Yubikey

Allikas: Imre kasutab arvutit
Redaktsioon seisuga 24. mai 2025, kell 11:53 kasutajalt Imre (arutelu | kaastöö)
Mine navigeerimisribaleMine otsikasti

Sissejuhatus

Mõisted

  • TOTP
  • HOTP
  • PIV
  • MFA
  • 2FA
  • CTAP
  • CTAP2
  • FIDO (Fast Identity Online)
  • FIDO2
  • U2F
  • OAUTH (Open Authorization)
  • OAUTH2
  • USB-A
  • USB-C
  • NFC
  • Yubico Authenticator

Tööpõhimõte

Tundub, et Yubikey seadmel on mitu erinevat nö töörežiimi

  • lihtne TOTP/HOTP parool - kasutuskoht ja yubikey teavad ühist saladust, lisaks kasutatakse kas aja või kasutuskordade põhist ühist parooli/pin'i (sellisel kasutusel mingit suuremat avaliku võtme põhist krüptot ei toimu) - põhimõtteliselt sama loogika, millel põhineb nt Google Authenticator või FortiToken mobile token
  • FIDO2 - tundub, et see on kõige naturaalsem ja kaasaegsem yubikey kasutus (nn passwordless lahendus toetub sellele) - asjasse puutub avaliku võtme krüpto
  • PIV - yubikey töötab teatud mõttes sarnaselt id kaardile

Riistvara

Tundub, et Yubikey ei ole ainus sarnase lahenduse tootja, aga samuti tundub, et ta on üks tublimaid (riistvara saadavud, riistvara tugi jms), võimalikud alternatiivid on

  • Onlykey
  • Nitrokey
  • Solokey
  • Thetis

WebAuthn

Chrome brauseris on nö virtuaalne webauthn authenticator environment, avada nt veebikoht https://webauthn.io/ ning samas brauseri aknas 

Dev tools -> More tools -> WebAuthen

Seejärel pressida veebikohas register jne, peaks paistama sarnane pilt

20250519-chrome-virtual-webauthn-01.png

kus

  • TODO

Sarnaseid webauthn testimise veebikohti on teisigi, nt

OpenBSD login

TODO

FortiAuthenticator

Dovecot

Proxmox

QEMU

YubiHSM 2

IAM

TODO

Kasulikud lisamaterjalid

Pärit leheküljelt "https://www.auul.pri.ee/wiki/index.php?title=Yubikey&oldid=1810"