abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:33 | Nová verze

    Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.

    Ladislav Hagara | Komentářů: 0
    včera 17:44 | Zajímavý článek

    Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.

    karkar | Komentářů: 0
    včera 12:11 | Humor

    Lidi dělají divné věci. Například spouští Linux v Excelu. Využít je emulátor RISC-V mini-rv32ima sestavený jako knihovna DLL, která je volaná z makra VBA (Visual Basic for Applications).

    Ladislav Hagara | Komentářů: 2
    včera 10:44 | IT novinky

    Revolut nabídne neomezený mobilní tarif za 12,50 eur (312 Kč). Aktuálně startuje ve Velké Británii a Německu.

    Ladislav Hagara | Komentářů: 22
    včera 09:55 | IT novinky

    Společnost Amazon miliardáře Jeffa Bezose vypustila na oběžnou dráhu první várku družic svého projektu Kuiper, který má z vesmíru poskytovat vysokorychlostní internetové připojení po celém světě a snažit se konkurovat nyní dominantnímu Starlinku nejbohatšího muže planety Elona Muska.

    Ladislav Hagara | Komentářů: 2
    včera 09:33 | IT novinky

    Poslední aktualizací začal model GPT-4o uživatelům příliš podlézat. OpenAI jej tak vrátila k předchozí verzi.

    Ladislav Hagara | Komentářů: 0
    včera 08:11 | Nová verze

    Google Chrome 136 byl prohlášen za stabilní. Nejnovější stabilní verze 136.0.7103.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 8 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    29.4. 20:55 | Nová verze

    Homebrew (Wikipedie), správce balíčků pro macOS a od verze 2.0.0 také pro Linux, byl vydán ve verzi 4.5.0. Na stránce Homebrew Formulae lze procházet seznamem balíčků. K dispozici jsou také různé statistiky.

    Ladislav Hagara | Komentářů: 0
    29.4. 16:22 | Nová verze

    Byl vydán Mozilla Firefox 138.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 138 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    29.4. 15:55 | Pozvánky

    Šestnáctý ročník ne-konference jOpenSpace se koná 3. – 5. října 2025 v Hotelu Antoň v Telči. Pro účast je potřeba vyplnit registrační formulář. Ne-konference neznamená, že se organizátorům nechce připravovat program, ale naopak dává prostor všem pozvaným, aby si program sami složili z toho nejzajímavějšího, čím se v poslední době zabývají nebo co je oslovilo. Obsah, který vytvářejí všichni účastníci, se skládá z desetiminutových

    … více »
    Zdenek H. | Komentářů: 2
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (9%)
     (22%)
     (4%)
     (1%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 493 hlasů
     Komentářů: 19, poslední včera 11:32
    Rozcestník

    Hardwarové tokeny na TOTP

    16.1. 23:16 | Přečteno: 1367× | Linux

    Dnes se podíváme na hardware na generování časových hesel.

    Před dlouhou dobou jsem tady psal něco o hardwaru, který se dá použít pro časová hesla (TOTP) https://www.abclinuxu.cz/blog/Tomik/2022/11/totp-a-bezpecnostni-klice-ii.Pro soukromé účely používám USB tokeny, ale v práci jsem skončil u aplikace v telefonu (prostě tam frčí TOTP, Fido se nepoužívá, některé aplikace Fido nepodporují). Začalo mi lézt krkem to věčné matlaní po telefonu, tak jsem se porozhlédl, jak to to dělat jinak. USB tokenům jsem se už věnoval dříve, teď to bude o hardwarových tokenech, které po naprogramování fungují úplně samostatně.

    Předpoklady / požadavky

    Nejprve si popišme výchozí situaci a požadavky

    A teď pár bodů, které obhajují použití HW tokenů. Trošku to smrdí paranoiou, ale nakonec, jak vím, že po mě nejdou? :-)

    Po nějakém tom hledání jsem natrefil na zařízení Token2. V mém minulém článku jsem od té firmy zmiňoval jejich zařízení přes USB, ale teď budu psát o samostatných zařízeních, lidově přezdívaných kalkulačka, i když se na nich nic počítat nedá. Můj základní požadavek byl, aby to bylo malé. Nakonec jsem ze studijních důvodů koupil 2 kousky.

