PAM + Bluetooth, Yubi und NFC

vorhergehende Artikel in: Linux Security
02.10.2016

Nach meinen diversen Experimenten mit PAM und der Authentifizierung am System habe ich nunmehr verschiedene weitere Möglichkeiten untersucht, Hardware-Token als Hilfsmittel einzubeziehen.

Ich versuchte, mehrere neue Authentifikationsmechanismen in mein Setup zur Mehrfaktor-Authentifizierung einzubauen. Der erste Schritt dazu war Bluetooth - wann immer ein bekanntes Gerät in der Nähe ist und Bluetooth aktiviert hat, ist die Authentifizierung (bzw. dieser Authentifizierungsschritt - erfolgreich.

Yubikey NEO Der zweite Versuch bestand in der Nutzung von Yubi-Tokens. Ich nutzte für meine Untersuchungen den Yubi neo und einen HyperFido. Beide funktionieren hervorragend für diese Zwecke. Ich war besonders neugierig auf die Möglichkeiten, HyperFido den Neo auch zur Authentifizierung für Windows anzuwenden - aber das wird noch auf sich warten lassen: Im Netz findet man dazu zwar Anleitungen, aber so weit ich diese verstehe, kann man sich bei Miskonfiguration sofort aus dem System ausschließen und es existiert keine Möglichkeit, ein Fallback einzurichten: Jede der Anleitungen spricht davon, auf jeden Fall einen zweiten Neo zu konfigurieren und an einem sicheren Platz zu verwahren. Das kommt für mich nicht in Frage - wer hat schon zu Hause eine Windows-Installation zum Spielen und Vergeigen rumliegen. Und die Investition in zwei Yubis ist für mich einfach ums mal auszuprobieren viel zu fett.

Im Job sehe ich es eher ebenfalls unwahrscheinlich, denn um sich mit Yubis an einer Domäne anzumelden, muss man Löhnware kaufen. Das würde nicht nur die Anschaffung von Yubis bedeuten, sondern auch noch ausführliche Tests: Wir haben derzeit keinen Domänenserver zum Spielen, den müssten wir uns also auch erst aufsetzen. Positiv ist dennoch, dass es eine Evaluierungsversion der Löhnware gibt. Falls unser Management also einwilligen würde, dass wir uns die Zeit nehmen dürfen, könnten wir es ohne größeres finanzielles Risiko ausprobieren.

Schön fand ich an der Yubi-Lösung auch, dass sie sich nicht sperrt, wenn man mittels Putty und SSH auf einen Linux-Server verbinden möchte. Ich habe das bisher nur mit 2Faktor probiert. Auf meinem Neo könnte ich das GPG-Applet nutzen um dort Schlüssel zu verwalten und diese dann ebenfalls zur Authentifizierung nutzen - aber dazu hatte ich bisher noch keine Zeit; vielleicht wird das ja etwas in den nächsten Wochen...

Den Neo hatte ich mir angeschafft, weil ich NFC wollte. Eine wunderbare, von mir noch gar nicht so realisierte Möglichkeit möchte ich inzwischen nicht mehr missen: Um meine OTPs aus dem Google-Authenticator zu schützen, musste ich bisher eine recht komplexe Pin für mein Smartphone einrichten, da die Authenticator-App sofort nach Start die nächsten OTPs anzeigt. Mit dem Neo ist das nun nicht mehr möglich: Ich habe alle Geheimnisse auf dem Neo und nur, wenn der ans Smartphone gehalten wird, kommen OTPs heraus. Damit ist es nicht schlimm, wenn ich mein Smartphone verliere oder vergesse, kann ich einen beliebigen Passanten auf der Straße (mit NFC-fähigem Smartphone) bitten, mir zu helfen, ein neues OTP zu generieren.

Als letztes schließlich habe ich die Authentifizierung mittels NFC kurz angerisssen - ich kann mich also jetzt authentifizieren, indem ich meine Brieftasche auf den Kartenleser lege und mein Passwort eingebe. Auch das meines Wissens aber eine reine Linux-Kiste... Auch das funktionierte gut und wie die beiden anderen Varianten out-of-the-box.

Schließlich noch ein Wort der Warnung: NFC-Tags lassen sich kopieren und Bluetooth-Geräte werden an ihren MAC-Adressen erkannt. Beides ist nicht sicher - daher sollte man diese beiden Methoden wenn überhaupt nur als zusätzlichen Faktor und nie alleine nutzen!!

Hier jetzt noch einige Links, die mir geholfen haben, die beschriebenen Untersuchungen durchzuführen...

Artikel, die hierher verlinken

pam_nfc und Ubuntu 18.04

02.12.2018

Ich habe bereits über einige Stolpersteine beim Umstieg auf Ubuntu 18.04 berichtet - nunmehr bin ich auf einen neuen gestoßen, der den Fork und einen Pull-Request zur Folge hatte

Yubi zur 2FA mit GitLab

13.10.2018

Ich hatte hier ja schon verschiedentlich über Möglichkeiten des Einsatzes meines Yubi-Key berichtet - nun kam noch eine hinzu...

Android als Smartcard (NFC)

15.07.2017

Nachdem ich bereits in der Vergangenheit verschiedene Experimente mit der NFC-Technologie gemacht habe, wollte ich endlich mein großes Ziel erreichen: Ein Smartphone als NFC-Smartcard zu nutzen...

NFC-Tags als Trigger in Linux-Scripts

02.12.2016

Nachdem ich meine neue Liebe für NFC entdeckt habe und unter anderem das entsprechende PAM-Modul ausprobiert habe, wollte ich nun versuchen, NFC-Tags in Linux-Skripten als Trigger einzusetzen.

Yubi und Windows

24.10.2016

Ich habe meine Tests zum Yubikey nochmals intensiviert und einige neue Informationen gewonnen...

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Aviator + Websockets

    15.06.2019

    Nachdem ich in den letzten Wochen und Monaten meine Zeit und Energie in die sQLshell gesteckt habe - was sowohl Bugfixing als auch neue Features betraf - habe ich nun endlich die Zeit gefunden, ein bereits lange überfälliges Feature an dWb+ und speziell am aviator zu implementieren.

    Weiterlesen...

Neueste Artikel

  • Neue Version plantumlinterfaceproxy napkin look

    Es gibt eine neue Version des Projektes plantumlinterfaceproxy - Codename napkin look.

    Weiterlesen...
  • Apache HTTPCore5 funktioniert nicht mit Docker

    Ich habe neulich drei Stunden meines Lebens verschwendet weil ich unbedingt die neueste Version der HTTPCore5 Library von Apache einsetzen wollte.

    Weiterlesen...
  • Entwurfsmodus für beliebige SVG Graphiken

    Nachdem ich in der Vergangenheit immer wieder Weiterentwicklungen der Idee vorgestellt habe, Graphiken mit dem Computer so zu ezeugen dass sie eine gewisse "handgemachte" Anmutung haben, habe ich nunmehr die durchschlagende Idee gehabt:

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.