Yubikey!

Posted: 11th August 2009 by Rick Deckardt in Uncategorized
Tags:
0

De Yubikey is een low-cost hardwarematige ‘two-factor authenticatie’ oplossing dat door heel veel applicaties wordt ondersteund. Het is een usbstickje met 1 knop en kan op twee manieren worden gebruikt; 1) als One-Time password (OTP) generator of 2) als een static password repeater. Standaard wordt de stick geleverd in OTP-configuratie voorzien van een unieke sleutel, die geïnstalleerd is door de fabrikant.

De Yubikey meldt zich bij de computer aan als een usb-toetsenbord, hierdoor zijn geen extra stuurprogramma’s nodig. Door op de knop te drukken wordt het wachtwoord door de Yubikey ingevoerd, je moet wel zorgen dat je cursor op de goeie plek staat. In OTP-modus wordt iedere keer een nieuw eenmalig wachtwoord gegenereerd. De applicatie waarin het OTP wordt ingegeven controleert of het wachtwoord goed is door dit bij de Yubico validatieserver na te vragen. Mocht je een externe server niet vertrouwen kan je ook de Yubikey van een zelf-gegenereerde AES sleutel voorzien middels een handige utility en een eigen validatieserver draaien.
yubikey_keys1

Op rootshell.be is over de Yubikey geblogd over het verschil tussen OTP en static password mode. Dit is een goed stukje om het verschil tussen beide instellingen te doorgronden.

Een vergelijking met andere two-factor authenticatie oplossingen (RSA SecurID etc) en Smartcards is op de site van Yubico te vinden. Dit geeft een goed overzicht tussen overeenkomsten en verschillen.

Simon Josefsson Datakonsult heeft in 2007 een security-review gedaan van de Yubikey, deze is hier in pdf te bestuderen en gaat in op het technische verhaal van de Yubikey, hoe het OTP tot stand komt en welke aanvalstechnieken de technologie vatbaar voor is.

Ik heb 4 Yubikeys aangeschaft om mee te spelen. Inmiddels is de integratie met mijn webmail (roundcube) en blog (wordpress) gelukt. Erg makkelijk als je eenmaal de juiste plugins hebt gevonden. De installatie van de meeste plugins werkt het zelfde, plugin downloaden & op de juiste plek , Yubikey API ID en Key instellen (kan je hier verkrijgen), hierna de Yubikey ID (dit zijn de eerste 12 tekens van het OTP) aan je account koppelen en je kan de Yubikey gebruiken als toevoeging op je eigen gebruikersnaam en wachtwoord. Zowel de roundcube-plugin als de wordpress-plugin voorzien hiervoor een extra invoerveld bij de login voor het OTP. Een stevige extra beveiliging voor maar 25 US$ en een half-uurtje prutsen.

wordpress_yubikeyroundcube_yubikey

Het internet is werkelijk bezaait met plugins/patches en hacks voor integratie van de Yubikey. Hieronder kleine selectie van applicaties/services waar je een Yubikey voor kan gebruiken. Raadpleeg Google en het Yubico forum voor meer hacks, patches en plugins. Zelf een plugin maken kan ook, de API is namelijk goed beschreven en open.

Hier een lijstje om mee te beginnen;

Applicatie Link naar plugin of patch
WordPress http://henrik.schack.dk/yubikey-plugin/
Roundcube http://code.google.com/p/yubikey-rc-plugin/
Squirrelmail http://code.google.com/p/yubico-squirrelmail-plugin/
OpenVPN http://forum.yubico.com/viewtopic.php?f=3&t=89
OpenSSH http://forum.yubico.com/viewtopic.php?f=5&t=146&start=0&st=0&sk=t&sd=a
Gnome screensaver lock & unlock w/ yubikey http://forum.yubico.com/viewtopic.php?f=11&t=246
Be Sociable, Share!
  • Twitter
  • Facebook
  • email
  • StumbleUpon
  • Delicious
  • Google Reader
  • LinkedIn
  • BlinkList
  • Digg
  • HackerNews
  • Posterous
  • Reddit
  • Tumblr