AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Erfahrung mit YubiKey etc. gesucht

Ein Thema von johndoe049 · begonnen am 30. Apr 2024 · letzter Beitrag vom 3. Mai 2024
Antwort Antwort
Seite 2 von 3     12 3      
TomyN

Registriert seit: 8. Nov 2006
Ort: Bayreuth
244 Beiträge
 
Delphi 10.3 Rio
 
#11

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 1. Mai 2024, 08:30
Ich nutze den Rockey4ND. Da hat man mehrere Möglichkeiten zur Verifizierung:
- Eine fixe Seriennummer
- Eine programmierbare ID
- Die Möglichkeit, einfache Rechnungen zu programmieren und dann mit verschiedenen Werten durchzuführen
- Einen 1k RAM
- Enen Zufallsgenerator

Es gibt einige Fragen, die man vorher klären sollte:
- Wie soll sich die Anwendung verhalten, wenn der Key abgezogen wird?
- Gibt es verschiedene Level der Rechte, also z.B. Start des Programms erfordert Passwort, Programmierung erfordert zusätzlich Dongle, oder gibt's 'nur' Dongle + PW?
- Soll es nur einen Dongle, eine fest Anzahl von Dongles oder eine beliebige Anzahl von Dongles geben können?

Ansonsten ist das eigentliche Programmieren, wie so oft, wenn klar ist, was man genau will, (zumindest mit dem Rockey) kein wirkliches Problem.

Tomy
Thomas Neumann
Meine Projekte
www.satlive.audio
www.levelcheck.de
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#12

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 1. Mai 2024, 14:06
Zitat:
Das sind doch schon 2 Faktoren.

Wenn ich jetzt einem Benutzer das Passwort abluchse ist es mir vollkommen egal ob ich ihm noch eine RFID-Karte, einen Yubikey oder im Zweifel einfach beides aus der Tasche klauen muss um an das System zu kommen.
Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".


Zitat:
Ich nutze den Rockey4ND. Da hat man mehrere Möglichkeiten zur Verifizierung:
Ist der Ähnlich wie Wibu? Die haben wir bei einigen im Einsatz. Aufwendig ist aber, dass bei jeder Änderung die Programmdatei, etc. neu verpackt werden muss und man den Masterkey dabei haben muss. Das macht Änderungen beim Kunden vor Ort aufwendig und teuer wegen den Masterkeys.


Zitat:
Es gibt einige Fragen, die man vorher klären sollte:
- Wie soll sich die Anwendung verhalten, wenn der Key abgezogen wird?
- Gibt es verschiedene Level der Rechte, also z.B. Start des Programms erfordert Passwort, Programmierung erfordert zusätzlich Dongle, oder gibt's 'nur' Dongle + PW?
- Soll es nur einen Dongle, eine fest Anzahl von Dongles oder eine beliebige Anzahl von Dongles geben können?
- Konfiguration/Logbuch wird dann geschlossen
- Programm startet auch ohne Anmeldung. Anmeldung ist nur für Konfigurationsanpassung oder Aufruf vom Logbuch notwendig.
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#13

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 1. Mai 2024, 15:35
Wenn der USB-Stick keine physische Aktion bedingt, was bei YubiKey aber nötig sein kann,
könnte man auch eine USB-Weiterleitung verwenden. Virtueller USB-Port und dann lokal via LAN, VPN oder Dergleichen den echten USB-Stick irgendwo anders.

Ähnlich wie mit den neuen USB-Keys für Signierungen.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
rabatscher

Registriert seit: 13. Dez 2007
Ort: Bruck an der Mur
69 Beiträge
 
#14

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 1. Mai 2024, 19:50
Also der Kunde hat die Idee, dass der Bediener den Jubikey einsteckt, ein Passwort in die Steuerung eingibt und beides zusammen die Authentifizierung darstellt.
Also.. die Keys unterstützen prinzipiell den Fido2 Standard.
Dabei kann man diverseste Optionen überlegen:
* authentifikation mit Pin/biometrisch + einer Userinteraktion
* nur einstecken und ner Userinteraktion (ohne Pin/biometrie)
* nur test ob der key authentifiziert wird

Die Keys können auch per Webauthn also Fido2 übers Web
benutzt werden.

