Erfahrung mit YubiKey etc. gesucht
 

Juhu,

der erste Kunde, der eine Zwei Faktor Authentifizerung will - und dann noch mit YubiKey.

:-D

Spass beiseite. Hat jemand Erfahrung, wie man YubiKey etc. einbindet?

Welche Bibliothekten sollte man nehmen und welche besser nicht
Was ist zu beachten
Welche Anfängerfehler sind üblich


So eine Art Tutorial für alle, die sich damit mal befassen wollen/sollen/dürfen/müssen.

AW: Erfahrung mit YubiKey etc. gesucht
 

Wir haben Yubikey. Aber was meinst Du mit Einbindung? Du fragst hier in "Algorithmen, Datenstrukturen und Klassendesign". Bei uns wird aber nur die exe am Schluss signiert. :roll:

AW: Erfahrung mit YubiKey etc. gesucht
 

Ich vermute es geht um die Authentifizierung des Users gegenüber der Applikation?

AW: Erfahrung mit YubiKey etc. gesucht
 

Richtig.
Wie kann man es einrichten, bzw. was muss man einrichten, damit ein Benutzer per YubiKey Authentifiziert wird.

AW: Erfahrung mit YubiKey etc. gesucht
 

Die einfachste Variante ist per WebAuthN. :wink:


Aber wir reden hier, befürchte ich, von Desktop-Anwendungen?

Der Yubikey (ist ja ein USB-Device) meldet sich als HID (Human Interface Device) an, und kann sozusagen wie eine Tastatur funktionieren.
Wenn Du ihn einsteckst und drauf drückst, generiert er Dir einen OTP (One-Time Password) und gibt ihn sozusagen als Keypresses an Deine Anwendung.

Das OTP basiert zum einen auf der ID des Keys, und zum anderen aus einem Shared Key, den Deine Applikation auf den Yubikey programmiert (bzw. auf einen sogenannten "Slot" setzt).
Wenn Du nun den User Authentifizieren willst, dann suchst Du den Shared Key zu dem User (und dessen Yubkey Key-ID).
Den Zeichensalat den der Yubikey an Deine Anwendung "tippt" kannst Du nun gegen diese zwei Werte validieren (steckt auch alles im Yubikey SDK drin), und das sagt Dir dann ob das wirklich von dem Key kam oder nicht.

Siehe auch: https://docs.yubico.com/yesdk/users-...redential.html
und
https://docs.yubico.com/yesdk/users-...onse-code.html

AW: Erfahrung mit YubiKey etc. gesucht
 

Es geht um eine Desktopanwendung. Genauer die Konfiguration einer Maschinensteuerung.

Kann ich davon ausgehen, dass Yubikey eher für Webanwendungen konzipiert ist?

Ist das dann überhaupt so ein Sicherheitsgewinn, wie unser Kunde sich das Vorstellt, oder geht der von eine falschen Annahme aus?

Im Moment haben wir Passwort und RFID Karten für den Kunden geplant. Das ist dem aber nicht sicher genug.

AW: Erfahrung mit YubiKey etc. gesucht
 

Hallo johndoe049,

die Frage wäre für mich, wie die Authentifikation ablaufen soll.

Soll der Yubikey nur zur Authentifikation genutzt werden (6 Stelliger Code), oder soll die Anwendung direkt mit dem USB Key kommunizieren.

Das einfachste wird sein, wenn du die Authenticotor APP von Yubikey verwendest (https://www.yubico.com/products/yubico-authenticator/) und einen Shared Key erzeugst, den du im Programm und im Yubikey speicherst. Der Yubikey erzeugt dann einen 6 Stelligen Code mit dem Google OTP Algorithmus. Für dein Programm könntest du z.B. die Unit aus https://github.com/BoscoBecker/Delph...-Authenticator nutzen.

Die direkte Kommunikation mit dem Yubikey wird wahrscheinlich aufwendiger.

AW: Erfahrung mit YubiKey etc. gesucht
 

Also der Kunde hat die Idee, dass der Bediener den Jubikey einsteckt, ein Passwort in die Steuerung eingibt und beides zusammen die Authentifizierung darstellt.

AW: Erfahrung mit YubiKey etc. gesucht
 

Das sind doch schon 2 Faktoren.

Wenn ich jetzt einem Benutzer das Passwort abluchse ist es mir vollkommen egal ob ich ihm noch eine RFID-Karte, einen Yubikey oder im Zweifel einfach beides aus der Tasche klauen muss um an das System zu kommen.

AW: Erfahrung mit YubiKey etc. gesucht
 

Ich habe einen Wrapper für Yubikeys Library geschrieben:
https://github.com/mikerabat/DelphiFido2

Bitte gerne mal ausprobieren;)
Das Projekt beinhaltet auch ein Beispiel für Webauth incl
Wrapper für die Win API.