COCO研究院

 找回密碼
 註冊
搜索
查看: 6247|回復: 1

[心得] Yubikey 的應用.

[複製鏈接]
發表於 20-8-28 11:49 | 顯示全部樓層 |閱讀模式
前一陣子在搜尋資料時, 意外發現這個東西 -- Yubikey ...


於是我又再繼續搜尋這個東西的相關報導、應用 ...
例如 : Yubikey wiki.


上星期在網路上所訂購的部份 "Yubikey 5 NFC", 於前幾天在超商拿到貨品了. ^_^
還有一部份可能還在國外寄送的途中(我跟不同的店家所訂購的) ...


收到貨品後, 我開始摸索測試 ... 現在我比較放心的來使用密碼管理器(例如 : LastPass or Bitwarden)了, 目前我是使用 Bitwarden, 並且訂了一年的 "Premium" 功能, 因為在免費版的 "Two-step Login", 只支援 "2FA", 我覺得還不夠安全 ... 而 "Premium" 版的 "Two-step Login" 則支援了 U2F(Universal Second Factor authentication) 和 Yubikey ... 我有啟動 "Two-step Login" 檢查... ^_^


底下是我使用 Yubikey 產生五筆 OTP 一次性密碼 :
  1. ccccccrnhnlkbdlttlljivnvlkhvkvrgledkcbtgtijf
  2. ccccccrnhnlkfurbcfjbtegihgdhlhdgrfehebkugtvc
  3. ccccccrnhnlkljkecjrgctvkeinlhgebvbhjnnthbtci
  4. ccccccrnhnlkehdrvcchtujfclcbgjuluhececbbjbvt
  5. ccccccrnhnlktlcfrtjntudjilfkteleirgjbknudtde
複製代碼


底下是我使用 Yubikey 產生五筆固定密碼 :
  1. dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
  2. dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
  3. dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
  4. dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
  5. dvejbgkjhhendkrcvnkjvdkkkffcvrubkurhjnenbjtn
複製代碼

Yubikey 的 OTP 結構組成如下圖 :
strace_yubikey_otp-1638-01.jpeg
上圖是擷取註一.中影片大約 16:38 處的圖像 ...


OTPs Explained



Yubikey 有兩個 "Configuration Slot", 即 "Configuration Slot1(即 Short Touch)" 以及 "Configuration Slot2(即 Long Touch)".

當你的手指觸碰 Yubikey button 時間長達 0.3 至 1.5 秒時, 則會觸發存在 "Configuration Slot1" 中的功能 ...

當你的手指觸碰 Yubikey button 時間長達 2 至 5 秒時, 則會觸發存在 "Configuration Slot2" 中的功能 ...

Slot1_Slot2-01.png

Short_Long_Touch-01.png


例如, 當你將 OTP 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key"), 存入 "Configuration Slot1" 中, 然後  Short Touch button, 則鍵盤游標處將會產生 OTP 一次性密碼 ...

底下圖是使用 "Yubikey Personalization Tool" :
OTP_mode_Advanced-01.png

底下圖是使用 "Yubikey Manager" :
OTP_PublicID_PrivateID_SecretKey-02.png



當你將 Static Password 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key"), 存入 "Configuration Slot2" 中, 然後  Long Touch button, 則鍵盤游標處將會產生固定密碼 ...

底下圖是使用 "Yubikey Personalization Tool" :
Static_Password_mode_Advanced-01.png

底下圖是使用 "Yubikey Manager" :
Static_Password_len38-01.png



YubiKey personalization tools

YubiKey Manager


Yubikey 系列相關產品比較



Universal Second Factor authentication, or why 2FA today is wubalubadubdub?



[Explained] Using Yubikey as a Secure Password Generator


[Explained] Yubikey 5.0 - How to use a Yubikey & LastPass to Secure all your online Accounts!


How to secure your BITWARDEN account like a pro | YubiKey Tutorial



Why You Should Never Use Google Authenticator Again


Using FIDO U2F Two Factor Authentication with Yubi Key

【全民自保】密碼、金鑰.缺一不可 教你點用 YubiKey .網絡應用篇


如何在 Mac 上,把 YubiKey 與 GPG、SSH 搭配在一起


[Deprecated] GPG and SSH with Yubikey for Mac


【全面解析FIDO網路身分識別】無密碼新時代將至!解決網路密碼遭竊與盜用問題


如果你有兩支實體安全金鑰, 並且很重視 Google 帳戶的安全性, 則可以考慮一下 Google 的"進階保護計劃" ...
Google 進階保護計劃




註一. CG05 A hackers guide to using the YubiKey how to add inexpensive 2 factor authentication to your next project.