    Hardwarové tokeny na TOTP, obrázek 1

    Prvnímu říkají Molto (na zadní straně obalu se dočtete, že to je z italštiny a znamená to mnoho) a má 10 slotů na data, říkají jim profily. https://www.token2.eu/shop/product/token2-molto-1-i-multi-profile-totp-hardware-token. Vypadá trošku jako kalkulačka a dají se nastavit všechny parametry TOTP.

    Druhému říkají MiniOTP, asi protože má většího bratříčka, který je potom OTP. https://www.token2.eu/shop/product/token2-miniotp-2-i-programmable-card-with-time-sync-totp-hardware-token Celkově je jednodušší, má jen jeden slot, umí jen nejčastěji používanou variantu TOTP, tj. 30s, 6 číslic, nastavit se dá jen hashovací algoritmus.

    Hardwarové tokeny na TOTP, obrázek 2 Hardwarové tokeny na TOTP, obrázek 4

    Oba kousky jsou docela tenké, takže se pohodlně vejdou do dokladů, nebo třeba do knížky.

    Hardwarové tokeny na TOTP, obrázek 3

    Víceprofilová verze má už následovníka, který umí až 100 profilů a dokonce se dá zapojit jako klávesnice, takže není potřeba přepisovat kódy ručně. Ale zase je mnohem větší a navíc v rozporu s požadavky nahoře.

    Tolik k základnímu popisu, teď se podívejme, na co se musíme při používání připravit.

    Objednání, doručení

    Token2 se tváří jako švýcarská firma. E-shop mají na adrese token2.com. Když si potřebovali vyjasnit něco s dodací adresou, tak mi psala paní z domény token2.ch, popisek u platby kartou byl popisek TOKEN2 FR a balíček přišel z Lyonu. Nakonec to vysvětluje popisek na obalu - Designed in Switzerland (srovnej s "Designed in California"), ale nenašel jsem žádné "Made in".

    Zaplatil jsem si rychlejší doručení, aby se balíček nedostal do spárů České pošty. Za týden přišla obálka formátu A4, kde se krčily 2 malé kartičky. Obě jsou kupodivu podobně velké, zřetelně menší než platební karta.

    Programování

    Na webu Token2 si najdeme link na správné aplikace, bohužel nemají jednu univerzální. Aplikace pro Molto vypadá asi tak, jako bych ji navrhoval já, a to ještě před 20 lety. MiniOTP je na tom trošku líp. Použití je popsané na webu, v zásadě to je stejné jako jiné TOTP aplikace, jen se na konci musí data dostat přes NFC do hardwaru. Zejména v případě Molto se vyplatí číst návod pečlivě a pomalu.

    Kromě aplikace pro mobilní platformy mají i nějaký Python skript pro "stolní" počítače, ale jenom pro Linux a Mac OS X. K tomu ještě nabízejí NFC čtečku, kdybyste ji ještě neměli. Ale nezkoušel jsem, tak nemohu sloužit se zkušenostmi.

    Zkoušel jsem cvičně naprogramovat několik profilů, a mám z toho několik postřehů

    Molto:

    MiniOTP

    Používání Molto Na první pohled vypadá displej jako na běžné kalkulačce, ale má 2 řádky, takže písmenka jsou docela drobná. Displej se trošku leskne, takže při horších světelných podmínkách si ho musím naklánět.

    Ke zobrazení kódu stačí zmáčknout zapínací tlačítko a objeví se kód pro poslední používaný profil. Potom se dá tlačítky 0-9 přepínat na jiný profil, pokud to je potřeba.

    Příjemné je, že na displeji je (vlevo) indikátor, jak dlouho bude ještě kód platný. Když platnost vyprší, objeví se nový kód. Kromě toho, ještě je tam indikátor baterky (vpravo), aby člověk věděl, kdy shánět nový token. Po nějaké době se displej vypne (konfigurovatelné mezi 15 sekundami a 2 minutami).

