[Tiger]

Ho aperto questo post per sondare un pò il terreno e vedere quanti di voi siano interessati alla discussione sui sistemi di sicurezza che oggi come non mai dovrebbero essere prassi nel panorama di Internet

Protezione account, sistemi di comunicazione sicuri e non solo

Messo nella sezione Off- topic in quanto sebbene tali sistemi possono essere gestiti tranquillamente dalla single board raspberry,
l'argomento si presta a essere gestito in tante situazioni

Cosa ne pensate?

Conoscete token yubico? avete altre idee?

Attendo vostre magari se vi va si puo creare un canale signal per poterci incontrare li

Saluti

[ippogrifo]

Argomento più che interessante specialmente oggi dove le frodi, furti di identità, ecc. sono nella quotidianità. La mia conoscenza nel settore però è più che modesta.
Di token yubico avevo letto tempo addietro; era mia intenzione approfondire l'argomento e provare, ma dopo per diversi motivi non l'ho fatto.
Ciao

[Tiger]

Potrei fare una spiegazione di base e soprattutto consiglio acquisto o del token yubico che funge da 2fa/fido2 o dello stesso token ma con piu funzioni Yubico 5 NFC o Yubico 5C NFC

il token Yubico 5C ha form factory type-c non usb


  yubico.png (Dimensione: 87.12 KB / Download: 3)

Protocolli supportati:

FIDO2/WebAuthn: Standard per l'autenticazione senza password.

FIDO U2F: Protocollo per l'autenticazione a due fattori.

Yubico OTP: Protocollo proprietario di Yubico per l'autenticazione.

OATH-TOTP e OATH-HOTP: Protocolli per la generazione di codici one-time password (OTP).

Smart card (PIV): Utilizzabile come smart card per autenticazione e firma digitale.

OpenPGP: Protocollo per la crittografia e la firma di e-mail e file.

[ippogrifo]

Personalmente la spiegazione di base va benissimo, consente di orientarsi nei passi successivi. L'acquisto del token è ovviamente necessario (a prescindere dal modello) per la protezione. Domanda al volo: un singolo token può essere utilizzato su più computer, sia Windows che Linux (sto ora utilizzando un Pi5 per scrivere)?

[Tiger]

Generalmente tutti i token sono multipiattaforma
nel caso yubico 5nfc o 5c nfc esso permette uso su sistemi Linux Windows e Mac al 100%.

Ti dirò di più su Raspberry uso il token per accesso come secondo fattore.

Inseriscon le credenziali nome utente e password eppoi uso il token yubico come secondo fattore cliccando il pulsante dorato.

Esso può essere configurato in 2 modi:

inserendolo su porta USB oppure da remoto via otp.

Via otp significa che accedi prima con credenziali tramite realvnc o similari vedi rpi-connect
poi inserisci token sul PC remoto clicchi il pulsante dorato otp comunica la sfida su server Cloud yubico remoto
che convalidano la risposta generata dal Raspberry e convalidata dal token e accedi.

Fico vero??

ma il token sio presta ad altri servizi openpgp in primis

[ippogrifo]

Si, direi proprio di si. Chiaro l'autenticazione locale via USB, meno quella remota. Correggimi se sbaglio procedura:
1) da PC remoto mi connetto al PI (gira server VPN) tamite VPN inserendo le normali credenziali per accedere;
2) inserisco token sul PC remoto cliccando successivamente sul pulsante dorato;
3) Il PC "remoto" invia una richiesta OTP al srver Cloud yubico remoto;
4) ?? Non mi è chiaro come il raspberry abbia potuto generare una risposta che possa essere convalidata dal server Cloud yubico remoto ecc.
Penso che una guida di base per orientrsi e scegliere il dipositivo più idoneo alle proprie esigenze sia ben accetta

[Tiger]

Il concetto è semplice per autenticazione remota, funziona sia se accedi in vpn per collegarti alla schermata di login sia tramite vnc protocollo sia tramite rpi-connect.

Nel raspberry o in qlc sistema linux si fa generare una mappatura dell id del tuo token insieme alle prime 12 cifre di 64 del codice otp della tua yubico le prime 12 cifre sono riferite al tuo token le altre cambiano random ma comunque avrai una stringa di 64 caratteri generati al momento dal tuo token

tramite comando yubico id e le prime 12 cifre vanno a mettersi nella home dell'utente cartella yubico.


poi va inserita una stringacon key del tuo token nel file pam che gestisce il login e che verificherà la sfida otp

la stringa sarà qlc del genere:

Codice:

auth required pam_yubico.so id=xxxxx key=xxxxxxxxxxxxxxxxxxxxxxx debug nullok

la voce key la otterrai andando qui una sola volta e basta sul loro sito con il tuo token inserito
serve per identificare il token che userai e darti la key da mettere in pam

Codice:

https://upgrade.yubico.com/getapikey/

quindi dopo che tu hai fatto il primo step di inserimento nu/psw

il secondo step il sistema rileverà che non c'è una yubico fisica inserita e ti chiedere il codice otp di 64 cifre random
che verrà generato al momento cliccando sul disco dorato della tua yubico

il quale pulsante inserirà le 64 cifre nel login.

a questo punto il raspberry controlla la stringa di riferimento inserita nella libreria pam del login insieme alla key
per verificare che stai usando il tuo token yubico inserito e non un altro 

dopodichè invia la sfida ai serve cloud 

(6 sparsi per il mondo, se viene meno uno ve ne sono altri 5 che possono convalidare)

che se da ok ti permetterà ingresso.

qualunque yubico 5 nfc,
o yubico 5c nfc permette questo. se vuoi spiego meglio