Yubikey 的應用.
前一陣子在搜尋資料時, 意外發現這個東西 -- Yubikey ...於是我又再繼續搜尋這個東西的相關報導、應用 ...
例如 : Yubikey wiki.
上星期在網路上所訂購的部份 "Yubikey 5 NFC", 於前幾天在超商拿到貨品了. ^_^
還有一部份可能還在國外寄送的途中(我跟不同的店家所訂購的) ...
收到貨品後, 我開始摸索測試 ... 現在我比較放心的來使用密碼管理器(例如 : LastPass or Bitwarden)了, 目前我是使用 Bitwarden, 並且訂了一年的 "Premium" 功能, 因為在免費版的 "Two-step Login", 只支援 "2FA", 我覺得還不夠安全 ... 而 "Premium" 版的 "Two-step Login" 則支援了 U2F(Universal Second Factor authentication) 和 Yubikey ... 我有啟動 "Two-step Login" 檢查... ^_^
底下是我使用 Yubikey 產生五筆 OTP 一次性密碼 :
ccccccrnhnlkbdlttlljivnvlkhvkvrgledkcbtgtijf
ccccccrnhnlkfurbcfjbtegihgdhlhdgrfehebkugtvc
ccccccrnhnlkljkecjrgctvkeinlhgebvbhjnnthbtci
ccccccrnhnlkehdrvcchtujfclcbgjuluhececbbjbvt
ccccccrnhnlktlcfrtjntudjilfkteleirgjbknudtde
底下是我使用 Yubikey 產生五筆固定密碼 :
dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
Yubikey 的 OTP 結構組成如下圖 :
上圖是擷取註一.中影片大約 16:38 處的圖像 ...
OTPs Explained
Yubikey 有兩個 "Configuration Slot", 即 "Configuration Slot1(即 Short Touch)" 以及 "Configuration Slot2(即 Long Touch)".
當你的手指觸碰 Yubikey button 時間長達 0.3 至 1.5 秒時, 則會觸發存在 "Configuration Slot1" 中的功能 ...
當你的手指觸碰 Yubikey button 時間長達 2 至 5 秒時, 則會觸發存在 "Configuration Slot2" 中的功能 ...
例如, 當你將 OTP 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key"), 存入 "Configuration Slot1" 中, 然後Short Touch button, 則鍵盤游標處將會產生 OTP 一次性密碼 ...
底下圖是使用 "Yubikey Personalization Tool" :
底下圖是使用 "Yubikey Manager" :
當你將 Static Password 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key"), 存入 "Configuration Slot2" 中, 然後Long Touch button, 則鍵盤游標處將會產生固定密碼 ...
底下圖是使用 "Yubikey Personalization Tool" :
底下圖是使用 "Yubikey Manager" :
YubiKey personalization tools
YubiKey Manager
Yubikey 系列相關產品比較
Universal Second Factor authentication, or why 2FA today is wubalubadubdub?
Mxk3ueCkZG8
Using Yubikey as a Secure Password Generator9f3NCq_c7XQ
Yubikey 5.0 - How to use a Yubikey & LastPass to Secure all your online Accounts!MHTIVR1mY7k
How to secure your BITWARDEN account like a pro | YubiKey TutorialTcxZyfTOyYw
Why You Should Never Use Google Authenticator Again
Using FIDO U2F Two Factor Authentication with Yubi KeywatsduWyb90
【全民自保】密碼、金鑰.缺一不可 教你點用 YubiKey .網絡應用篇
如何在 Mac 上,把 YubiKey 與 GPG、SSH 搭配在一起
GPG and SSH with Yubikey for Mac
【全面解析FIDO網路身分識別】無密碼新時代將至!解決網路密碼遭竊與盜用問題
如果你有兩支實體安全金鑰, 並且很重視 Google 帳戶的安全性, 則可以考慮一下 Google 的"進階保護計劃" ...
Google 進階保護計劃
註一. CG05 A hackers guide to using the YubiKey how to add inexpensive 2 factor authentication to your next project.
Jl6hbCc0fUQ
前面提到, 我如果將 OTP 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key")存入 Slot1.
將 Static Password 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key")存入 Slot2.
過一陣子後, 我學會如何使用 KeePassXC Password Manager了, 並且想讓它搭配 Yubikey 使用, 以確保我的 KeePassXC 密碼庫, 不會因為別人拿到密碼就可以解開了 ... ^_^
KeePassXC 有支援 Yubikey, 但是以 "HMAC-SHA1" 的挑戰回應(Challenge-Response)模式 ... :
Using Your YubiKey with KeePass
Why only HMAC-SHA1? Why not FIDO-U2F or TOTP?
How do I create a YubiKey protected database
底下圖是使用 "Yubikey Personalization Tool", HMAC-SHA1 mode: "Variable input" :
底下圖是使用 "Yubikey Manager"(內定 HMAC-SHA1 mode: "Variable input") :
底下圖是使用 "Yubikey Personalization Tool", HMAC-SHA1 mode: "Fixed 64 byte input" :
"Yubikey Manager" Windows 版, 目前沒有 HMAC-SHA1 mode: "Fixed 64 byte input".
底下圖是使用 "Yubikey Personalization Tool" 來檢驗是否能產生 HMAC-SHA1 的回應 :
當我將 HMAC-SHA1 的 "Secret Key" 值存入 Slot1 後, 則原先存在 Slot1 的 OTP 相關鍵值就沒有了!!
即先前是 :
OTP ====> Slot1.
Static Password ====> Slot2.
最後, 將
HMAC-SHA1 ====> Slot1. 則 Slot1 就是存著 "HMAC-SHA1" 的相關鍵值...
底下是 KeePassXC 搭配 Yubikey 做登入的畫面 ... :
底下是 KeePassXC 密碼庫的資料1. ... :
底下是 KeePassXC 密碼庫的資料2. ... :
而原先使用 Yubikey 來產生 OTP 密碼的工作, 則交由 KeePassXC 來產生 ... :
或者是其他的密碼產生器也行, 例如 : Strong Random Password Generator .
問題來了 ... 當我更動 Slot1 中的資料後, 卻使得我在 Dropbox 登入失敗(因為有檢查 Yubikey) ... {:4_161:}
我只好使用另一支備份鑰匙來登入 ... 然後, 在 Dropbox 中原先有誤的鑰匙先保持著不要刪掉, 等新建的鑰匙完成後, 再將有誤的舊鑰給刪除掉即可(不知為何? 我好幾次先刪除有誤的舊鑰, 然後才建新鑰, 結果登出後, 再登入就會發生鑰匙有誤的問題而登入失敗...) .
而 Google 的帳號並沒有因我更改 Slot1 的值, 而發生登入失敗的問題. ^_^
現在我登入 KeePassXC 後, 取得我在 Bitwarden 上的密碼後, 登入瀏覽器上的 Bitwarden 擴充模組, 之後其他站台的登入帳號密碼就交給 Bitwarden 擴充模組來幫我填入了... 而平常用不到 KeePassXC 時, 則先將其上的密碼資料庫鎖上, 留 KeePassXC 只做 OTP 密碼產生 ... ^_^
頁:
[1]