Hallo johndoe049,

die Frage wäre für mich, wie die Authentifikation ablaufen soll.

Soll der Yubikey nur zur Authentifikation genutzt werden (6 Stelliger Code), oder soll die Anwendung direkt mit dem USB Key kommunizieren.

Das einfachste wird sein, wenn du die Authenticotor APP von Yubikey verwendest (https://www.yubico.com/products/yubico-authenticator/) und einen Shared Key erzeugst, den du im Programm und im Yubikey speicherst. Der Yubikey erzeugt dann einen 6 Stelligen Code mit dem Google OTP Algorithmus. Für dein Programm könntest du z.B. die Unit aus https://github.com/BoscoBecker/Delph...-Authenticator nutzen.

Die direkte Kommunikation mit dem Yubikey wird wahrscheinlich aufwendiger.

Also der Kunde hat die Idee, dass der Bediener den Jubikey einsteckt, ein Passwort in die Steuerung eingibt und beides zusammen die Authentifizierung darstellt.

Also.. die Keys unterstützen prinzipiell den Fido2 Standard.
Dabei kann man diverseste Optionen überlegen:
* authentifikation mit Pin/biometrisch + einer Userinteraktion
* nur einstecken und ner Userinteraktion (ohne Pin/biometrie)
* nur test ob der key authentifiziert wird

Die Keys können auch per Webauthn also Fido2 übers Web
benutzt werden.

Die Yubikey (libfido) api implementiert das Ctap
Protokoll (also die Kommunikation zw. Key und
App) und auch die Verifikation der Challenges (assert verification)
Was nicht implementiert wurde ist das Ablegen der Keys
In ner Datenbank nur ein rudimentäres Ablegen der
Daten in Files wird in den Besipielen gezeigt… und auch konnte ich damit keine
Passkeys (z.b Apples Passkey per Biometrie)
per Webauthn verifizieren, da sie einen geringeren
Sicherheitsstamdard im Webauthnprotokoll inplementiert,
Der keine Info über den Key weiter gibt und nur den
Publik Key weiter gibt.
Diese Lücke sollte meine lib aber schließen (siehe anderes
Posting)

Prinzipiell bin ich ein riesen Fan von Fido2- nie werden
Passwörter übertragen, was es für Hacker EXTREM,
schwierig macht.