web-dev-qa-db-fra.com

Qu'est-ce qu'une YubiKey et comment ça marche?

Comment fonctionnent les YubiKeys? Existe-t-il des alternatives?

En voici une photo: yubikey

key-managementmulti-factoryubikey
57
Gabriel Fair

Le YubiKey est disponible en différentes variantes, par exemple le YubiKey 4 et le YubiKey U2F. Tous les YubiKeys sont des jetons matériels et sont connectés à un port USB. La plupart disposent d'un bouton inductif et un modèle a également NFC (le YubiKey Neo ). Les variantes diffèrent en ce qui concerne le facteur de forme et le nombre de fonctionnalités prises en charge .

YubiKey 4 offre plusieurs fonctions:

  • OTP génération
  • Génération OTP compatible OATH (c'est-à-dire HOTP et TOTP )
  • émuler un lecteur de carte à puce avec inséré carte à puce OpenPGP (jusqu'à 4K bits RSA ou 256 bits ECC taille de clé privée)
  • agir comme appareil PIV (jusqu'à 2K bits RSA ou 256 bits ECC taille de clé privée)
  • agir comme 2F appareil
  • rejouer un mot de passe statique

Pour certaines de ses fonctionnalités, il se présente comme un appareil SB HID .

Il existe des solutions alternatives disponibles qui fournissent une YubiKey 4 similaire ou un sous-ensemble multifonctionnel. Par exemple, les lecteurs de cartes à puce matérielles classiques (peut-être même dotées d'un clavier) en combinaison avec une carte à puce compatible OpenPGP.

YubiKey U2F est uniquement un appareil U2F, c'est-à-dire un appareil qui est capable de générer une paire de clés publique/privée spécifique à l'origine et renvoie un descripteur de clé et une clé publique à l'appelant. Comme les autres appareils U2F bon marché, les clés privées ne sont pas stockées, mais elles sont chiffrées symétriquement (avec une clé interne) et renvoyées comme poignée de clé. À l'aide de la poignée de clé, le périphérique U2f est alors en mesure de signer un défi, créant ainsi une réponse dans le cadre d'une authentification multifacteur.

Étant donné que U2F est un standard ouvert (qui est également poussé par des sociétés comme Google), il existe plusieurs jetons matériels U2F peu coûteux disponibles (recherchez ' FIDO Clé U2F ').

16
maxschlepzig

Si je comprends bien, Yubikey agit comme un clavier USB. Vous le branchez sur votre ordinateur, placez le curseur dans un champ de formulaire, appuyez sur le bouton du Yubikey et il envoie une chaîne de texte de 44 caractères à l'ordinateur comme si vous tapiez ces 44 caractères. L'ordinateur ne fait pas la différence entre le taper et le Yubikey le générer.

Un site Web comme un site Wordpress avec le plug-in Yubikey, ou l'addon Lastpass dans Firefox, ou tout autre site Web qui a une option Yubikey, a un formulaire de connexion avec nom d'utilisateur, mot de passe et mot de passe Yubikey. Vous entrez votre nom d'utilisateur et votre mot de passe, placez le curseur dans le champ Yubikey, puis appuyez sur le bouton Yubikey, et il entre le mot de passe Yubikey dans le champ.

Ensuite, le formulaire est soumis et le Yubikey est validé dans le Yubicloud. Le site Web vérifie si le mot de passe Yubikey saisi est valide. Le Yubikey lui-même ne se connecte pas au Yubicloud. C'est juste un appareil générant une chaîne qui l'envoie agissant comme un clavier, et il ne se connecte pas à Internet ou quoi que ce soit, sauf en tant que clavier.

Avant tout cela fonctionne, vous devez mettre à jour votre compte sur le site Web pour utiliser Yubikey. Cela signifie que vous devez associer votre clé au compte. De cette façon, le Yubicloud peut vérifier le code généré et le valider par rapport à votre compte.

Le site Web doit bien sûr implémenter la fonctionnalité Yubikey, qui est disponible en tant que service gratuit pour les propriétaires de sites Web.

Si le Yubikey se perd, vous pouvez utiliser les méthodes de récupération normales du site Web pour récupérer votre compte et désactiver le Yubikey. Normalement, cela signifie que vous obtenez un lien de récupération de mot de passe par e-mail, et ce lien désactive la fonction Yubikey dans votre compte.

J'ai envoyé un mail au support Yubikey pour voir si cette réponse est correcte. Ils ont dit que cette explication était correcte, sauf qu'elle n'expliquait qu'une partie du fonctionnement de la clé.

Les autres réponses ici ne donnent aucune explication réelle. Même l'article Linuxjournal ne l'explique pas de cette façon. La réponse acceptée donne une réponse en boîte noire - pas ce que je cherchais lorsque j'ai ouvert cette page. J'espère que cette réponse donne une meilleure explication et l'écrire m'a fait mieux comprendre le Yubikey.

39
SPRBRN

J'en ai un et je les recommanderais! En fait, je l'ai obtenu gratuitement des gars de Yubico, quand j'assistais à BSidesLondon.

Considérez-le comme une clé sécurisée RSA, sauf beaucoup plus petit, moins cher et sans batterie. Vous obtenez (essentiellement) la même sécurité, bien que les YubiKeys aient un espace de clé considérablement plus grand que ceux de RSA. Ils sont également incroyablement robustes et peuvent être entièrement immergés dans l'eau sans dommages.

Voici la mienne:

YubiKey

Je sais que cela ressemble à une publicité, mais ils sont vraiment super. Par rapport à transporter un tas de ces clés sécurisées, elles sont presque imperceptibles sur un trousseau de clés.

Quant à leur fonctionnement, ils valident par rapport à un service cloud exécuté par Yubico et fournissent une authentification à deux facteurs. Tous les logiciels serveur sont open-source et ils sont heureux que vous exécutiez vos propres serveurs d'authentification. C'est entièrement transparent.

Ayez une fouille autour de leur site Web , il y a beaucoup d'informations techniques et de descriptions là-bas.

19
Polynomial

Jetez un œil ici http://www.linuxjournal.com/magazine/yubikey-one-time-password-authentication

Le texte suivant est écrit par Dirk Merkel, auteur de l'article précédemment lié:

Chaque fois que vous appuyez sur le bouton de l'appareil, il génère un mot de passe à usage unique et l'envoie à la machine hôte comme si vous l'aviez entré sur un clavier. Ce mot de passe peut ensuite être utilisé par le service pour vous authentifier en tant qu'utilisateur.

Je vous suggère de lire l'article de 5 pages car c'est trop pour prendre le relais ici.

10
Lucas Kauffman

D'après ce que je comprends, le mot de passe à usage unique est composé de plusieurs informations différentes, comme un horodatage (depuis combien de temps la clé est dans votre ordinateur), un tampon de session Yubikey (combien de fois vous l'avez branché sur votre ordinateur ), un code spécial randomisé, un tampon indiquant combien de fois vous avez généré un mot de passe, etc., puis il le chiffre. Ensuite, il tape sur un code spécial attribué à ce Yubikey spécifique, dont il crypte à nouveau. Ensuite, il est envoyé à Yubikey eux-mêmes (car ils connaissent tous les codes spéciaux), et ils vérifient que votre clé est correcte et peu importe. Ensuite, il indique à la personne à laquelle vous essayez de vous connecter, comme Google, que vous êtes la bonne personne, puis Google vous laisse entrer.

Il existe d'autres fonctionnalités telles qu'il enregistre simplement une chaîne ou un mot de passe sur l'appareil et lorsque vous cliquez dessus, il donne un mot de passe. Assez simple.

1
Neuralyzer Gaming