Forum » Strojna oprema » Security key
Security key
Qushaak ::
Zanima me ali so kakšne razlike z "višino varnosti" med security key-i kot so YubiKey, Solo, Google Titan,...?
Pustimo to, da NFC, BlueTooth nista ravno varni tehnologiji. Bolj me zanima s stališča samega ključka ali so kakšne razlike med proizvajalci.
Hvala za nasvete.
Pustimo to, da NFC, BlueTooth nista ravno varni tehnologiji. Bolj me zanima s stališča samega ključka ali so kakšne razlike med proizvajalci.
Hvala za nasvete.
mat xxl ::
Meni so strokovnjaki za varnost te variante odsvetovali, svetovali so klasične key e z tipkovnico in strojnim kriptiranjem.......
Če je pa kaj noro zaupnega pa še prej sw kript z Truecryptom.
Če je pa kaj noro zaupnega pa še prej sw kript z Truecryptom.
Qushaak ::
Pišem o security key-ih za avtentikacijo, ne za storage. S kakim iStorage-om se ne da opravljat dvostopenjskega login-a v sistem.
Kot sem tudi napisal vem, da če ima tak ključek NFC ali BT, da to ni najbolj varno, ampak bolj samo pomaga pri avtentikacijah na mobilnih napravah. Omenjenih zadev tudi sam ne potrebujem.
Zanima me ali je v "core funkcionalnosti" z vidika varnosti kaj razlik med omenjenimi ključi.
Kot sem tudi napisal vem, da če ima tak ključek NFC ali BT, da to ni najbolj varno, ampak bolj samo pomaga pri avtentikacijah na mobilnih napravah. Omenjenih zadev tudi sam ne potrebujem.
Zanima me ali je v "core funkcionalnosti" z vidika varnosti kaj razlik med omenjenimi ključi.
SeMiNeSanja ::
V principu so vse cool, dokler nekdo ne najde varnostne luknje v implementaciji.
Ko se to zgodi, pa sta možna dva scenarija:
a) naložiš patch in stvar je rešena
b) problem je 'zapečen' v HW in zanj ni rešitve. Ključek lahko vržeš proč.
Ko se to zgodi, pa sta možna dva scenarija:
a) naložiš patch in stvar je rešena
b) problem je 'zapečen' v HW in zanj ni rešitve. Ključek lahko vržeš proč.
Qushaak ::
Ni pa kake bojazni, da bi poizvajalci takih ključev na kak način namenoma backdoor podtaknili? Sploh kak YubiKey?
Saul Goodman ::
Ni pa kake bojazni, da bi poizvajalci takih ključev na kak način namenoma backdoor podtaknili? Sploh kak YubiKey?
nekaj bojazni je, da se jim kdo vrine v supply chain. prav tako ni najbolj modro take artikle kupovati preko neznanih posrednikov (možnosti tampering-a), lep primer so bile crypto denarnice, ki so se prodajale z napadalcu znanim default seedom.
da bi firma, katere preživetje temelji na zaupanju njihovih uporabnikov, zavestno poskušala implementirati backdoor, je seveda možno, vendar malo verjetno. Po mojem mnenju bi informacije o potencialnih backdoorih hitro zaokrožile po spletu, odkritje take ranljivosti pač dobro zgleda na CV-ju.
večji problem je zagotavljanje dostopnosti in delovanja ključka. vedno rabiš več kot en sam token. enega imaš vedno pri sebi za day-to-day rabo, vsaj enega rabiš nujno za rezervo, če prvega zgubiš ali crkne. če zgubiš/ ti crkenta oba, imaš velik problem.
Zgodovina sprememb…
- spremenilo: Saul Goodman ()
Qushaak ::
Saj kupoval bi itak kar se da neposredno od proizvajalca (kljub morebitni višji ceni).
Ima kdo izkušnje kako je s takimi ključki, če imaš v firmi 2FA (MFA). Ali lahko imaš svojega (BYOD - Bring Your Own Device) ali se morda zahteva zaradi "še večje varnosti" zagotoviti "svoje YubiKey-e"?
Osebno mi je vseeno ali imam za službene namene isti YubiKey kot za domače, saj kolikor razumem to popolnoma nič ne vpliva na varnost dostopanja. Se motim?
Ima kdo izkušnje kako je s takimi ključki, če imaš v firmi 2FA (MFA). Ali lahko imaš svojega (BYOD - Bring Your Own Device) ali se morda zahteva zaradi "še večje varnosti" zagotoviti "svoje YubiKey-e"?
Osebno mi je vseeno ali imam za službene namene isti YubiKey kot za domače, saj kolikor razumem to popolnoma nič ne vpliva na varnost dostopanja. Se motim?
SeMiNeSanja ::
Saj kupoval bi itak kar se da neposredno od proizvajalca (kljub morebitni višji ceni).
Ima kdo izkušnje kako je s takimi ključki, če imaš v firmi 2FA (MFA). Ali lahko imaš svojega (BYOD - Bring Your Own Device) ali se morda zahteva zaradi "še večje varnosti" zagotoviti "svoje YubiKey-e"?
Osebno mi je vseeno ali imam za službene namene isti YubiKey kot za domače, saj kolikor razumem to popolnoma nič ne vpliva na varnost dostopanja. Se motim?
Različni ljudje imamo različne preference. Meni osebno so ti ključki štorasti. Hitro se ti zgodi, da ga pozabiš doma (ali v službi). Sploh čudna mi je tista mikro varianta, ki te dobesedno zapelje k temu, da jo pustiš stalno priključeno (komu pa se da puliti tisti cefizel ven iz porta?).
