U2F Login mit USB-Stick

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
BrotherJ
Beiträge: 323
Registriert: 15.11.2018 07:56:18

U2F Login mit USB-Stick

Beitrag von BrotherJ » 28.01.2019 18:43:55

Hallo,

ich will an meinem Laptop mit Buster einen Login in den KDE-Desktop mittels U2F und einem USB-Stick machen. Gefunden habe ich https://wiki.debian.org/pamusb. Nur leider geht das nur bis Jessie. Gibt es eine Lösung für Buster?

Grüße

BrotherJ

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: U2F Login mit USB-Stick

Beitrag von uname » 29.01.2019 10:51:08

Möchtest du es für einen einzelnen Benutzer (dich) oder für unterschiedliche Benutzer (mit unterschiedlichen zweiten Faktoren) verwenden?

Wenn du der einzige Benutzer bist würde ich eher auf eine Festplattenverschlüsselung mit Passwort setzen. Um den Aufwand zu minimieren kannst du beim Booten ja ein Autologin deines Benutzers aktivieren. Sicherer als keine Festplattenverschlüsselung in Verbindung mit U2F beim Login in den KDE-Desktop ist das allemal.

Falls du mehrere Benutzer hast: Vielleicht funktioniert es irgendwie mit Bluetooth: Debianlibpam-blue
Auch könntest du evtl. One-Time-Passwörter wie OTP verwenden. Es gibt auch Smartphone-Apps wie FreeOTP.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: U2F Login mit USB-Stick

Beitrag von KBDCALLS » 29.01.2019 11:44:38

Die Pakete gibts garnicht mehr für Buster
  • Code: Alles auswählen

    matthias@hannelore:~$ apt-cache madison libpam-usb pamusb-common
    libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main amd64 Packages
    libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main amd64 Packages
    libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main Sources
    libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main Sources
    pamusb-common |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main amd64 Packages
    pamusb-common |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main amd64 Packages
    libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main Sources
    libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main Sources
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

BrotherJ
Beiträge: 323
Registriert: 15.11.2018 07:56:18

Re: U2F Login mit USB-Stick

Beitrag von BrotherJ » 29.01.2019 19:15:47

uname hat geschrieben: ↑ zum Beitrag ↑
29.01.2019 10:51:08
Möchtest du es für einen einzelnen Benutzer (dich) oder für unterschiedliche Benutzer (mit unterschiedlichen zweiten Faktoren) verwenden?

Wenn du der einzige Benutzer bist würde ich eher auf eine Festplattenverschlüsselung mit Passwort setzen. Um den Aufwand zu minimieren kannst du beim Booten ja ein Autologin deines Benutzers aktivieren. Sicherer als keine Festplattenverschlüsselung in Verbindung mit U2F beim Login in den KDE-Desktop ist das allemal.
Für mich selbst. Na ja, das Laptop steht zwischen vielen Personen, da hilft ein AutoLogin und Festplattenverschlüsselung absolut nix. Ich habe lange Passwörter und möchte mittels U2F einloggen. Das ist das gesteckte Ziel und nichts Anderes:

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: U2F Login mit USB-Stick

Beitrag von KBDCALLS » 29.01.2019 23:11:44

Das Problem ist aber an dem obegenannten ist seit 2011 keine neue Version erschienen, also ist das die letze Version. Und die läßt sich wohl nicht mehr kompilieren.
  • Da der ursprüngliche Entwickler 🇬🇧 pamusb nicht weiter unterstützt und die letzte angebotene Version 0.5.0 Version wegen veralteter Bibliotheken nicht lauffähig gemacht werden kann, kann zum Beispiel der Fork von Danesprite u.A. von GitHub 🇬🇧 heruntergeladen, entpackt [5] und kompiliert [4] werden.
Wenns Ubuntu betrifftdürfte das auch für Debian gelten.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: U2F Login mit USB-Stick

Beitrag von uname » 30.01.2019 07:58:19

BrotherJ hat geschrieben:Für mich selbst. Na ja, das Laptop steht zwischen vielen Personen, da hilft ein AutoLogin und Festplattenverschlüsselung absolut nix.
Ich habe zwar nicht ganz verstanden was du damit meinst. Aber eine Anmeldung per USB-Stick ist, sofern du auf eine Festplattenverschlüsselung verzichtest, der reinste Witz.

