Přihlášení | Registrace

napište » Zprávičky

včera 21:33 | Komunita

Fedora 40 release party v Praze proběhne v pátek 17. května od 18:30 v prostorách společnosti Etnetera Core na adrese Jankovcova 1037/49, Praha 7. Součástí bude program kratších přednášek o novinkách ve Fedoře.

Ladislav Hagara | Komentářů: 2

Dohoda mezi Stack Overflow a OpenAI

včera 21:11 | IT novinky

Stack Overflow se dohodl s OpenAI o zpřístupnění obsahu Stack Overflow pro vylepšení OpenAI AI modelů.

Ladislav Hagara | Komentářů: 0

AlmaLinux 9.4

včera 17:55 | Nová verze

AlmaLinux byl vydán v nové stabilní verzi 9.4 (Mastodon, 𝕏). S kódovým názvem Seafoam Ocelot. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Vint Cerf a Bob Kahn před 50 lety popsali protokol TCP

včera 17:11 | IT novinky

Před 50 lety, 5. května 1974 v žurnálu IEEE Transactions on Communications, Vint Cerf a Bob Kahn popsali protokol TCP (pdf).

Ladislav Hagara | Komentářů: 0

WeeklyOSM CZ 717

včera 13:44 | Zajímavý článek

Bylo vydáno do češtiny přeložené číslo 717 týdeníku WeeklyOSM přinášející zprávy ze světa OpenStreetMap.

Ladislav Hagara | Komentářů: 0

GIMP 2.10.38

včera 04:00 | Nová verze

Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.10.38 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 6

1220 projektů přijatých do Google Summer of Code 2024

včera 00:22 | Komunita

Google zveřejnil seznam 1220 projektů od 195 organizací (Debian, GNU, openSUSE, Linux Foundation, Haiku, Python, …) přijatých do letošního, již dvacátého, Google Summer of Code.

Ladislav Hagara | Komentářů: 2

Z GitHubu bylo odstraněno 8535 repozitářů se zdrojovými kódy open source emulátoru yuzu

5.5. 22:22 | IT novinky

Na základě DMCA požadavku bylo na konci dubna z GitHubu odstraněno 8535 repozitářů se zdrojovými kódy open source emulátoru přenosné herní konzole Nintendo Switch yuzu.

Ladislav Hagara | Komentářů: 7

Dillo 3.1.0

5.5. 00:33 | Nová verze

Webový prohlížeč Dillo (Wikipedie) byl vydán ve verzi 3.1.0. Po devíti letech od vydání předchozí verze 3.0.5. Doména dillo.org již nepatří vývojářům Dilla.

Ladislav Hagara | Komentářů: 0

LibrePlanet 2024

4.5. 15:00 | Komunita

O víkendu probíhá v Bostonu, a také virtuálně, konference LibrePlanet 2024 organizovaná nadací Free Software Foundation (FSF).

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.

Jsem bot. (63%)

Jsem člověk. (8%)

Opravdu jsem člověk! (15%)

Jsem něco jiného. (14%)

Celkem 119 hlasů

Komentářů: 8, poslední 4.5. 08:25

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Hardwarová poradna / YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Štítky: hesla, heslo, OTP, PC, SSH

Dotaz: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

2.1.2015 15:17 pavele
YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Přečteno: 323×

Odpovědět | Admin

Dobrý den,

nepoužívá tu někdo YubiKey pro ssh autentizaci klíčem? Zajímalo by mne, jestli se můžu autentizovat klíčem a pro zadání hesla (passphrase) pro klíč použít YubiKey. Nevýhoda OTP YubiKey je nutnost použít ke každému PC samostatný YubiKey.

Nástroje: Začni sledovat (0) ?

Odpovědi

2.1.2015 17:11 Filip Jirsák
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Ta varianta se statickým heslem, kdy se YubiKey chová jako klávesnice, by měla fungovat - z pohledu programu, kam heslo zadáváte, to bude vypadat stejně, jako byste to heslo rychle napsal na klávesnici.

3.1.2015 00:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Se statickým heslem ale podle mě zmizí ta hlavní bezpečnostní výhoda, kvůli které si člověk token pořizuje.

