otp

YubiKey NEO a OATH applet

Standardní YubiKey obsahuje vlastní implementaci jednorázových hesel se specifickým formátem. Na druhou stranu populární služby poslední dobou umožňují dvoufázovou autentizaci, ale typicky s návodem na podporu google authenticatoru - tedy generování hesel dle TOTP standardu o 6 znacích. Pro standardní YubiKey existuje aplikace, která generuje TOTP hesla. Nicméně každý seed zabere jeden slot v YubiKey (a sloty jsou zde jen dva) a přitom každá služba vygeneruje a vnutí seed vlastní. Nicméně pro YubiKey NEO existuje jiná varianta - doinstalování OATH appletu a ukládání seedů do něj - není to závislé na slotech YubiKey a seedů lze přidat relativně mnoho. A to možná nejlepší - hesla lze přečíst i pomocí mobilu/tabletu přes NFC.

YubiKey a PAM

Další pokračování návodu s používáním YubiKey tokenů. Tentokrát se podíváme na PAM modul pam_yubico, který v rámci PAMu umožňuje ověřovat yubikey jednorázová hesla. Konkrétně to vyzkoušíme na SSH, nicméně tím, že je to PAM modul, nic nebrání tomu využít OTP autentizaci jinde - přímo do systému, na screensaver, atd.

YubiKey NEO

Navzdory tomu, že od začátku 21. století již pěkných pár let uplynulo, nejčastější metodou autentizace je stále heslo. Poslední dobou se často objevuje možnost tzv. dvoufázové autentizace. Ta má podobu buď kódu zaslaného jiným kanálem (nejčastěji SMS) nebo jednorázového hesla generovaného na základě nějakého sdíleného tajemství, který zná pouze autentizační server a uživatel. S rozšiřováním chytrých telefonů a aplikaci Google Authenticator (a jim podobných) je druhá metoda také stále častější. Nicméně nejde o žádnou velkou novinku, autentizační hardwarové tokeny na bázi jednorázových hesel tu už nějakou dobu existují...

Subscribe to otp