Esistono token hardware TOTP Yubikey simili senza software aggiuntivo? [chiuso]

Naviga le tue risposte
2

Sto cercando un modo per sostituire il mio telefono come metodo 2FA. U2F non è universalmente supportato. La maggior parte dei servizi che utilizzo supportano TOTP (Google Authenticator), e quindi ho pensato che Yubikey avrebbe supportato il caricamento del segreto TOTP e, premendo un pulsante, in qualche modo rilevano il sito web in cui sono, genera il codice e lo inserisco, senza software aggiuntivo coinvolto. Apparentemente, questo non funziona. Ma potrebbe? O c'è un hardware che supporta questo caso d'uso?

    
posta bers 15.01.2017 - 12:59
fonte

2 risposte

4

Il token hardware rileva il sito web in cui ti trovi, genera un codice appropriato e lo invia direttamente senza che l'utente debba digitare nulla? Sembra molto simile a u2f.

Il motivo per cui non vedi questo offerto è lo stesso motivo per cui solo pochi siti supportano u2f: richiederebbe al browser di interagire direttamente con il token hardware, e al momento solo Google Chrome è in grado di connettersi a Dispositivi USB. Altri fornitori non lo considerano una funzionalità importante da includere. Triste, perché risolve il phishing più o meno del tutto.

Quindi no, questo non esiste come descriveresti se non sei disposto a usare u2f. Ci sono cose come LastPass che possono fare qualcosa di quello che chiedi, ma questa è un'estensione del browser e non un token hardware.

    
risposta data 15.01.2017 - 18:58
fonte
1

@tylerl non ha completamente ragione qui. (Soprattutto perché U2F richiede software aggiuntivo ;-) Il yubikey può funzionare indipendentemente dal driver e da qualsiasi sito web. Quindi yubikey non rileverà un sito Web, se non in modalità U2F.

Un yubikey in piena regola ha le seguenti modalità:

  • PGP
  • U2F
  • Modalità AES yubico
  • HOTP
  • Risposta alla sfida (può essere utilizzata come TOTP)
  • Password statica

Immagino che ciò che stai modificando dovrebbe essere HOTP. Quale è la modalità basata su evento definita nella RFC 4226. Il TOTP è basato su HOTP con il tempo che è il contatore.

È possibile inizializzare la yubikey in modalità HOTP e scrivere la chiave segreta in yubikey. Quindi yubikey funzionerà come una normale tastiera ed emetterà il valore OTP ogni volta che tocchi il pulsante. Non importa se sei sul sito giusto, in un browser o nel blocco note. = > completamente senza alcun software aggiuntivo e completamente senza che il sito si preoccupi di te usando un yubikey.

Penso che ci siano solo due sfide qui:

  1. Il sito web / l'applicazione in cui desideri utilizzarlo dovrebbe supportare HOTP, non solo TOTP.

  2. Lo yubikey ha solo due slot per questo. Cioè puoi usare yubikey solo con due siti Web / applicazioni.

risposta data 15.01.2017 - 19:41
fonte

Leggi altre domande sui tag

RSA o ECDHE per certificati x.509: cosa fanno ciascuno? La modalità di navigazione in incognito protegge dalle tecniche di fingerprinting del browser?