Het is inderdaad erg armzalig dat zelfs Keepass (en die andere) van Yubi OTP geen gebruik maken maar alleen de HID functie nuttigen.

Hetzelfde geldt zelfs voor een serieus besturingssysteem als Qubes. Of OpenBSD. Wil je OTP moet je weer rommelen met modules en zelf scripts wijzigen.

Heel heel achtergesteld dit.

je wilt het gratis, en kwalitatief heel goed, en ook snel. maar je mag er daar maar 2 van kiezen.

https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.

Die van KeePassXC.org in combinatie met een FIDO2 USB-token van NitroKey.com of OnlyKey.io

Je hebt het eerder over open standaards dan open source als het gaat om 2FA-oplossingen, al zijn er open source-implementaties van sommige standaards. En hardware-tokens zijn nooit gratis, die kosten geld om te maken.

Lees vooral de FAQs. De volgende vragen en de antwoorden erop zijn denk ik vrij verhelderend over wat wel en niet mogelijk is:
https://keepassxc.org/docs/#faq-yubikey-2fa
https://keepassxc.org/docs/#faq-yubikey-why-hmac-sha1
https://keepassxc.org/docs/#faq-yubikey-otp

Ik wil dus eentje zonder een USB stick (want die moet je aanschaffen). Maar eentje die bijvoorbeeld met gratis te installeren app werkt zoals de duo app bijvoorbeeld.
Yubikey token moet je aanschaffen.

Het alternatief is dat je zelf met de losse elektronica componenten, een microsoldeerbout en het flashen van de firmware voor het benodigde IC aan de slag gaat. Veel succes! Je bent nooit te oud om iets nieuws te leren :)

Zoals min of meer blijkt uit de KeepassXC FAQ's genoemd door Anoniem 11:09 is het de vraag of je veel bereikt met 2FA. Vooral of het risico dat je niet meer bij jouw wachtwoorden kunt na verlies van één van de factoren, niet groter is dan het beoogde voordeel.

Immers, uiteindelijk gaat het om een encrypted database die is versleuteld met één statische sleutel (je zou natuurlijk 2x kunnen versleutelen met twee verschillende sleutels, maar waarschijnlijk kun je net zo goed een wachtwoord combineren met een ander geheim en dat samen gebruiken als input van een key derivation function - en met de resulterende sleutel 1x de database versleutelen).

Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Ik bedenk me net dat zo'n USB-stick ook handig kan zijn bij het invoeren van een deel van een lang pre-boot FDE (Full Disc Encryption) wachtwoord. Maar dan moet je die stick natuurlijk nooit bij de betreffende notebook bewaren als je die niet gebruikt...

Google stuurt bijvoorbeeld naar je telefoon een melding wanneer je op je pc probeert in te loggen op je gmail na het invoeren van je wachtwoord.

Zon form van two factor auhtenticatie zoek ik.

Of dat je een SMS krijgt met een code met je mobiele nummer voor het gebruik van de password manager.

Zou je om 2FA te implementeren ook een "keyfile" kunnen plaatsen op een extern medium (USB-stick, SD-kaart) dat dan als "tweede factor" kan dienen?
(* toegevoegd): kan je daar ook een USB-stick of SD kaart aanwijzen als opslag locatie? En vervolgens deze apart bewaren? Uiteraard met een tweede exemplaar als backup.

Ik kan je vertellen dat Keepass2 goed werkt met een Yubikey: password store alleen te openen met je sleutel in je PC

Q

Ik raad iedereen aan een xID chip van Dangerous Things.

En nee ik heb er geen aandelen in.


Benjamin F.

Wanneer had jij voor het laatst een donatie gedaan aan de armzalige ontwikkelaar?

bitwarden

Voor al je domme internet accounts KeePass of Bitwarden.
Voor accounts die je echt niet mag verliezen geen password manager maar ssh keys (software token met passphrase )en bv yubikey

Yubis gebruiken in statistische mode is zonde van het geld.

Dan is een Rubber Ducky nog goedkoper.

Of een 2 Euro memdisk van de Action waar je effe copy paste doet van een bestandje, plus je eigen aanvulling.

Net zo veilig.

OTP all the way... en veel OSS software heeft daar een serieus compatibility probleem mee inclusief pro Linux online diensten.

Bouw dan!

Misschien heb ik de vraag niet goed begrepen, het staat er in ieder geval niet met zoveel woorden. Maar je kan natuurlijk (mocht je een smartphone hebben) ook een app gebruiken voor de 2fa. Bijvoorbeeld Authy.

Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit. Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.