    MiniOTP Má displej podobně velký jako Molto, ale zobrazuje se na něm jenom kód, takže čísla jsou velká. Navíc to je asi nějaký e-ink, takže se neleskne. Stačí jenom zmáčknout zapínací tlačítko a objeví se kód. Narozdíl do Molta, není tady žádný další indikátor a kód se nepřegeneruje, když ten původní vyprší. Displej se po nějaké době vypne, stejně jako u Molta.

    Zapínací tlačítko se mi špatně mačkalo, nemá takový ten typický proklik.

    Hardwarové tokeny na TOTP, obrázek 5

    Použít či nepoužít

    Přiznejme si, že pro většinu uživatelů je použití HW tokenu zbytečná komplikace, když má někdo palce přirostlé k telefonu, tak nepotřebuje další krabičku. Nicméně své zákazníky si najde. Pár příkladů:

           

    Hodnocení: 100 %

            špatnédobré        

    Anketa

    Kolik máte účtů v TOTP aplikaci?
     (31 %)
     (23 %)
     (15 %)
     (8 %)
     (0 %)
     (23 %)
    Celkem 26 hlasů

    Obrázky

    Hardwarové tokeny na TOTP, obrázek 1 Hardwarové tokeny na TOTP, obrázek 2 Hardwarové tokeny na TOTP, obrázek 3 Hardwarové tokeny na TOTP, obrázek 4 Hardwarové tokeny na TOTP, obrázek 5

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    17.1. 01:11 tom
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    totp slo na telefony nainstalovat jako java aplikaci asi uz pred 20 lety.
    Max avatar 17.1. 08:58 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Banky používají nepřenosné push ověření podobně jako MS Authenticator pro MS služby, kde nelze přenést tento druhý faktor jinam (je nutné se přihlásit do správy účtu a přidat druhé zařízení a vygenerovat pro něj nový kód).

    Ano, běžné TOTP má nevýhodu, že nemáš pod kontrolou, kdo vše má k druhému faktoru přístup, jelikož jde kopírovat. Toto částečně řeší (minimalizuje riziko zneužití) proces prvotního skenu. Google Auth umožňuje export, ale pak ti týden, nebo měsíc, svítí červeně, že došlo k exportu a varuje o tom.

    Další možnost je skenovat někam, co ti nedovolí export, tj. třeba Yubi, nebo nějaký password manager.

    Problém s hw TOTP tokenem jako např. Yubi je, že když ho ztratíš, jsi druhej. Já používám TOTP k asi 28 službám a stále to narůstá. Kdybych nějak přišel o token, tak je to pak na několik dní si všechno poobnovovat přes různé recovery klíče apod. Já třeba skenuji TOTP vždy do více cílů, aby když se něco pokazí, jsem mohl sáhnout po druhém zařízení. Skenuji do yubi a skenuji do pw manageru, do kterého mám také přístup přes MFA :D.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 17.1. 09:03 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Jinak řešením by bylo používat služby jako Duo (nebo české řešení Monet+, ale to je spíše na naroubování na vlastní systémy), které podporují mraky řešení, push, kontrolu apod. a člověk nemá v telefonu milion zaregistrovaných služeb.
    Zdar Max
    Měl jsem sen ... :(
    17.1. 10:22 Bubak | skóre: 16 | blog: Čtvrtá cenová
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Banky by mohly nabidnout CTAN (nejaka v Nemecku to snad nabizi, rikal jsem si, ze mnrknu, jak to funguje, ale nejak neni cas :-))
    ... máš jen mrtvou kočku a poškrábanýho jezevčíka ...
    17.1. 10:10 Lenny_ | skóre: 10 | blog: lenny | Brno
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Na hraní dobrý, ale i těch 10 slotů je fakt málo.

