Hlavní navigace

FIDO U2F by Plug-up: levný přihlašovací token nejen ke Google

Dan Ohnesorg 8. 1. 2015

Google nedávno ohlásil podporu pro dvoufaktorovou autentizaci s použitím FIDO U2F a současně se na trhu objevil relativně levný token. Neodolal jsem a musel jsem jich pár na zkoušku objednat. Použít se dají u Google, ale i třeba ve WordPressu. Jak fungují v Linuxu? Co potřebují na straně počítače a služby?

Token dorazil asi tři týdny po objednání, na obrázku je vidět, že se jedná vlastně o plastovou kartičku, ze které se vylomí samotný token. Ten se potom ještě přeloží, aby seděl pevně v USB slotu a obě poloviny se slepí oboustrannou lepicí páskou. Ve srovnání s Yubikey působí méně profesionálně, ale přeci jen cena je výrazně příznivější. Také nemá žádné tlačítko, generování kódu se odvozuje od zasunutí do USB slotu.

Pokud jej chcete použít pod Linuxem, musíte přidat pravidlo do udev, tedy do souboru  /etc/udev/rules.d/10-security-key.rules:

SUBSYSTEMS=="usb", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0", MODE="0660", GROUP="users"

Místo GROUP="users" lze použít i nějakou omezenější skupinu, kterou si vytvoříte pro uživatele, kteří budou toto přihlašování používat. Reloadnete konfiguraci pomocí udevadm trigger a můžete si klíč zkusit přidat do Google účtu. Pokud máte dostatečně aktuální Chrome, tak to funguje bez jediného zaváhání.

Klíč lze ale použít i ve vlastních projektech. Vyzkoušel jsem integraci do WordPressu a ani tam se nejedná o žádný složitý problém. Pokud chcete používat U2F pro vlastní projekty, je nutné do Chrome přidat plugin. Bez pluginu nemají aplikace přístup k API Chrome pro komunikaci s klíčem.

Na straně WordPressu jsem použil modul od Yubico, instalace je triviální, checkout z git, dotažení závislostí přes composer, umístění do adresáře pro pluginy ve WordPressu a aktivace modulu. Celá akce proběhla zcela hladce.

Nyní je možné v profilu uživatele přidávat klíče. Oproti použití s Google servery se bude objevovat žádost o povolení užití klíče:

Pokud přístup povolíme, klíč se přiřadí a při dalším přihlášení je uživatel po odeslání přihlašovacího dialogu podržen na mezistránce, dokud klíč nepoužije. Pokud 30 sekund klíč nevloží/neaktivuje, je vrácen zpět na zadání jména a hesla. Tady jsem zaznamenal jediný problém, ta stránka neobsahuje žádný vysvětlující text, takže pokud uživatel neví, jak klíč použít, jen sleduje prázdnou obrazovku a po chvíli dostává znovu přihlašovací dialog.

Další teoretickou možností využití klíče je přihlašování do Linuxu z konzole přes PAM. To je současně jediná funkcionalita, kterou jsem nedokázal rozchodit. Problém je zřejmě v tom, že PAM knihovna je psána jen pro klasický Yubikey s tlačítkem a tak se nevyrovná s tím, že klíč je potřeba do USB portu vložit k jeho aktivaci. Pokud klíč není vložen, PAM modul okamžitě vrací hlášení o neúspěchu, pokud je vložen a vytažen pro nové vložení, modul ohlásí chybu, že se mu klíč v průběhu ověřování ztratil bez odpovědi. Navíc tady budete možná narážet na „technologické omezení“ dané tím, že komunikaci s klíčem nelze forwardovat přes SSH, musí být vložen do USB portu přímo v tom systému, kde jej chcete použít.

I přes nefunkčnost PAM modulu bych klíč označil za dobrou koupi. Řešení konkuruje jednorázovým klíčům podle RFC 6238 (s nejznámější implementací Google Authenticator), lze jej ostatně aktivovat současně, ale pro uživatele je komfortnější než opisování čísel, která mají navíc omezenou platnost. Otázka je, jestli je bezpečnější, na toto téma očekávám vášnivou diskuzi. Na jednu stranu používá silnější šifrování, na druhou ke zneužití stačí útok na jedno zařízení (PC uživatele), proti použití generátoru jednorázových hesel, typicky umístěnému v zařízení jiném.

Našli jste v článku chybu?

8. 1. 2015 9:19

Mě to moc bezpečné nepřipadá.USB se dá napadnout, tedy pokud něco, tak nespojené přímo s PC. Generátor čísel je ideální varianta. Navíc by se dal udělat i tzv. tichý poplach jako známe z alarmu. napr. k vygenerovanému kódu přičtu/odečtu číslo, které si pouze pamatuji (není nikde zapsané). Tyto čísla mám dvě. Jedno slouží k tomu, že např. někdo chce mé heslo nátlakem, takže já ho sice zadám, ale na druhé straně někdo bude už vědět, že tak dělám pod nátlakem. To druhé zadám, když vím že je vše OK.…

8. 1. 2015 16:08

Není jediný důvod, proč by klíč na flash paměti v telefonu nemohlo být uložen šifrovaně.

Vitalia.cz: Jste stále nemocní? Chybí vám zinek

Jste stále nemocní? Chybí vám zinek

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme