Security key

Meni so strokovnjaki za varnost te variante odsvetovali, svetovali so klasične key e z tipkovnico in strojnim kriptiranjem.......

Če je pa kaj noro zaupnega pa še prej sw kript z Truecryptom.

V principu so vse cool, dokler nekdo ne najde varnostne luknje v implementaciji.

Ko se to zgodi, pa sta možna dva scenarija:
a) naložiš patch in stvar je rešena
b) problem je 'zapečen' v HW in zanj ni rešitve. Ključek lahko vržeš proč.

Qushaak je 26. nov 2018 ob 17:22 izjavil:

Ni pa kake bojazni, da bi poizvajalci takih ključev na kak način namenoma backdoor podtaknili? Sploh kak YubiKey?

nekaj bojazni je, da se jim kdo vrine v supply chain. prav tako ni najbolj modro take artikle kupovati preko neznanih posrednikov (možnosti tampering-a), lep primer so bile crypto denarnice, ki so se prodajale z napadalcu znanim default seedom.

da bi firma, katere preživetje temelji na zaupanju njihovih uporabnikov, zavestno poskušala implementirati backdoor, je seveda možno, vendar malo verjetno. Po mojem mnenju bi informacije o potencialnih backdoorih hitro zaokrožile po spletu, odkritje take ranljivosti pač dobro zgleda na CV-ju.

večji problem je zagotavljanje dostopnosti in delovanja ključka. vedno rabiš več kot en sam token. enega imaš vedno pri sebi za day-to-day rabo, vsaj enega rabiš nujno za rezervo, če prvega zgubiš ali crkne. če zgubiš/ ti crkenta oba, imaš velik problem.

Qushaak je 27. nov 2018 ob 07:54 izjavil:

Saj kupoval bi itak kar se da neposredno od proizvajalca (kljub morebitni višji ceni).

Ima kdo izkušnje kako je s takimi ključki, če imaš v firmi 2FA (MFA). Ali lahko imaš svojega (BYOD - Bring Your Own Device) ali se morda zahteva zaradi "še večje varnosti" zagotoviti "svoje YubiKey-e"?
Osebno mi je vseeno ali imam za službene namene isti YubiKey kot za domače, saj kolikor razumem to popolnoma nič ne vpliva na varnost dostopanja. Se motim?

Različni ljudje imamo različne preference. Meni osebno so ti ključki štorasti. Hitro se ti zgodi, da ga pozabiš doma (ali v službi). Sploh čudna mi je tista mikro varianta, ki te dobesedno zapelje k temu, da jo pustiš stalno priključeno (komu pa se da puliti tisti cefizel ven iz porta?).

Pri tem so te HW variante.... samo gledam Yubikey, jih ima že zdaj celo goro variant. Kaj boš vsaki dve leti kupoval nove ključke, ker stari ne bodo več moderni (beri: podprti!)?

Meni je osebno bolj všeč software varianta v kombinaciji z mobitelom. Tega v praksi težje pozabiš doma/v službi, kot pa tiste ključke. Software se lepo nadgradi in si spet 'modern'.
Imaš pa drug problem - software je strošek, ker moraš plačevati vzdrževanje. Pa si hitro na 3-6$/mesec/user pri Duo (Cisco) ali 2-2,7EUR/mesec/user pri AuthPoint.

Istočasno pa je software lahko nekoliko bolj univerzalen, saj večinoma omogoča Radius avtentikacijo za raznorazno mrežno opremo.

Na drugi strani pa software pogosto ne deluje u raznimi 'personal' accounti (razen v TOTP varianti), ker večina portalov nudi SAML avtentikacijo le pri 'pro' oz. plačljivih variantah svojih storitev.
Tu imajo spet ključki svoj nos spredaj, saj večinoma podpirajo tudi 'personal' variante oblačnih storitev.

Še en aspekt pa je upravljanje. Če hočeš v podjetju barantati s ključki, jih boš moral imeti fizično v rokah, pa paziti boš moral, da kaj ne zamešaš - napačnega daš napačni osebi (se hitro kaj zameša, ker so si vsi enaki). Software v kombinaciji s tefefonom ti ta aspekt olajša - ne rabiš imeti uporabnikovega telefona pri roki, zamenjave niso možne.

Skratka, na koncu moraš kar dobro pretehtati, kaj dejansko potrebuješ in katera varianta bo zate optimalna, bolje pokrivala tvoje potrebe. Vsaka varianta ima svoje prednosti in slabosti - ki jih pa mora vsakdo sam zase preveriti in ugotoviti, kateri kompromis je zanj boljši.

Kaj pa vem..po moje ni problem v tem, da je nekaj bolj ali manj odprto.

Bolj je problem, da se določene variante tretira za 'premium' (SAML) in ponuja poslovnim uporabnikom, druge pa se ponuja za 'preostalo rajo'.

Mogoče je stvar tudi v tem, da je za 'ostalo rajo' lažje sprejemljivo 1x kupiti nek token (npr. ključek)za 15-50€ in tega potem uporabljati dokler gre, kakor pa vsako leto plačevati po 25-70 in več (razpon je tu lahko dokaj širok).

Recimo, da je ključek supportiran vsaj 4 leta in z njim nimaš dodatnih stroškov, pa je že takoj kakšne 4x cenejši kot softw. MFA rešitve.

V podjetju, kjer nimaš opravka le z enim ključkom, pa je poudarek na tem, kako preprosto oz. zakomplicirano je upravljanje. Medtem ko si pri ključkih razmeroma omejen, ti softw. rešitve nudijo precej več svobode in fleksibilnosti.

Nobena varianta ni popolna... skupaj sta mogoče soliden par... odvisno od tega, kaj potrebuješ.