Die Yubikey (libfido) api implementiert das Ctap
Protokoll (also die Kommunikation zw. Key und
App) und auch die Verifikation der Challenges (assert verification)
Was nicht implementiert wurde ist das Ablegen der Keys
In ner Datenbank nur ein rudimentäres Ablegen der
Daten in Files wird in den Besipielen gezeigt… und auch konnte ich damit keine
Passkeys (z.b Apples Passkey per Biometrie)
per Webauthn verifizieren, da sie einen geringeren
Sicherheitsstamdard im Webauthnprotokoll inplementiert,
Der keine Info über den Key weiter gibt und nur den
Publik Key weiter gibt.
Diese Lücke sollte meine lib aber schließen (siehe anderes
Posting)

Prinzipiell bin ich ein riesen Fan von Fido2- nie werden
Passwörter übertragen, was es für Hacker EXTREM,
schwierig macht.
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#15

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 09:14
Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".
[...]
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.
Ohwei.
Fan sein wollen, aber keine Ahnung haben, wie sowas in der Praxis ausschaut.

Der YubiKey selber hat zwar eine Touch-Fläche, die ist aber KEIN Fingerprint-Sensor. Die ist ausschließlich dafür da, dass der Key eine Benutzerinteraktion bestätigen kann. (Okay, es gibt YubiKey Bio Series mit Fingerprint-Sensor, da kostet ein einzelner aber > 90 € und die sind offenbar nicht so sicher wie die ohne, weil die ohne haben eine Zertifizierung für Behörden bekommen, die mit dem Sensor nicht, das spricht meines Erachtens Bände...).

Die Idee ist, dass der Key stecken bleiben kann, aber eine Authentifizierung am Bildschirm sagt: "Wenn Du wirklich willst, dann berühre jetzt den Stick..." - und technisch steht eigentlich dahinter ("... Damit Du Dein Passwort nicht eingeben musst.") - und wenn der User das nicht macht, passiert auch nix. Wenn der aber seinen Stick vergisst, ist es dem Yubikey an sich vollkommen wurscht, WER da die Touchfläche berührt. Deswegen sind die meisten OS-Integrationen von FIDO auch so implementiert, dass der User zu dem Stick auch nochmal eine PIN eingeben muss.

Kurzum: Yubikeys SIND cool. Keine Frage. Aber auch teuer (die alten fangen bei 25€ das Stück an, die aktuellen bei 50).
Der Kollege aus der QS beim Kunden darf gerne mal bei uns in eines unserer Webinare zu FIDO reinschauen: https://www.youtube.com/watch?v=_2i9ucyeveM, von einem Ex-Kollegen, was die Keys eigentlich machen sollen.

Wenn er es sicher will, dann ist es relativ egal, ob der zweite Faktor ein physikalisch beim Benutzer verorteter Yubikey oder eine RFID-Karte ist.
Benutzer kennt sein Passwort (Faktor 1) und hat sein Hardware-Stück dabei (Key oder Karte, Faktor 2) -> Drin.
Die Frage ist dann letzten Endes nur eine des Preises. Das würde ich beim Kunden auch bewusst eine Stufe über der QS aufhängen, weil wenn dem sein Chef raus bekommt das es statt für 50+ Euro pro Benutzer auch genauso sicher mit ein paar Cent für ne RFID-Karte gegangen wäre, die die Benutzer ggf. eh schon haben... , dann ist die Sache Betriebswirtschaftlich sehr schnell geregelt.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#16

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 09:54
Ohwei.
Fan sein wollen, aber keine Ahnung haben, wie sowas in der Praxis ausschaut.

Der YubiKey selber hat zwar eine Touch-Fläche, die ist aber KEIN Fingerprint-Sensor. Die ist ausschließlich dafür da, dass der Key eine Benutzerinteraktion bestätigen kann. (Okay, es gibt YubiKey Bio Series mit Fingerprint-Sensor, da kostet ein einzelner aber > 90 € und die sind offenbar nicht so sicher wie die ohne, weil die ohne haben eine Zertifizierung für Behörden bekommen, die mit dem Sensor nicht, das spricht meines Erachtens Bände...).
Wir haben das bei uns heute morgen in unserer Besprechung auch so gesehen, das der aus der Qualitätssicherung keine Ahnung hat, aber sich wichtig macht.

