Pull to refresh

Comments 29

Подскажите, пожалуйста, каков план ваших действий если
1) Ключ был безвозвратно утерян или физически повреждён

2) Вы подъезжая к дому с планами плодотворно поработать сообразили, что забыли вытащить ключ из рабочей машины

3) Вы планируете пользоваться ноутбуком на коленях/"на бегу", а ключ так неудобно торчит из USB-порта, что есть опасения его повредить?

1, 2 — несколько ключей. Для 1 хорошо подходит "ключ в сейфе", для 2 — ключ на общей связке ключей

1) Для такого обычно рекомендуется использовать резервный Yubikey - тогда в аккаунт можно зайти с него и удалить потерянный. Или воспользоваться резервными кодами доступа - их выдает любой сервис, где вы подключаете второй фактор. SSH и PGP ключи удаляются там, где они используются. Если в качестве второго фактора используются TOTP коды, то в аккаунт также можно войти по резервным кодам.

2) Такого не случалось - Yubikey всегда лежит на столе и забыть его также сложно как телефон, или ключи от квартиры.

3) В таком случае можно взять nano-версии Yubikey - они стоят чуть дороже и в них нет NFC.

Type-C есть? На маке работает?

YubiKey 5C Nano - на маке работает

А в контексте статьи (ssh/gpg) это точно работает? (так то ключики работают с тем же Bitwarden и Chrome)
Потому что


vikarti@IRUNA ~ % ssh-keygen -t ed25519-sk -O resident
Unsupported certificate option "resident"
vikarti@IRUNA ~ % sw_vers
ProductName: macOS
ProductVersion: 11.5.1
BuildVersion: 20G80

С gpg должно работать, ssh - не знаю, мака под рукой нет проверить.

В macOS достаточно "архаичный" ssh. Если обновить – все работает.

brew install openssh

Мне больше понравилось работать с ssh через gpg. Немного упоротее настройка, но работает даже там где поддержки новомодного ed25519_sk нет. При этом сохраняется поддержка физически тапнуть по ключу для логина.

Спасибо за статью. А опыт работы под Windows с Yubikey имеется? Будем благодарны если поделитесь. Тоже есть ключ, но разобрался не со всем, что он может.

UFO just landed and posted this here

Спокойно покупается в softline, например

"спокойно" оно по разному покупается. Но помнить, в какой мы компании для производителя находимся, все же стоит.

Можно купить на GitHub с доставкой в СНГ.

https://thegithubshop.com/collections/yubikeys

Им можно написать на почту и вышлют отдельно. Я так заказывал когда он только вышел. Отдельно платишь за ключ и доставку.

Один покупал в Softline, второй заказывал на Amazon вместе с другими штуками, они некоторые товары спокойно отправляют в Россию.

На амазоне можно заказать - доставка в РФ есть.

Не увидел у них токенов с поддержкой SHH, GPG, TOTP

В моей практике был проект внедрения Yubikey 5 как одного из компонентов мультифакторной аутентификации на ресурсах MS Azure. Пока что никаких нареканий на ключики нет.

Yubikey5NFC не получилось с SSH, подскажите пожалуйста, если знаете в чем ошибка?

ssh-keygen -t ed25519-sk -O resident
Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter PIN for authenticator:
Key enrollment failed: invalid format

Спасибо за статью, очень полезно. Думаю прикупить пару ключиков, но пока разбираюсь в теме и тонкостях использования, и не всё ещё понятно. Подскажите, пожалуйста, по нескольким вопросам:

  1. Основной и запасной ключи в веб-сервисах привязываются отдельно друг от друга, т.е. "задублировать" их нельзя, это именно разные ключи. Для доступа по ssh по обоим ключам нужно просто на сервере добавить два публичных ключа, сгенерированных с обоих токенов, так?

  2. Кажется, у новых yubikey есть т.н. "второй слот". Его функционал же не задействуюется в рамках статьи?

  3. Не совсем понятна концепция резидентых ключей. Т.е. это некая "вторая половина" секретного ключа (который создаётся и хранится на yubikey), и которая является прямым преобразованием passphrase? Т.е. мы можем восстановить резидентный ключ на новом компе, потому что resident_key = priv_key + passphrase, так?

Отвечу сам себе.

  1. Да.

  2. Вроде да, не задействуется. Не суть. Резидентных ключей может храниться 25 штук, наверное, при создании нужно параметром указывать, на каком слоте это базируется.

  3. Нет, ubikey построен на двух принципах: либо ключ не хранит никакой инфы о сайте, на котором нужно аутентифицироваться, и отвечает на challenge от этого сайта (что происходит после ввода логина/пароля), и если он верный, то сайт аутентифицирует пользователя; либо ubikey всё-таки хранит инфу в своей памяти, и тогда приложению даже не нужно предварительно сообщать логин/пароль, эта инфа уже есть в памяти ключа. Собственно, если мы создаём нерезидентный key handle (принцип 1), то для доступа по ssh нам необходим именно этот файлик. Если мы создаём резидентый key handle (принцип 2), то он у нас с собой всегда, т.к. он находится в памяти ключа, и мы всегда можем его оттуда вытащить.

Sign up to leave a comment.

Articles