評分

參與人數 1金錢 +2 收起 理由
abopt + 2 按一個讚

查看全部評分

 樓主| 發表於 20-8-31 10:14 | 顯示全部樓層
前面提到, 我如果將 OTP 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key")存入 Slot1.
將 Static Password 的相關鍵值("Public Identity" and "Private Identity" and "Secret Key")存入 Slot2.


過一陣子後, 我學會如何使用 KeePassXC Password Manager了, 並且想讓它搭配 Yubikey 使用, 以確保我的 KeePassXC 密碼庫, 不會因為別人拿到密碼就可以解開了 ... ^_^


KeePassXC 有支援 Yubikey, 但是以 "HMAC-SHA1" 的挑戰回應(Challenge-Response)模式 ... :

Using Your YubiKey with KeePass

Why only HMAC-SHA1? Why not FIDO-U2F or TOTP?

How do I create a YubiKey protected database


Challenge-Response_HMAC-SHA1_mode-01.png


底下圖是使用 "Yubikey Personalization Tool", HMAC-SHA1 mode: "Variable input" :
Challenge-Response_mode-HMAC-SHA1-Variable_input-01.png


底下圖是使用 "Yubikey Manager"(內定 HMAC-SHA1 mode: "Variable input") :
Challenge-Response_mode-HMAC-SHA1-Variable_input-02.png


底下圖是使用 "Yubikey Personalization Tool", HMAC-SHA1 mode: "Fixed 64 byte input" :
Challenge-Response_mode-HMAC-SHA1-Fixed_64_byte_input-01.png


"Yubikey Manager" Windows 版, 目前沒有 HMAC-SHA1 mode: "Fixed 64 byte input".



底下圖是使用 "Yubikey Personalization Tool" 來檢驗是否能產生 HMAC-SHA1 的回應 :
Challenge-Response_Tester-01.png


當我將 HMAC-SHA1 的 "Secret Key" 值存入 Slot1 後, 則原先存在 Slot1 的 OTP 相關鍵值就沒有了!!
即先前是 :
OTP ====> Slot1.
Static Password ====> Slot2.

最後, 將
HMAC-SHA1 ====> Slot1. 則 Slot1 就是存著 "HMAC-SHA1" 的相關鍵值...


底下是 KeePassXC 搭配 Yubikey 做登入的畫面 ... :
Login_KeePassXC-01.png


底下是 KeePassXC 密碼庫的資料1. ... :
KeePassXC-Database-01.png

底下是 KeePassXC 密碼庫的資料2. ... :
KeePassXC-Database-02.png


而原先使用 Yubikey 來產生 OTP 密碼的工作, 則交由 KeePassXC 來產生 ... :
KeePassXC-Password-generator-01.png

或者是其他的密碼產生器也行, 例如 : Strong Random Password Generator .


問題來了 ... 當我更動 Slot1 中的資料後, 卻使得我在 Dropbox 登入失敗(因為有檢查 Yubikey) ...
我只好使用另一支備份鑰匙來登入 ... 然後, 在 Dropbox 中原先有誤的鑰匙先保持著不要刪掉, 等新建的鑰匙完成後, 再將有誤的舊鑰給刪除掉即可(不知為何? 我好幾次先刪除有誤的舊鑰, 然後才建新鑰, 結果登出後, 再登入就會發生鑰匙有誤的問題而登入失敗...) .

而 Google 的帳號並沒有因我更改 Slot1 的值, 而發生登入失敗的問題. ^_^

現在我登入 KeePassXC 後, 取得我在 Bitwarden 上的密碼後, 登入瀏覽器上的 Bitwarden 擴充模組, 之後其他站台的登入帳號密碼就交給 Bitwarden 擴充模組來幫我填入了... 而平常用不到 KeePassXC 時, 則先將其上的密碼資料庫鎖上, 留 KeePassXC 只做 OTP 密碼產生 ... ^_^


評分

參與人數 1金錢 +2 收起 理由
abopt + 2 好文章,我推薦

查看全部評分

您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

手機版|Archiver|站長信箱|廣告洽詢|COCO研究院

GMT+8, 24-12-4 01:50

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回復 返回頂部 返回列表
理財討論網站 |