Ikzelf gebruik al enige tijd Bitwarden als wachtwoord manager en sinds kort Authy als twee-staps-authenticatie.Gekozen voor Authy vanwege het mutli-device & desktop app.

Mijn stappenplan als ik ergens een account aan wil/moet maken:

1) Gebruik van standaardwachtwoord
2) Controleer of MFA mogelijk is, zo ja deze gelijk instellen en testen of het werkt
3) Backup toegang mogelijkheden controleren als ik onverhoopt geen wachtwoord meer heb
4) Standaardwachtwoord aanpassen naar een door Bitwarden gegeneerde wachtwoord

Waarom eerst een simpel standaardwachtwoord en niet gelijk een gegeneerd wachtwoord? Ik heb een account verloren doordat er iets niet goed ging met opslaan van wachtwoord in wachtwoordbeheer tool. En heb ook geen enkele mogelijkheid om toegang te verkrijgen.

Bottomline: Bitwarden & Authy!

Groetjes
B.

Een Teensy is nog goedkoper (en je kunt er nog veel meer mee doen: https://www.pjrc.com/teensy/projects.html).

Anders. Tenzij je een geheugenstick NTFS formatteert en zo'n keyfile "verstopt" in geneste subdirs die niemand mag lezen (een beetje vergelijkbaar met C:\Windows\Temp\) en je het exacte pad moet kennen om de file te kunnen openen [*], kan alle software op jouw PC die keyfile uitlezen.

[*] Security by obscurity, zie bijv. https://isc.sans.edu/forums/diary/Discovering+contents+of+folders+in+Windows+without+permissions/25816/.

Aan de andere kant kan een keylogger alle toetsaanslagen meekijken, ook uit een geëmuleerd keyboard.

Een voordeel van beide is het tegengaan van schoudersurfers.

Ik heb geen idee wat je hiermee bedoelt. Mocht je TOTP bedoelen: dat is zinloos (voor het beveiligen van een lokale wachtwoorddatabase).

Toelichting: stel je gebruikt KeePass/KeePassXC op een PC (Linux/MacOS/Windows) en zou Authy op jouw smartphone willen gebruiken. De software op jouw PC genereert een random "shared secret" en stopt dat lange getal in een QR-code. Na het scannen van die QR-code met Authy staat dat "shared secret" op zowel jouw PC als jouw smartphone. Dat "shared secret" wordt door zowel jouw PC als jouw smartphone met de actuele datum en tijd verhaspeld waarna het resultaat wordt ingekort tot een 6-cijferig getal. Als jij het 6-cijferige getal uit Authy invoert op jouw PC (en de klokken voldoende gelijklopen) "weet" de software op jouw PC dat de invoerder van die 6 cijfers over een device beschikt dat het "shared secret" kent.

Twee problemen:
1) Hoe koppel je dat laatste gegeven aan een statisch wachtwoord voor een versleutelde database?
2) Stel dat 1 zou kunnen: hoe voorkom je dat een aanvaller, naast de versleutelde database, ook het shared secret van jouw PC steelt?

Nee hoor, denk aan een deurslot dat de combinatie van een pincode, pasje en vingerafdruk vereist. TOTP is wel bedoeld voor authenticatie op afstand, maar er is meer MFA dan TOTP.

Volgens die laatste redenering zou je ook geen wachtwoord in hoeven te voeren.

De reden dat je dat wel doet is niet om aan te tonen dat jij geautoriseerd bent om dat bestand te openen (want dat weet je wel), maar om te voorkomen dat anderen dat kunnen (die op de een of andere wijze in het bezit van die database zijn gekomen).

En dus kan MFA het aanvallers lastiger maken. Een probleem hierbij is dat een statisch versleuteld bestand geen dynamische protocollen als TOTP ondersteunt, maar dat één soort MFA niet werkt wil niet zeggen dat je geen andere oplossingen kunt bedenken (om het aanvallers lastiger te maken).

https://gitlab.com/hsleisink/password
Voor de two-factor authenticatie kan je gebruik maken van willekeurige app die RFC 6238 ondersteund.

Zoals je stelt zijn er inderdaad toepassingen waar dit wel zinvol is. Zoals de bankmedewerker die tijdens een gesprek even wegloopt en het pasje (token) uit de computer trekt.


Voor je eigen systeem waar jij alleen toegang toe hebt en er geen mogelijkheid voor remote toegang is? Nee, inderdaad niet. Totdat je het onbeheerd achter laat en er wel toegang van anderen mogelijk is. Dan weer wel.

Gebruik wachtwoord EN key authenticatie, waarbij je de private key op een usb drive zet