OpenSSH ondersteunt nu FIDO U2F-beveiligingssleutels
OpenSSH heeft experimentele ondersteuning voor U2F/FIDO-beveiligingssleutels gekregen, zodat gebruikers nu ook via een fysiek hardware token kunnen inloggen. Dat blijkt uit een afgelopen zaterdag verschenen document. U2F is een open authenticatiestandaard om met één fysieke sleutel in te loggen.
Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB. Om het gebruik van beveiligingssleutels mogelijk te maken hebben de ontwikkelaars van OpenSSH een middleware library voor Yubico's libfido2 geschreven. Dit is software die communicatie met FIDO-apparaten mogelijk maakt. Via de middleware library kan OpenSSH met elk standaard USB HID U2F of FIDO2-token communiceren.
"We hebben ervoor gekozen om U2F-apparaten als sleutels aan het SSH-protocol toe te voegen in plaats van andere meer web-achtige authenticatiemethodes, omdat SSH-gebruikers bekend zijn met sleutels en er veel tools zijn die ze ondersteunen", zegt OpenSSH-ontwikkelaar Damien Miller die op de OpenSSH-mailinglist ook een uitleg geeft hoe de fysieke beveiligingssleutels binnen OpenSSH zijn te gebruiken.
Een (ssh) key-pair met "" passphrase (vaker in gebruik dan wenselijk) is waarschijnlijk nog minder veilig. Gebruikers gemak versus beveiliging blijft een spanningsveld.
Als je slim bent doe je een restrictie op user en IP, en eis je 3 certs, maak je die in dsa, rsa, ecdsa, zet je een passphrass op elk cert, en doe je daarnaast een OTP. Inderdaad via NFC/RFID (vol gaten) open en bloot door de lucht heen stuurt (zijn geen kilometers hoor; meer centimeters).
Een beetje OTP, zoals de Yubikey is handig tegen reply attacks. Dus vang je het op (keylogger, pwd-sniffer, phising), dan ben je al te laat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