Já to s tou denacifikací Slovenska myslel vážně.

3.1.2015 09:40 Filip Jirsák
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Ale pokud má jít o heslo ke klíči (jak je napsáno v dotazu), nedovedu si představit jiné proveditelné řešení, než statické heslo. Něco jiného by bylo, pokud by se chtěl tazatel přes YubiKey autentizovat přímo vzdálenému serveru - možnosti už tu popsali jiní. Navíc u hesla ke klíči jde hlavně o to, aby bylo dost dlouhé, aby měl majitel klíče dost času na zjištění prozrazení souboru s klíčem a zablokování klíče všude, kde byl používán. To může statické heslo v YubiKey docela dobře splňovat, samozřejmě pokud nebude někdo nosit YubiKey spolu s klíčem.

3.1.2015 12:58 Sten
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Některé z výhod zmizí, ale ne všechny. Pořád je to odolné proti over-the-shoulder útokům.

2.1.2015 23:28 Sten
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

YubiKey lze použít buď jako klávesnici, která zadá to heslo, nebo existuje PAM modul pro SSH, který autorizuje vůči YubiKey

2.1.2015 23:51 SPM | skóre: 28
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Tak máš dvě možnosti. Buď nastavíš yubikey na static password, jak bylo zmíněno a budeš s ním zadávat heslo ke klíči. Tedy princip je stejný, jako bys měl zaheslovaný klíč a psal to na klávesnici. Nevýhoda je, že statické heslo z yubikey jde velice jednoduše dostat ven; naproti tomu zase heslo může být hodně dlouhé, protože si ho nemusíš pamatovat.

Druhá možnost je potom přihlašovat se na servery pomocí OTP z YubiKey. YubiKey ti stačí na víc strojů klidně jeden; podmínkou ale je, že se všichni budou autentizovat vůči jednomu autorizačnímu serveru (který zná secret uložený na yubikey). Autentizační server můžeš spustit někde vlastní nebo můžeš použít ten YubiKey (pokud ti nevadí, že vykecáš ten secret takhle nějaké 3. straně). OTP jde určitě kombinovat ještě s klasickým heslem na uživatele na serveru (nutno zadat oboje). Nicméně nejsem si úplně jist, jestli OpenSSH jde nastavit tak, aby bylo potřeba OTP + klíč. Klíče si SSH totiž řeší samo a ne přes PAM a mám trochu strach, že nepůjde donutit, aby používalo jak klíče, tak PAM...

3.1.2015 00:10 Sten
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Šlo by zne^H^H^Hvyužít AuthorizedKeyCommand

3.1.2015 19:41 pavele
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Chápu Yubikey dobře, že se v podstatě jedná o stejný způsob autentizace jako pomocí klíčů v OpenSSH? Klíč je uložen v Yubikey a "ven" se posílá jen něco zašifrované tímto klíčem?

Tedy stejný způsob jako u OpenSSH, jen je "private" klíč "zvenku" nedostupný, a generuje se pokaždé nové "heslo", které je rozšifrováno a zkontrolováno na straně serveru?

4.1.2015 00:23 ivir | skóre: 7 | Barrandov
Rozbalit Rozbalit vše Re: YubiKey pro autentizaci klíčem - umí zadat heslo ke klíči?

Korektněji je v Yubikey algoritmus pro vygenerování jednorázového hesla, který je inicializován klíčem a pár dalšími paramtery. Tento klíč je uložen v tokenu a na ověřovacím serveru. Pomocí znalosti aktuální hodnoty čítače dopočítá zda posílané heslo souhlasí či nikoliv.

U OpenSSH je způsob zcela jiný. Zde klíč je používán ke zašifrování a dešifrování. Veřejným klíčem zašifruješ a privátním rozšifruješ. Zjednodušeně vezmeš veřejný klíč serveru, zašifruješ informaci a pošleš ji serveru, ten odpověď zašifruje tvým veřejným klíčem uloženým na serveru a pak čeká jak mu odpovíš a podle toho se zachová.

Jinak do Yubikey lze nahrát applet pro OpenPGP, tj. může se chovat jako Smart karta a pak lze použít pro přihlašování SSH.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje