image

OpenSSH ondersteunt nu FIDO U2F-beveiligingssleutels

dinsdag 5 november 2019, 14:22 door Redactie, 4 reacties

OpenSSH heeft experimentele ondersteuning voor U2F/FIDO-beveiligingssleutels gekregen, zodat gebruikers nu ook via een fysiek hardware token kunnen inloggen. Dat blijkt uit een afgelopen zaterdag verschenen document. U2F is een open authenticatiestandaard om met één fysieke sleutel in te loggen.

Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB. Om het gebruik van beveiligingssleutels mogelijk te maken hebben de ontwikkelaars van OpenSSH een middleware library voor Yubico's libfido2 geschreven. Dit is software die communicatie met FIDO-apparaten mogelijk maakt. Via de middleware library kan OpenSSH met elk standaard USB HID U2F of FIDO2-token communiceren.

"We hebben ervoor gekozen om U2F-apparaten als sleutels aan het SSH-protocol toe te voegen in plaats van andere meer web-achtige authenticatiemethodes, omdat SSH-gebruikers bekend zijn met sleutels en er veel tools zijn die ze ondersteunen", zegt OpenSSH-ontwikkelaar Damien Miller die op de OpenSSH-mailinglist ook een uitleg geeft hoe de fysieke beveiligingssleutels binnen OpenSSH zijn te gebruiken.

Reacties (4)
05-11-2019, 14:45 door Anoniem
Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB.
NFC/RFID is draadloos en bluetooth ook al. En vol met gaten. Superveilig allemaal.
05-11-2019, 21:38 door Anoniem
Door Anoniem:
Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB.
NFC/RFID is draadloos en bluetooth ook al. En vol met gaten. Superveilig allemaal.

Een (ssh) key-pair met "" passphrase (vaker in gebruik dan wenselijk) is waarschijnlijk nog minder veilig. Gebruikers gemak versus beveiliging blijft een spanningsveld.
06-11-2019, 10:56 door Anoniem
NFC/RFID is draadloos en bluetooth ook al. En vol met gaten. Superveilig allemaal.
Ik zie het probleem niet zo. Tenzij je het als enige factor gebruikt.
Als je slim bent doe je een restrictie op user en IP, en eis je 3 certs, maak je die in dsa, rsa, ecdsa, zet je een passphrass op elk cert, en doe je daarnaast een OTP. Inderdaad via NFC/RFID (vol gaten) open en bloot door de lucht heen stuurt (zijn geen kilometers hoor; meer centimeters).
Een beetje OTP, zoals de Yubikey is handig tegen reply attacks. Dus vang je het op (keylogger, pwd-sniffer, phising), dan ben je al te laat.
06-11-2019, 11:01 door Anoniem
Plain Yubikey OTP, zonder remote zooi, zonder vage PAM, met replay-attack bescherming:
https://forum.yubico.com/viewtopicf2c7.html?p=3284
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.