Für eine rein lokale Desktopanwendung macht das mit dem Jubikey so keinen Sinn, da der Kunde von Wunschdenken ausgeht. Ohne einem Fingerprint Sensor sehen wir bei uns derzeit keinen Vorteil gebenüber einer RFID Karte. Beides kann von unberechtigten verwendet werden. Da ist es egal, ob USB Stick oder Karte. Fidu2 hört sich zwar interessant an, aber auch hier ist keine "Diebstahlsicherung" vorhanden, wenn kein Fingerprint oder anderes biometische Kennzeichen mit verwendet wird.

Der bekommt jetzt eine Kombinationslösung angeboten. Fingerprint und Gesichtserkennung. Wenn der Mitarbeiter vom Terminal weggeht oder sich wegdreht und das Gesicht nicht mehr erkannt wird, wird das Terminal der Steuerung gesperrt. Ist ein Zukaufteil, wo wir nur den API Aufurf anstelle der Kennwortabfrage einbinden.
  Mit Zitat antworten Zitat
CCRDude

Registriert seit: 9. Jun 2011
678 Beiträge
 
FreePascal / Lazarus
 
#17

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 10:24
Zitat:
Das sind doch schon 2 Faktoren.

Wenn ich jetzt einem Benutzer das Passwort abluchse ist es mir vollkommen egal ob ich ihm noch eine RFID-Karte, einen Yubikey oder im Zweifel einfach beides aus der Tasche klauen muss um an das System zu kommen.
Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".
Kann man ja eigentlich parallel zu jeder anderen Art von Account betrachten.

Eine RFID-Karte kann man kopieren (bis auf wenige Ausnahmen, aber hier wurde nichts spezielles erwähnt), evtl. sogar separat im Vorbeigehen "belauschen" und Kopie erstellen.

Den Yubikey nicht.

Bei Angst vor reinem Diebstahl des Tokens ist es egal ob Karte oder Yubikey. Hat man aber Angst vor Industriespionage, wo jemand schlauer vorgeht und den zweiten Faktor kopieren möchte, um erstmal unentdeckt zu bleiben, ist der Yubikey halt deutlich überlegen.

Auch besser als Fingerabdrücke oder Gesichtsscans, solange die nicht wirklich gut sind (vielleicht sogar dann).
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.094 Beiträge
 
Delphi 12 Athens
 
#18

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 11:15
Der bekommt jetzt eine Kombinationslösung angeboten. Fingerprint und Gesichtserkennung.
Interessehalber:
- Habt Ihr schon so ein konkretes Teil getestet, das zuverlässig funktioniert, könntest Du da etwas empfehlen?
- Was macht man damit, wenn die Biometrik mal aus irgend einem Grund versagt, gibt es einen zweiten Zugangsweg?
Wäre so ein 2ter Zugangsweg nicht automatisch wieder genauso unsicher wie vorher?
  Mit Zitat antworten Zitat
johndoe049

Registriert seit: 22. Okt 2006
169 Beiträge
 
#19

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 11:28
Der bekommt jetzt eine Kombinationslösung angeboten. Fingerprint und Gesichtserkennung.
Interessehalber:
- Habt Ihr schon so ein konkretes Teil getestet, das zuverlässig funktioniert, könntest Du da etwas empfehlen?
- Was macht man damit, wenn die Biometrik mal aus irgend einem Grund versagt, gibt es einen zweiten Zugangsweg?
Wäre so ein 2ter Zugangsweg nicht automatisch wieder genauso unsicher wie vorher?
Wenn die Biometrik ausfällt gibt es einen Ersatzzugang. Hierfür braucht man aber einen entsprechend registrierten PC/Notebook, da ansonsten die Verschlüsselung nicht funktioniert.

Das System was wir verwenden dürfen arbeitet mit einer normalen Kamera und Wärmebildkamera um Lebendobjekte zu prüfen. Lt. Vertriebsvereinbarung können wir das nur unter eigenem Namen und für eigene Systeme verwenden, daher keine Empfehlung.
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.094 Beiträge
 
Delphi 12 Athens
 
#20

AW: Erfahrung mit YubiKey etc. gesucht

  Alt 2. Mai 2024, 11:31
Ok, verstehe.

Du arbeitest also entweder für Fort Knox oder Area 51
Beneidenswert
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:13 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz