Die einfachste Variante ist per WebAuthN.


Aber wir reden hier, befürchte ich, von Desktop-Anwendungen?

Der Yubikey (ist ja ein USB-Device) meldet sich als HID (Human Interface Device) an, und kann sozusagen wie eine Tastatur funktionieren.
Wenn Du ihn einsteckst und drauf drückst, generiert er Dir einen OTP (One-Time Password) und gibt ihn sozusagen als Keypresses an Deine Anwendung.

Das OTP basiert zum einen auf der ID des Keys, und zum anderen aus einem Shared Key, den Deine Applikation auf den Yubikey programmiert (bzw. auf einen sogenannten "Slot" setzt).
Wenn Du nun den User Authentifizieren willst, dann suchst Du den Shared Key zu dem User (und dessen Yubkey Key-ID).
Den Zeichensalat den der Yubikey an Deine Anwendung "tippt" kannst Du nun gegen diese zwei Werte validieren (steckt auch alles im Yubikey SDK drin), und das sagt Dir dann ob das wirklich von dem Key kam oder nicht.

Siehe auch: https://docs.yubico.com/yesdk/users-...redential.html
und
https://docs.yubico.com/yesdk/users-...onse-code.html

Es geht um eine Desktopanwendung. Genauer die Konfiguration einer Maschinensteuerung.

Kann ich davon ausgehen, dass Yubikey eher für Webanwendungen konzipiert ist?

Ist das dann überhaupt so ein Sicherheitsgewinn, wie unser Kunde sich das Vorstellt, oder geht der von eine falschen Annahme aus?

Im Moment haben wir Passwort und RFID Karten für den Kunden geplant. Das ist dem aber nicht sicher genug.

Hallo johndoe049,

die Frage wäre für mich, wie die Authentifikation ablaufen soll.

Soll der Yubikey nur zur Authentifikation genutzt werden (6 Stelliger Code), oder soll die Anwendung direkt mit dem USB Key kommunizieren.

Das einfachste wird sein, wenn du die Authenticotor APP von Yubikey verwendest (https://www.yubico.com/products/yubico-authenticator/) und einen Shared Key erzeugst, den du im Programm und im Yubikey speicherst. Der Yubikey erzeugt dann einen 6 Stelligen Code mit dem Google OTP Algorithmus. Für dein Programm könntest du z.B. die Unit aus https://github.com/BoscoBecker/Delph...-Authenticator nutzen.

Die direkte Kommunikation mit dem Yubikey wird wahrscheinlich aufwendiger.

Also der Kunde hat die Idee, dass der Bediener den Jubikey einsteckt, ein Passwort in die Steuerung eingibt und beides zusammen die Authentifizierung darstellt.

Also.. die Keys unterstützen prinzipiell den Fido2 Standard.
Dabei kann man diverseste Optionen überlegen:
* authentifikation mit Pin/biometrisch + einer Userinteraktion
* nur einstecken und ner Userinteraktion (ohne Pin/biometrie)
* nur test ob der key authentifiziert wird

Die Keys können auch per Webauthn also Fido2 übers Web
benutzt werden.

Die Yubikey (libfido) api implementiert das Ctap
Protokoll (also die Kommunikation zw. Key und
App) und auch die Verifikation der Challenges (assert verification)
Was nicht implementiert wurde ist das Ablegen der Keys
In ner Datenbank nur ein rudimentäres Ablegen der
Daten in Files wird in den Besipielen gezeigt… und auch konnte ich damit keine
Passkeys (z.b Apples Passkey per Biometrie)
per Webauthn verifizieren, da sie einen geringeren
Sicherheitsstamdard im Webauthnprotokoll inplementiert,
Der keine Info über den Key weiter gibt und nur den
Publik Key weiter gibt.
Diese Lücke sollte meine lib aber schließen (siehe anderes
Posting)

Prinzipiell bin ich ein riesen Fan von Fido2- nie werden
Passwörter übertragen, was es für Hacker EXTREM,
schwierig macht.

Das sind doch schon 2 Faktoren.

Wenn ich jetzt einem Benutzer das Passwort abluchse ist es mir vollkommen egal ob ich ihm noch eine RFID-Karte, einen Yubikey oder im Zweifel einfach beides aus der Tasche klauen muss um an das System zu kommen.

Ich habe einen Wrapper für Yubikeys Library geschrieben:
https://github.com/mikerabat/DelphiFido2

Bitte gerne mal ausprobieren
Das Projekt beinhaltet auch ein Beispiel für Webauth incl
Wrapper für die Win API.

Ich nutze den Rockey4ND. Da hat man mehrere Möglichkeiten zur Verifizierung:
- Eine fixe Seriennummer
- Eine programmierbare ID
- Die Möglichkeit, einfache Rechnungen zu programmieren und dann mit verschiedenen Werten durchzuführen
- Einen 1k RAM
- Enen Zufallsgenerator

Es gibt einige Fragen, die man vorher klären sollte:
- Wie soll sich die Anwendung verhalten, wenn der Key abgezogen wird?
- Gibt es verschiedene Level der Rechte, also z.B. Start des Programms erfordert Passwort, Programmierung erfordert zusätzlich Dongle, oder gibt's 'nur' Dongle + PW?
- Soll es nur einen Dongle, eine fest Anzahl von Dongles oder eine beliebige Anzahl von Dongles geben können?

Ansonsten ist das eigentliche Programmieren, wie so oft, wenn klar ist, was man genau will, (zumindest mit dem Rockey) kein wirkliches Problem.

Tomy

Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".


Ist der Ähnlich wie Wibu? Die haben wir bei einigen im Einsatz. Aufwendig ist aber, dass bei jeder Änderung die Programmdatei, etc. neu verpackt werden muss und man den Masterkey dabei haben muss. Das macht Änderungen beim Kunden vor Ort aufwendig und teuer wegen den Masterkeys.


- Konfiguration/Logbuch wird dann geschlossen
- Programm startet auch ohne Anmeldung. Anmeldung ist nur für Konfigurationsanpassung oder Aufruf vom Logbuch notwendig.
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.

Wenn der USB-Stick keine physische Aktion bedingt, was bei YubiKey aber nötig sein kann,
könnte man auch eine USB-Weiterleitung verwenden. Virtueller USB-Port und dann lokal via LAN, VPN oder Dergleichen den echten USB-Stick irgendwo anders.

Ähnlich wie mit den neuen USB-Keys für Signierungen.