    Proč si vlastně nepořídit celej Yubikey a nemít all-in-one? UF2, Fudo, TOTP, PIV, GnuPG card - na jednom tokenu

    Zrovna k TOTP mají fajn appku taky https://www.yubico.com/products/yubico-authenticator/
    17.1. 17:56 Tomáš | skóre: 31 | blog: Tomik
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Taky používám, už docela dlouho. Jenom mám trochu výhrady k aplikaci v Linuxu, i když se to lepší.

    Ale když chci jenom TOTP, tak je Yubico vlastně docela dost drahé, ty věcičky od Token2 stojí do 30 Eur za kus.
    17.1. 19:12 nadtržítko
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Proč si vlastně nepořídit celej Yubikey

    Protoze nam BFU kurva nikdo neumi jednou rozvitou vetou popsat co ten kram je a nac ho mit. Furt se to zvrhne na sahodlouhy clanek plny zkratek uplne mimo reality BFU :-)
    17.1. 11:00 Bubak | skóre: 16 | blog: Čtvrtá cenová
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Ja pouzivam authenticator-mini.

    Mit totp aplikaci na kompu, ze ktereho se prihlasuju, mi prijde, hm, ne uplne chytre :-)

    Smatlaplacky nepouzivam, to je porad vybite, ale mel jsem jednu na testovani VOIP a tak, tak jsem ji na to pouzil - bez simky a vsechno vypnute to vydrzelo asi 10 dni, ale stejne to bylo moc casto vybite, kdyz jsem potreboval.

    Tuhle vec jsem koupil v zari, bylo to nabite na 50% (nedobil jsem to, coz jsem asi udelat mel), a ted to zatim hlasi asi 16 - 20%. Takze to vypada, ze az to doleze k deseti procentum, budu mit asi mesic na to, abych to nekde nekdy strcil do nabijecky a mel zase na dlouho vystarano.

    S qr kody je to asi podobne, jak pises, nejlepe mi fungovalo zvetsit a fotit z vetsi dalky.

    Da se tam nastavit PIN s tim, ze po, myslim, peti chybnych pokusech se to vymaze a zresetuje do tovarniho nastaveni.
    ... máš jen mrtvou kočku a poškrábanýho jezevčíka ...
    18.1. 08:47 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Ty zijes v chatce nekde v lese ze nemas elektrinu k dobyti cehokoliv? Se ptam pro kamarada…
    18.1. 21:02 Bubak | skóre: 16 | blog: Čtvrtá cenová
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Ne, ale obvykle ji s takovymi uzranymi pristroji potrebuju, kdyz zrovna po ruce neni. Kdyz smatlaplacka rika, ze ma 5 procent baterky, muzu si bejt jistej, ze do par hodin chcipne. Muj stary telefen s peti procenty v poho vydrzi jeste den i s nejakym volanim.
    ... máš jen mrtvou kočku a poškrábanýho jezevčíka ...
    AraxoN avatar 17.1. 12:48 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Obavy z úniku súkromných údajov pri TOTP podľa RFC 6238 môžeš kľudne pustiť z hlavy. Ide o shared secret, tzn. nemáš ho len ty, ale aj tá služba, do ktorej sa prihlasuješ. Ten tajný kód, na základe ktorého sa generujú jednorázové heslá, sa proste nachádza na oboch stranách (u Teba, aj na serveri). Takže žiaden súkromný kľúč. To vysvetľuje aj dôvod, prečo sa nedá jeden TOTP kľúč zdieľať pre viac nezávislých služieb. Technicky to možné je, ale zásadne by to oslabilo bezpečnosť.
    17.1. 17:48 Tomáš | skóre: 31 | blog: Tomik
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Tak hlavně druhá strana by to taky měla mít schované v něčem obdobném. Průmyslové HSM (HW security module) stojí docela dost peněz, tak doufám, že aspoň velcí hráči to dělají pořádně.
    18.1. 17:08 _
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Staci pouzit bitwarden a mas tyhle klice jako plugin v prohlizeci.
    20.1. 11:08 karkar | skóre: 7 | blog: Kartrolling
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    fakt je to v tom prohlížeči bezpečný? Co když nějaká stránka podvodně ty hesla nebo klíče vyláká? - například tím, že ta správná stránka bude napadená?
    21.1. 00:09 _
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    a jak to vyláká? Máš něco hmatatelného nebo si jen kadíš do kalhot? 2 faktor je ochrana před kompromitací hesla od uživatele. Když někdo zjistí heslo. HW tokeny mají svůj smysl, ale to rozhodně není běžný use case. Pro ochranu klientů je certifikát.
    21.1. 01:06 karkar | skóre: 7 | blog: Kartrolling
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    nee, kadím do kalhot, děsí mě den kdy můj telefon, na kterém mám všechny faktory včetně bankovní aplikace, napíchne nějaký bot a online mi vysajou konto když se otiskem do toho bankovnictví přihlásím abych poslal peníze za nájem.
    18.1. 19:59 _
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    tohle všechno je fajn, ale co v situaci, kdy přijedete o všechno a potřebujete někde “pokračovat v životě”?

