenn du so fragst sind gpg-keys (oder ssh-keys) mit Passphrase eine Möglichkeit. Am Ende ist das sogar kompatibel zu den Yubikeys. Oder eben die LUKS veriante.2FA mit einem Hardware-key aber ohne propritäre Software zu hinzubekommen?
Das Ding mit dem die Hardwaredinger aber immer werben ist unkopierbarkeit. (Damit dir den Hardwaretoken nicht jemand heimlich Stehlen, kopieren und zurücklegen kann, ohne dass du was merkst.)
Auf den Yubikey ab der Version 4 läuft proprietäre Software. Du musst nichts außer dem gpg-Agent auf deinem Rechner haben.Die Schlüssel von Yubikey brauchen anscheinend immer die proprietäre Software (?).
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Security Key + Freie Software?
Yubikey mußte aber schon mehrmals Keys austauschen Fehler in der Firmware/Keymanagement ...
von denen rate ich mal einfach ab.
Solo und Nitro verwenden ähnliche / gleiche Hard- und Firmware.
von denen rate ich mal einfach ab.
Solo und Nitro verwenden ähnliche / gleiche Hard- und Firmware.
Re: Security Key + Freie Software?
Danke Allen - ich glaube, ich blicke bei dem Thema einfach noch nicht durch.
Mein primärer Anwendungsfall ist konkret, daß ich gerade mit Leuten zu tun habe, die meinen Zugang zu ihrer Infrastruktur über ein Google-Konto laufen lassen und dafür 2FA vorsehen. Sekundär würde ich aber gerne auch für andere, ähnliche Situationen in Zukunft gewappnet sein. Außerdem trage ich mich mit dem Gedanken, diverse private SSH-Keys vielleicht auch so abzusichern. Woran mir viel liegt, ist, keine proprietären Clients auf meinem Arbeitsrechner zu installieren. Was auf dem Key läuft ist sekundär. Ich habe aber kein Howto für die Yubikeys gefunden, bei dem man nicht eine Software vom Anbieter installieren mußte.
Für meine SSH Zugänge ginge freilich Hikaru's Methode (Danke - prima Idee.). Aber wie das ganz praktisch Google bei Konsorten funktioniert, ist mir nicht wirklich klar. Wenn ich da einfach mit GPG zurande komme (und die keys dann bei Bedarf mit eben jener Methode von einem Stick abhängig mache - nur dann wäre es wirklich 2FA, richtig?), ist das auf jeden Fall eine interessante Alternative. Aber wie setze ich das konkret auf? Wäre oathtool da das Paket der Wahl?
Die Unkopierbarkeit ist aber u.U. auch wichtig. Ist die ganze Authentifizierung browserbasiert? Lassen sich die Keys dann einfach durch den Browser nutzen? Wie werden die denn von USB zum Browser durchgereicht?
Mein primärer Anwendungsfall ist konkret, daß ich gerade mit Leuten zu tun habe, die meinen Zugang zu ihrer Infrastruktur über ein Google-Konto laufen lassen und dafür 2FA vorsehen. Sekundär würde ich aber gerne auch für andere, ähnliche Situationen in Zukunft gewappnet sein. Außerdem trage ich mich mit dem Gedanken, diverse private SSH-Keys vielleicht auch so abzusichern. Woran mir viel liegt, ist, keine proprietären Clients auf meinem Arbeitsrechner zu installieren. Was auf dem Key läuft ist sekundär. Ich habe aber kein Howto für die Yubikeys gefunden, bei dem man nicht eine Software vom Anbieter installieren mußte.
Für meine SSH Zugänge ginge freilich Hikaru's Methode (Danke - prima Idee.). Aber wie das ganz praktisch Google bei Konsorten funktioniert, ist mir nicht wirklich klar. Wenn ich da einfach mit GPG zurande komme (und die keys dann bei Bedarf mit eben jener Methode von einem Stick abhängig mache - nur dann wäre es wirklich 2FA, richtig?), ist das auf jeden Fall eine interessante Alternative. Aber wie setze ich das konkret auf? Wäre oathtool da das Paket der Wahl?
Die Unkopierbarkeit ist aber u.U. auch wichtig. Ist die ganze Authentifizierung browserbasiert? Lassen sich die Keys dann einfach durch den Browser nutzen? Wie werden die denn von USB zum Browser durchgereicht?
Re: Security Key + Freie Software?
Das ding tut ziemlich out of the box, wenn man gpg-agent installiert ist. (Ich glaube selbst in nem debian-minimal enthalten.) Lustigerweise findet man sofort passende Ergebnisse wenn man yunikey und ssh sucht. Sucht man dagegen yunikey und google kommen sofort Ergebnisse die den passenden bloat installieren wollen. Offensichtlich sind die Nutzerschichten andere Vorgehensweisen gewöhnt.Ich habe aber kein Howto für die Yubikeys gefunden, bei dem man nicht eine Software vom Anbieter installieren mußte.
Hier ein Link auf eine Anleitung für ssh und gpg:
https://dev.to/paulmicheli/using-your-y ... h-gpg-3h4k
Für google:
Einmalig zum einrichten:
Code: Alles auswählen
apt install yubikey-manager
ykman oath add -t google [KEY]
Code: Alles auswählen
ykman oath code google
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Security Key + Freie Software?
Bei Google ist es "einfach"
Du möchtest dich Anmelden youtube z.B.
- Passwort eingeben im Firefox, Enter dann wird nach dem key gefragt (Taste drücken) -> login
- mit GPG mußt du schauen ob der Dongle das auch unterstützt.
Du möchtest dich Anmelden youtube z.B.
- Passwort eingeben im Firefox, Enter dann wird nach dem key gefragt (Taste drücken) -> login
- mit GPG mußt du schauen ob der Dongle das auch unterstützt.
Re: Security Key + Freie Software?
Danke nochmal an alle, das hat alles sehr geholfen --