BrotherJ
Beiträge: 323
Registriert: 15.11.2018 07:56:18

Re: U2F Login mit USB-Stick

Beitrag von BrotherJ » 30.01.2019 09:39:49

uname hat geschrieben: ↑ zum Beitrag ↑
30.01.2019 07:58:19
BrotherJ hat geschrieben:Für mich selbst. Na ja, das Laptop steht zwischen vielen Personen, da hilft ein AutoLogin und Festplattenverschlüsselung absolut nix.
Ich habe zwar nicht ganz verstanden was du damit meinst. Aber eine Anmeldung per USB-Stick ist, sofern du auf eine Festplattenverschlüsselung verzichtest, der reinste Witz.
Aha, tolle Meinung. Offen gesagt die Antworten von KBDCALLS finde ich super konstruktiv. Du zwingst mich da in eine Grundsatzdiskussion, die ich hier nicht weiterverfolgen möchte, weil destruktiv. Akzeptiere doch bitte einfach, ich habe eine Idee, die ich einfach versuche zu realisieren. Egal, ob Du das für einen Witz oder nicht halten willst. Okay?

Danke

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: U2F Login mit USB-Stick

Beitrag von uname » 30.01.2019 09:59:06

Wahrscheinlich hat der Programmierer das Interesse an 2FA über USB-Sticks verloren. 2FA wird heute meist über Smartphone-Apps realisiert. Im übrigen senken die Unsicherheit von Smartphone-Betriebssystemen, Smartphone-Apps, unverschlüsselten Transportwegen (bei SMS) und Vorurteilen z. B. gegen Google die Sicherheit nur gering bzw. eigentlichgar nicht, da Google vielleicht den individuellen, einmaligen OTP kennt, jedoch zeitgleich keinen physikalischen Zugriff auf den Rechner hat. Umgekehrt haben die "vielen Personen" in deiner Umgebung keinen Zugriff auf die Unsicherheiten der mobilen Infrastruktur. Nur du hast Zugriff zum Rechner und zu deinem Smartphone. Du könntest sogar OTP über unverschlüsselte E-Mails realisieren wenn du wolltest. Leider wird 2FA aber oft falsch verstanden. Nur wenn du kein Smartphone hast macht es Sinn einen Stick durch die Gegend zu tragen.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: U2F Login mit USB-Stick

Beitrag von KBDCALLS » 30.01.2019 14:14:44

Was eventuell machbar wäre ein expliziter U2F Token zum Beispiel von Yubico. Die Software dazu ist in Debian zu finden, wie auch anderes für U2F Tokens.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

BrotherJ
Beiträge: 323
Registriert: 15.11.2018 07:56:18

Re: U2F Login mit USB-Stick

Beitrag von BrotherJ » 30.01.2019 14:38:47

Den hatte ich bereits gesehen. Wenn der ohne die spezielle Hardware auf normalen USB-Stick läuft, ja. Nur weiß ich das nicht.

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: U2F Login mit USB-Stick

Beitrag von uname » 30.01.2019 15:54:51

Ich habe noch mal geschaut. Du könntest auch einen normalen USB-Stick (mit beliebigen oder gar keinen Daten) nehmen und die Hardwareinformationen deines USB-Sticks in Verbindung mit einem Passwort als Schlüssel verwenden. Erscheint mir etwas Quick-and-Dirty aber die Kombination aus Debianlightdm, Debianxdotool, Debianudev, Debiangnupg2, USB-Hardwareinformationen und einem Passwort erscheint interessant. Wenn du keine Festplattenverschlüsselung verwendest sollte es für den laufenden Betrieb als 2FA ausreichend sein. Die Ubuntu-Anleitung musst du wahrscheinlichnur nur leicht anpassen (z. B. kein sudo).

https://askubuntu.com/questions/770367/ ... n-in-16-04

BrotherJ
Beiträge: 323
Registriert: 15.11.2018 07:56:18

Re: U2F Login mit USB-Stick

Beitrag von BrotherJ » 30.01.2019 17:43:23

Vielen Dank für Deine Unterstützung hierin.

Antworten