BitBastelei
Вставка
- Опубліковано 6 лип 2024
- Ein Passwort alleine ist heute an vielen Stellen nicht mehr ganz Zeitgemäß. Oft wird heute ein zweiter Faktor genutzt. Diesmal daher ein kleiner Überblick über gängige Faktoren und ein Blick darauf, wie mein FIDO2- bzw. U2F-Sticks für Linux-Systeme und OpenSSH nutzen kann.
Inhalt:
00:00 Vom Passwort zu 2FA
01:40 Faktoren: Wissen, Haben, Sein
02:00 Sein - Biometrische Faktoren
03:21 Haben - Smartcards & Co
03:54 Push-Techniken: SMS/Mail
04:28 Push-Techniken: Apps
05:05 TOTP
07:45 FIDO/U2F
11:30 OS-Login mit U2F / PAM unter Linux
20:07 SSH-Login mit U2F
23:31 Fazit
Ergänzungen:
- 00:55 - Foto "Cyber" von erdbeernaut · CC0
- 09:36 - Wobei das in den meisten Fällen nicht zu empfehlen ist
Links zum Thema:
- • plusminus: Einzelhande...
- media.ccc.de/v/31c3_-_6450_-_...
- www.dongleauth.com/
Transparenz:
Selbst gekauft/allgemeine Werbegeschenke einer Konferenz, wo kostenpflichtig selbst bezahlt, zum Zeitpunkt des Videos nichts mit den Herstellern zu tun. As usual. - Наука та технологія
ok also die fotos bei 1:35 sind echt göttlich, ich musste gut lachen :)
Danke, eine super Doku.
Es erscheint Fragwürdig und Rätselhaft das Gesetzgeber und Banken in erster Linie auf Mobilfunkgeräte (Geräte auf Bespassungsniveau für die Hostentasche) für die 2FA setzen. Und zusätzlich nervig für Leute die aus Perfomance und Sicherheitspekten ihr Gerät rooten wollen.
Fairerweise sind selbst ungepatchte Smartphones meist sicherer als üblicher Privat-PCs. Am Ende ist es Komfort - viele Nutzende wollen keine zusätzlichen Geräte haben. Das Problem sehe ich eher darin, dass man jene, die was sicheres haben wollen, mehr oder weniger aktiv blockiert.
Oh, das ging jetzt aber alles ganz schön schnell... Ich muss das Video wohl nochmal gucken, denn für mich ist das recht neu, aber interessant. Danke fürs Video!
Dankeschön 🙏🏼
Ich find den SoloKey total genial, vor allem der Hackbare
Habe die nicht Hack Sticks nun eine Weile. Mir fehlt hier die Möglichkeit Zertifikate zu erstellen. Darum habe ich mich für die Nitrokeys 3 entschieden.
Hallo.
Eine kurze frage. Wenn ich z.B. auf einem Raspi einrichte. SSH zugriff nur mit Stick. Muss dan der Stick im Raspi stecken oder auf dem PC mit dem ich auf den Raspi zugreife? Zweiteres würde mehr sinn machen, da ich ja aus der Ferne drauf zugreife.
Bei der SSH-Variante muss der Stick im Rechner eingesteckt sein, mit dem man sich verbindet.
@@adlerweb Danke für die schnelle Antwort.
Ich denke ich werde mir mal so ein Teil besorgen. Ich denke es wird ein Stick mit Kombination USB-A NFC.
Was ist denn mit dem sagenumwobenen tpm das man uns aufzwingen will. Kann man das auch dafür benutzen?
Zumindest für SSH kann man das auch nutzen. Da verweise ich mal auf den Kollegen Leyrer, der hatte das bei der letzten GPN vorgestellt: media.ccc.de/v/gpn21-28-noch-besser-leben-mit-ssh
Besteht auch irgendwie die Möglichkeit die Keys über remote ssh zu benutzen?
Müsstest du etwas genauer beschreiben, was genau du vor hast. Prinzipiell gibt es viele Wege, die funktionieren könnten.
Bei Yubikeys funktioniert es mittels pam-yubico. Allerdings wird dann nicht der FIDO Standard genutzt, sondern das Herstellereigene OTP Verfahren von Yubico. Es ist auch möglich damit 2FA zu machen, also Passwort und OTP.
Sag Mal kanst du auch Platine desingen wenn dir Schaltplan schickt ist nicht so meines kenne keinen andern 😅
ich verwend auch solche keys, lustig wirds, wenn die ganze infrastruktur auf alten systemen aufbaut und man zb einen GPG key gern in hardware gespeichert hätte aber das system den dann ab und zu als datei abfragt...
Hm, dass sollte eigentlich nur vorkommen, wenn man den Key extern generiert hat und man Admin-Kommandos wie Laufzeitverlängerung oder signieren anderer Keys durchführen will. Aber die Datei hat man ja immer griffbereit und sucht nicht ein Jahr lang die alte SSD, ne? Also ist natürlich nur eine erfundene Geschichte von einem Bekannten und mir nie passiert, ist ja klar. :D
Eigentlich ganz nice, aber diese Sticks sind sehr teuer und wenn man den verliert oder der kaputt geht, sieht es sehr schlecht aus.
Darum kauft man auch zwei Stück. Die sind es allemal wert
Ich bin gerade dabei das ganze auch zu probieren, aber eher mit mäßigem Erfolg. Ich sitze vor einem Win11 PC meine SSH Verbindung läuft auf einem LXC (Ubuntu) auf meinem Proxmox Server. Wenn ich den Befehl "pamu2fcfg -o pam://192.168.100.99 -i pam://192.168.100.99 > ~/.config/Yubico/u2f_keys" ausführe sagt er mir nur "No U2F device available, please insert on now, you haf x seconds". Wenn ich den Stick nun einsetze in meinem Lokalen WindowsPC passiert nix, also der Countdown läuft weiter runter. Berühre ich das leuchtende Y kommt eine Eingabe eines "codes" den ich hier nicht poste und danach zählt er nur den Countdown weiter runter und beendet es.
Muss der Stick irgendwie nochmal vorbereitet werden? Oder so?
Ich hab auch so ein Schwarzen Stick von Yubico, nur zur Info.
Huh? PAM U2F ist für *lokale* Anmeldungen, wenn es dir darum geht von deinem Client per SSH auf einen Server zu gehen, dann ist nur der Abschnitt mit ssh-keygen relevant. Soweit ich sehe müsste das auch unter Windows inzwischen funktionieren: github.com/PowerShell/Win32-OpenSSH/wiki/FIDO---U2F-usage
@@adlerweb Ah okay, hatte sich für mich zumindest angehört, als ginge es per Netzwerk. Weil wenn man am Linux Gerät ist kann man ja auch einfach "Terminal" auf machen und schon gehts los.
Ich guck mir mal den Link an den gepostet hast. Aber ich weiß ja nicht ob es nicht vielleicht den ein oder anderen gibt, der sich auch über ein Video dazu freuen würde. Vielleicht ergibt sich dazu noch mal etwas? Weil immer mal wieder stolpert man doch über das ein oder andere Problemchen und es macht irgendwann kein spaß mehr 🙂