it-swarm-vi.com

YubiKey là gì và nó hoạt động như thế nào?

YubiKeys hoạt động như thế nào? Có sự thay thế nào không?

Đây là hình ảnh của một: yubikey

57
Gabriel Fair

YubiKey có các biến thể khác nhau, ví dụ YubiKey 4 và YubiKey U2F. Tất cả các YubiKey đều là mã thông báo phần cứng và được kết nối với cổng USB. Hầu hết đều có nút cảm ứng và một kiểu máy cũng có NFC (the YubiKey Neo ). Các biến thể khác nhau về yếu tố hình thức và số lượng tính năng được hỗ trợ .

YubiKey 4 cung cấp một số chức năng:

  • OTP thế hệ
  • Thế hệ OTP tương thích OATH (tức là HOTP TOTP )
  • giả lập trình đọc thẻ chip được chèn OpenPGP chipcard (tối đa 4K bit RSA hoặc 256 bit ECC kích thước khóa riêng)
  • hoạt động như thiết bị PIV (tối đa 2K bit RSA hoặc 256 bit ECC kích thước khóa riêng)
  • hoạt động như 2F thiết bị
  • phát lại mật khẩu tĩnh

Đối với một số tính năng của nó, nó thể hiện dưới dạng một thiết bị SB HID .

Có các giải pháp thay thế khả dụng cung cấp tương tự hoặc một tập hợp con của YubiKey đa tính năng 4. Ví dụ: đầu đọc thẻ phần cứng cổ điển (thậm chí có thể có bàn phím) kết hợp với thẻ chip tương thích OpenPGP.

YubiKey U2F chỉ là một thiết bị U2F, tức là một thiết bị có thể tạo cặp khóa công khai/riêng tư gốc và trả về tay cầm khóa và khóa chung cho người gọi. Giống như các thiết bị U2F rẻ tiền khác, các khóa riêng không được lưu trữ, thay vào đó chúng được mã hóa đối xứng (có khóa bên trong) và được trả về làm tay cầm khóa. Sử dụng tay cầm khóa, thiết bị U2f sau đó có thể ký một thách thức, do đó tạo ra phản hồi như là một phần của xác thực đa yếu tố.

Vì U2F là một tiêu chuẩn mở (cũng được thúc đẩy bởi các tập đoàn như Google), nên có sẵn một số mã thông báo phần cứng U2F rẻ tiền khác (tìm kiếm ' FIDO Khóa U2F ').

16
maxschlepzig

Theo tôi hiểu, Yubikey hoạt động như một bàn phím USB. Bạn cắm nó vào máy tính của mình, đặt con trỏ vào trường biểu mẫu, nhấn nút trên Yubikey và nó sẽ gửi một chuỗi văn bản gồm 44 ký tự đến máy tính giống như bạn đang gõ 44 ký tự đó. Máy tính không biết sự khác biệt giữa bạn gõ nó hoặc Yubikey tạo ra nó.

Một trang web như Wordpress trang web có plugin Yubikey hoặc addon Lastpass trong Firefox hoặc bất kỳ trang web nào khác có tùy chọn Yubikey, có biểu mẫu đăng nhập với tên người dùng, mật khẩu và mật khẩu Yubikey. nhập tên người dùng và mật khẩu của bạn, đặt con trỏ vào trường Yubikey, sau đó nhấn nút Yubikey và nhập mật khẩu Yubikey vào trường.

Sau đó, biểu mẫu được gửi và Yubikey được xác thực trong Yubicloud. Trang web kiểm tra xem mật khẩu Yubikey đã nhập có hợp lệ không. Bản thân Yubikey không kết nối với Yubicloud. Nó chỉ là một thiết bị tạo ra một chuỗi gửi nó hoạt động giống như một bàn phím và nó không kết nối với internet hoặc bất cứ thứ gì ngoại trừ bàn phím đó.

Trước khi tất cả điều này hoạt động, bạn cần cập nhật tài khoản của bạn trên trang web để sử dụng Yubikey. Điều đó có nghĩa là bạn cần liên kết chìa khóa của bạn với tài khoản. Bằng cách đó, Yubicloud có thể kiểm tra mã được tạo và xác thực mã đó đối với tài khoản của bạn.

Trang web tất nhiên cần phải thực hiện chức năng Yubikey, có sẵn như một dịch vụ miễn phí cho chủ sở hữu trang web.

