Security Key + Freie Software? (gelöst)

Smalltalk
Antworten
Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Security Key + Freie Software? (gelöst)

Beitrag von Ozelot » 22.03.2021 13:01:01

Kennt jemand hier vielleicht eine Möglichkeit, 2FA mit einem Hardware-key aber ohne propritäre Software zu hinzubekommen? Die Schlüssel von Yubikey brauchen anscheinend immer die proprietäre Software (?).
Zuletzt geändert von Ozelot am 16.04.2021 09:00:57, insgesamt 2-mal geändert.

mcb

Re: Security Key + Freie Software?

Beitrag von mcb » 22.03.2021 16:37:12

Ich habe einen Nitrokey und einen von solo (open source hard- und software)

Bin zufrieden (recht hochpreisig und die firmware reift beim Kunden ... )

Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Re: Security Key + Freie Software?

Beitrag von Ozelot » 24.03.2021 09:20:22

Der Solokey seiht interessant aus. Ich finde leider keinerlei Hinweise oder Erfahrungsberichte, wie man den benutzt um damit z.B. ein Googlekonto zu verifizieren. Offensichtlich muß ich den Key anmelden ("enrol") und dann freilich bei jedem Login benutzen - was für Software brauche ich, daß der dabei auch erkannt wird?

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Security Key + Freie Software?

Beitrag von hikaru » 24.03.2021 11:15:22

Möglicherweise ist der Anwendungsfall zu beschränkt, aber du kannst doch ein verschlüsseltes LVM mit Passphrase und "detached LUKS header" [1] erzeugen. Den Header packst du auf einen entfernbaren Datenträger.

[1] https://wiki.archlinux.org/index.php/Dm ... UKS_header

mcb

Re: Security Key + Freie Software?

Beitrag von mcb » 24.03.2021 12:11:35

Ich habe die beiden:

Nitrokey und Somu im Test Zwei Fido-Sticks für alle Fälle - Golem.de
https://www.golem.de/news/nitrokey-und- ... 44778.html

Und sie funktionieren soweit mit Firefox, Chrome und dem Androiden (usb-c Adapter).

Der kleine ist fest im Thinkpad.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Security Key + Freie Software?

Beitrag von wanne » 24.03.2021 12:53:45

2FA mit einem Hardware-key aber ohne propritäre Software zu hinzubekommen?
Wenn du so fragst sind gpg-keys (oder ssh-keys) mit Passphrase eine Möglichkeit. Am Ende ist das sogar kompatibel zu den Yubikeys. Oder eben die LUKS veriante.
Das Ding mit dem die Hardwaredinger aber immer werben ist unkopierbarkeit. (Damit dir den Hardwaretoken nicht jemand heimlich Stehlen, kopieren und zurücklegen kann, ohne dass du was merkst.)
Die Schlüssel von Yubikey brauchen anscheinend immer die proprietäre Software (?).
Auf den Yubikey ab der Version 4 läuft proprietäre Software. Du musst nichts außer dem gpg-Agent auf deinem Rechner haben.
rot: Moderator wanne spricht, default: User wanne spricht.

mcb

Re: Security Key + Freie Software?

Beitrag von mcb » 24.03.2021 13:20:46

Yubikey mußte aber schon mehrmals Keys austauschen :oops: :oops: :oops: Fehler in der Firmware/Keymanagement ...

von denen rate ich mal einfach ab.

Solo und Nitro verwenden ähnliche / gleiche Hard- und Firmware.

Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Re: Security Key + Freie Software?

Beitrag von Ozelot » 26.03.2021 05:09:52

Danke Allen - ich glaube, ich blicke bei dem Thema einfach noch nicht durch.

Mein primärer Anwendungsfall ist konkret, daß ich gerade mit Leuten zu tun habe, die meinen Zugang zu ihrer Infrastruktur über ein Google-Konto laufen lassen und dafür 2FA vorsehen. Sekundär würde ich aber gerne auch für andere, ähnliche Situationen in Zukunft gewappnet sein. Außerdem trage ich mich mit dem Gedanken, diverse private SSH-Keys vielleicht auch so abzusichern. Woran mir viel liegt, ist, keine proprietären Clients auf meinem Arbeitsrechner zu installieren. Was auf dem Key läuft ist sekundär. Ich habe aber kein Howto für die Yubikeys gefunden, bei dem man nicht eine Software vom Anbieter installieren mußte.

Für meine SSH Zugänge ginge freilich Hikaru's Methode (Danke - prima Idee.). Aber wie das ganz praktisch Google bei Konsorten funktioniert, ist mir nicht wirklich klar. Wenn ich da einfach mit GPG zurande komme (und die keys dann bei Bedarf mit eben jener Methode von einem Stick abhängig mache - nur dann wäre es wirklich 2FA, richtig?), ist das auf jeden Fall eine interessante Alternative. Aber wie setze ich das konkret auf? Wäre oathtool da das Paket der Wahl?

Die Unkopierbarkeit ist aber u.U. auch wichtig. Ist die ganze Authentifizierung browserbasiert? Lassen sich die Keys dann einfach durch den Browser nutzen? Wie werden die denn von USB zum Browser durchgereicht?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Security Key + Freie Software?

Beitrag von wanne » 26.03.2021 08:03:29

Ich habe aber kein Howto für die Yubikeys gefunden, bei dem man nicht eine Software vom Anbieter installieren mußte.
Das ding tut ziemlich out of the box, wenn man gpg-agent installiert ist. (Ich glaube selbst in nem debian-minimal enthalten.) Lustigerweise findet man sofort passende Ergebnisse wenn man yunikey und ssh sucht. Sucht man dagegen yunikey und google kommen sofort Ergebnisse die den passenden bloat installieren wollen. Offensichtlich sind die Nutzerschichten andere Vorgehensweisen gewöhnt.
Hier ein Link auf eine Anleitung für ssh und gpg:
https://dev.to/paulmicheli/using-your-y ... h-gpg-3h4k
Für google:
Einmalig zum einrichten:

Code: Alles auswählen

apt install yubikey-manager
ykman oath add -t google [KEY]
Um dann das OTP zu bekommen:

Code: Alles auswählen

ykman oath code google
rot: Moderator wanne spricht, default: User wanne spricht.

mcb

Re: Security Key + Freie Software?

Beitrag von mcb » 26.03.2021 11:10:48

Bei Google ist es "einfach"

Du möchtest dich Anmelden youtube z.B.

- Passwort eingeben im Firefox, Enter dann wird nach dem key gefragt (Taste drücken) -> login

- mit GPG mußt du schauen ob der Dongle das auch unterstützt.

Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Re: Security Key + Freie Software?

Beitrag von Ozelot » 16.04.2021 09:00:38

Danke nochmal an alle, das hat alles sehr geholfen --

Antworten