    Třeba (určitě hypotetická situace - oni by to nikdy neudělali) - rusko napadne Ukrajinu a ty během chvíle musíš zmizet a nestihneš si vzít sebou nic

    Tzn pak někde dostaneš nový telefon, možná si vzpomeneš na heslo k apple id, nebo google, ale nepřejdeš přes nějakým takovým způsobem zajištěný druhý faktor.

    Co pak?
    18.1. 21:22 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    V tom lepsim pripade to resis pres podporu… nekdo chce poslat obcanku, ucet,… ja to takhle resil vzdy u stehovani kdy jsem u par malo pouzivanych sluzeb zapomel zmenit cislo
    20.1. 11:15 karkar | skóre: 7 | blog: Kartrolling
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Například bitwarden, v tom můžeš mít uložené v podstatě cokoliv, krom hesel, tak i textové poznámky, je to online, má to multiplatformní klienty, stačí ti znát jedno master heslo... Plus mám na klíčích token. Akorát usb A mi nepříjde moc durable, asi pořídím ten s usb c. Ale 2F v telefonu to neřeší.
    20.1. 20:41 Tomáš | skóre: 31 | blog: Tomik
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Pro podobné případy máš samozřejmě hesla a klíče vytištěné hexadecimálně na papíře (záznam na papíře vydrží staletí a je nezávislý na platformě) a máš je zabalené v evakuačním zavazadle. Kromě toho máš kopie v trezorech v několika geografických lokacích. :-)
    21.1. 01:01 karkar | skóre: 7 | blog: Kartrolling
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    pozor, některé moderní záznamy na papíře nepřežijou ani pár dní na plném slunku...
    22.1. 08:49 Tomáš | skóre: 31 | blog: Tomik
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Samozřejmě musíš použít nějakou rozumnou technologii. Nemusí to být zrovna tiskařská čerň na ručně vyráběném papíru, i laserový tisk na běžném kancelářském papíru vydrží věky.

    Termopapír není vhodný na žádné vážnější použití, přesto se používá, a účetní je musejí stále kopírovat.
    22.1. 13:07 karkar | skóre: 7 | blog: Kartrolling
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    A pozor i na propisky, některé dnešní "inkousty" v náplních jsou dost UV a tepelně sensitivní.
    18.1. 21:16 cryptanarchizm
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Mate odporuceni na diy reseni na adruinu. Neco, kde nemusim premyslet, koupim display, vytisknu na 3D tiskarne kryt a jedu. Hledat dovedu, ale chci referenci.
    20.1. 14:51 karkar | skóre: 7 | blog: Kartrolling
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    To ti možná bude fungovat, ale nebude to bezpečné, protože proprietální drivery, programovací prostředí, chyby, kdokoliv ti to za pár sekund vykopíruje a hackne. Vlastnímu bastlu bych svoje tajemství potažmo bitcoiny fakt nesvěřoval, hlavně když existuje něco jako trezor. Ale good luck.
    27.1. 22:59 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    Gréta avatar 3.2. 16:29 Gréta | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
    Rozbalit Rozbalit vše Re: Hardwarové tokeny na TOTP
    taková jakoby kalkulačka která nemá knofliky na matematický voperace :D

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.