Pri tem so te HW variante.... samo gledam Yubikey, jih ima že zdaj celo goro variant. Kaj boš vsaki dve leti kupoval nove ključke, ker stari ne bodo več moderni (beri: podprti!)?
Meni je osebno bolj všeč software varianta v kombinaciji z mobitelom. Tega v praksi težje pozabiš doma/v službi, kot pa tiste ključke. Software se lepo nadgradi in si spet 'modern'.
Imaš pa drug problem - software je strošek, ker moraš plačevati vzdrževanje. Pa si hitro na 3-6$/mesec/user pri Duo (Cisco) ali 2-2,7EUR/mesec/user pri AuthPoint.
Istočasno pa je software lahko nekoliko bolj univerzalen, saj večinoma omogoča Radius avtentikacijo za raznorazno mrežno opremo.
Na drugi strani pa software pogosto ne deluje u raznimi 'personal' accounti (razen v TOTP varianti), ker večina portalov nudi SAML avtentikacijo le pri 'pro' oz. plačljivih variantah svojih storitev.
Tu imajo spet ključki svoj nos spredaj, saj večinoma podpirajo tudi 'personal' variante oblačnih storitev.
Še en aspekt pa je upravljanje. Če hočeš v podjetju barantati s ključki, jih boš moral imeti fizično v rokah, pa paziti boš moral, da kaj ne zamešaš - napačnega daš napačni osebi (se hitro kaj zameša, ker so si vsi enaki). Software v kombinaciji s tefefonom ti ta aspekt olajša - ne rabiš imeti uporabnikovega telefona pri roki, zamenjave niso možne.
Skratka, na koncu moraš kar dobro pretehtati, kaj dejansko potrebuješ in katera varianta bo zate optimalna, bolje pokrivala tvoje potrebe. Vsaka varianta ima svoje prednosti in slabosti - ki jih pa mora vsakdo sam zase preveriti in ugotoviti, kateri kompromis je zanj boljši.
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Qushaak ::
Se pravi bi bilo fino počakat, da se dokončno standardizira (final verzija) in malo zaživi Web Authentication (WebAuthn) in da bodo ključki podpirali še ta standard?
Kakor vem so vsi sedanji protokoli zaprte narave?
Kakor vem so vsi sedanji protokoli zaprte narave?
SeMiNeSanja ::
Kaj pa vem..po moje ni problem v tem, da je nekaj bolj ali manj odprto.
Bolj je problem, da se določene variante tretira za 'premium' (SAML) in ponuja poslovnim uporabnikom, druge pa se ponuja za 'preostalo rajo'.
Mogoče je stvar tudi v tem, da je za 'ostalo rajo' lažje sprejemljivo 1x kupiti nek token (npr. ključek)za 15-50€ in tega potem uporabljati dokler gre, kakor pa vsako leto plačevati po 25-70 in več (razpon je tu lahko dokaj širok).
Recimo, da je ključek supportiran vsaj 4 leta in z njim nimaš dodatnih stroškov, pa je že takoj kakšne 4x cenejši kot softw. MFA rešitve.
V podjetju, kjer nimaš opravka le z enim ključkom, pa je poudarek na tem, kako preprosto oz. zakomplicirano je upravljanje. Medtem ko si pri ključkih razmeroma omejen, ti softw. rešitve nudijo precej več svobode in fleksibilnosti.
Nobena varianta ni popolna... skupaj sta mogoče soliden par... odvisno od tega, kaj potrebuješ.
Bolj je problem, da se določene variante tretira za 'premium' (SAML) in ponuja poslovnim uporabnikom, druge pa se ponuja za 'preostalo rajo'.
Mogoče je stvar tudi v tem, da je za 'ostalo rajo' lažje sprejemljivo 1x kupiti nek token (npr. ključek)za 15-50€ in tega potem uporabljati dokler gre, kakor pa vsako leto plačevati po 25-70 in več (razpon je tu lahko dokaj širok).
Recimo, da je ključek supportiran vsaj 4 leta in z njim nimaš dodatnih stroškov, pa je že takoj kakšne 4x cenejši kot softw. MFA rešitve.
V podjetju, kjer nimaš opravka le z enim ključkom, pa je poudarek na tem, kako preprosto oz. zakomplicirano je upravljanje. Medtem ko si pri ključkih razmeroma omejen, ti softw. rešitve nudijo precej več svobode in fleksibilnosti.
Nobena varianta ni popolna... skupaj sta mogoče soliden par... odvisno od tega, kaj potrebuješ.
Qushaak ::
Samo kaj pa če se standard pri prijavi nič ne spremeni? Ne vem kaj ima potem to veze s support-om od ključka. Če ni novegastandarda bi moralo delat (če pa crkne moraš pa itak novega nabavit).
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Backup in uvoz SIGEN-CA certifikataOddelek: Omrežja in internet | 13226 (2115) | kow |
» | Kakšna gesla so pred 40 leti imeli Unixovi pionirji?Oddelek: Novice / Varnost | 7189 (4897) | jype |
» | NFC logiranje v različne accounteOddelek: Informacijska varnost | 2305 (1859) | MojoRisin |
» | Velika luknja v Infineonovih kriptografskih čipihOddelek: Novice / Varnost | 10467 (7442) | Furbo |
» | Password VaultOddelek: Informacijska varnost | 1549 (1317) | Matija82 |