Nếu Yubikey bị mất, bạn có thể sử dụng các phương thức khôi phục thông thường mà trang web phải khôi phục tài khoản của bạn và vô hiệu hóa Yubikey. Thông thường, điều này có nghĩa là bạn nhận được liên kết khôi phục mật khẩu qua email và liên kết đó sẽ vô hiệu hóa chức năng Yubikey trong tài khoản của bạn.

Tôi đã gửi thư hỗ trợ cho Yubikey để xem câu trả lời này có đúng không. Họ nói rằng lời giải thích này là chính xác, ngoại trừ việc nó chỉ giải thích một phần trong cách thức hoạt động của chìa khóa.

Các câu trả lời khác ở đây không đưa ra bất kỳ lời giải thích thực sự. Ngay cả bài báo Linuxjournal cũng không giải thích nó theo cách này. Câu trả lời được chấp nhận đưa ra câu trả lời hộp đen - không phải là điều tôi đang tìm kiếm khi tôi mở trang này. Tôi hy vọng câu trả lời này sẽ giải thích rõ hơn và viết nó khiến tôi hiểu Yubikey hơn.

39
SPRBRN

Tôi có một cái, và tôi muốn giới thiệu chúng! Tôi thực sự đã nhận được nó miễn phí từ những người Yubico, khi tôi đang tham dự BSidesLondon.

Hãy nghĩ về nó như một khóa bảo mật RSA, ngoại trừ nhỏ hơn nhiều, rẻ hơn và không có pin. Bạn nhận được (về cơ bản) cùng một bảo mật, mặc dù YubiKeys có không gian phím lớn hơn đáng kể so với RSA. Chúng cũng cực kỳ chắc chắn và có thể được ngâm mình hoàn toàn trong nước mà không bị hư hại.

Đây là của tôi:

YubiKey

Tôi biết điều này nghe giống như một quảng cáo, nhưng chúng thực sự tuyệt vời. So với việc mang theo một loạt các khóa an toàn đó, chúng hầu như không được chú ý trên một phím.

Về cách họ làm việc, họ xác nhận đối với dịch vụ đám mây mà Yubico điều hành và cung cấp xác thực hai yếu tố. Tất cả phần mềm máy chủ là nguồn mở và họ rất vui khi bạn chạy các máy chủ xác thực của riêng bạn. Nó hoàn toàn minh bạch.

Có một Dig trên trang web của họ , có rất nhiều thông tin và mô tả kỹ thuật trên đó.

19
Polynomial

Có một cái nhìn ở đây http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Outtake sau đây được viết bởi Dirk Merkel, tác giả của bài viết được liên kết trước đó:

Mỗi lần bạn nhấn nút trên thiết bị, nó sẽ tạo mật khẩu một lần và gửi nó đến máy chủ như thể bạn đã nhập nó trên bàn phím. Mật khẩu này sau đó có thể được sử dụng bởi dịch vụ để xác thực bạn là người dùng.

Tôi đề nghị bạn đọc qua bài viết 5 trang vì điều này là quá nhiều để tiếp nhận ở đây.

10
Lucas Kauffman

Theo những gì tôi hiểu, mật khẩu một lần được tạo thành từ nhiều mẩu thông tin khác nhau, chẳng hạn như dấu thời gian (khóa đã có trong máy tính của bạn bao lâu), tem phiên Yubikey (bạn đã cắm nó vào máy tính bao nhiêu lần ), một mã đặc biệt ngẫu nhiên, một con tem cho lần bạn có thể tạo mật khẩu, v.v. sau đó nó mã hóa nó. Sau đó, nó tát vào một mã đặc biệt được gán cho Yubikey cụ thể, trong đó nó mã hóa lại. Sau đó, nó được gửi cho chính Yubikey (vì họ biết tất cả các mã đặc biệt) và họ xác minh rằng khóa của bạn là chính xác và bất cứ điều gì. Sau đó, nó cho biết bất cứ ai bạn đang cố gắng đăng nhập, như Google, rằng bạn là người phù hợp, sau đó Google cho phép bạn tham gia.

Có những tính năng khác giống như nó chỉ lưu một chuỗi hoặc mật khẩu trên thiết bị và khi bạn nhấp vào nó sẽ cung cấp mật khẩu. Khá thẳng về phía trước.

1
Neuralyzer Gaming