Endelig kan vi bli kvitt de plagsomme passordene

[Toast Is Pimp!]

Reklame! Yubico har Cybermonday salg. Du får 3 forskjellige Yubikeys for 79 USD. Koden er YubiHoliday6515.

[efikkan]

Det er latterlig hvor ukritiske folk er når det gjelder sikkerhetsteknologier, og svelger PR-bullshit rått. Yubico-folkene påstår at passord ikke lenger er sikkert, men at en liten duppeditt som genererer "engangspassord" og kan bruke en valgfri 4-sifret pinkode.

 

Det er helt elementær kunnskap at sikkerheten til et passord ligger i entropien, og det er entropien som skal usannsynliggjøre at noen er i stand til å misbruke passordet. Selv om Yubikeys nøkkel skal være beskyttet av 128-bits AES, så hjelper dette lite når det er opptil 10.000 mulige pin-koder. Her er et illustrasjonsbilde for å vise hvor naivt det er å tro at en slik løsning er sikkert:

 

Det neste problemet er at nøklene generert fra Yubikey skal kun kunne brukes én gang, som skal være grunnen til at de er så utrolig "sikre". Jeg ser to måter noe sånt kan være mulig å få til på, enten må kodene være tidsbegrenset (men dette krever synkronisert klokke internt i Yubikey) eller så må Yubico ha en online database over brukte nøkler.

 

Uavhengig av dette vil Yubikey være utsatt for misbruk dersom det blir utbredt. Hvis en bruker har en Yubikey i lommen sin, så kan en annen person gå forbi og lese av en nøkkel. Kollektivtransport vil være en yndet arena for å misbruke slikt.

[Fungus]

Enten har jeg misforstått eller så er det lite å hente med denne oppfinnelsen.

 

Hvis jeg skal inn på min GMail er det da mye enklere å bare skrive inn mailadressen og passordet, istedenfor å bøye med ned under en pult, stikke inn en USB-enhet i en ledig USB-port, for så å skrive inn en PIN-kode før jeg kan logge på.

 

Samme med alt annet.

 

Det er faktisk et veldig lite problem å bruke ett passord til "alt". Dersom man har et skikkelig passord som oppfyller følgende krav er det nærmest umulig å knekke det:

 

- 8 karakterer

- store og små bokstaver

- Spesialtegn

- ikke bruke ett form for ord eller uttrykk

 

 

Den eneste risikoen man har ved å bruke det samme passordet på alt, er dersom en av tjenestene man bruker passordet på lager en enkel hash av passordet eller lagrer det i klartekst i sin brukerkatalog.

 

Men da bruker man seriøst amatørmessige tjenester.

Jeg bruker feks hotmail, gmail, nettbank, store kjente nettbutikker, "Mine sider" på tlf abonnement etc.

 

Og ingen av de tjenestene jeg bruker som krever innlogging ser ut til å ha en tilsynelatende dårlig sikring av brukerkatalogen og dens info. Jeg ser derfor liten risiko ved å bruke få passord. Jeg har ikke kun ett eneste ett, men det er nok mer fordi jeg er mer paranoid om det enn jeg trenger å være om man måler litt på risiko.

 

http://www.hardware.no/artikler/hos-dustin-ligger-passordet-ditt-lagret-i-klartekst/154548

 

Lykke til med den teorien der. Du kan lage ett passord lengre enn heisa på Grand Hotel du, eller du kan bruke det legendariske "password". Det spiller null nix rolle når det tok meg 1 stk søk å finne den artikkelen der, på innværende nettside tilogmed.

 

"Ser ut til å ha" = tro. Og det holder dessverre ikke

[MrL]

Det er latterlig hvor ukritiske folk er når det gjelder sikkerhetsteknologier, og svelger PR-bullshit rått. Yubico-folkene påstår at passord ikke lenger er sikkert, men at en liten duppeditt som genererer "engangspassord" og kan bruke en valgfri 4-sifret pinkode.

 

Det er helt elementær kunnskap at sikkerheten til et passord ligger i entropien, og det er entropien som skal usannsynliggjøre at noen er i stand til å misbruke passordet. Selv om Yubikeys nøkkel skal være beskyttet av 128-bits AES, så hjelper dette lite når det er opptil 10.000 mulige pin-koder. Her er et illustrasjonsbilde for å vise hvor naivt det er å tro at en slik løsning er sikkert:

 

Det neste problemet er at nøklene generert fra Yubikey skal kun kunne brukes én gang, som skal være grunnen til at de er så utrolig "sikre". Jeg ser to måter noe sånt kan være mulig å få til på, enten må kodene være tidsbegrenset (men dette krever synkronisert klokke internt i Yubikey) eller så må Yubico ha en online database over brukte nøkler.

 

Uavhengig av dette vil Yubikey være utsatt for misbruk dersom det blir utbredt. Hvis en bruker har en Yubikey i lommen sin, så kan en annen person gå forbi og lese av en nøkkel. Kollektivtransport vil være en yndet arena for å misbruke slikt.

 

Lol, om du så snapper opp en Yubikey fra T-banen, hva faen skal du med den? Med mindre han camper med kikkert utenfor vinduet ditt, kommer han aldri til å gjette passordet til f.eks Lastpass kontoen din. Du logger inn med Yubikey-backupen du har i safen når du oppdager den andre er borte, og deaktiverer hans. Hva er sannsynligheten for at han får Yubikey'en din og Laspass passordet ditt? 0.0001%? Den er vel relativt lik som om han skulle hacket til seg Yubikey sin engangskode OG LastPass passordet..lykke til

 

Med mindre du bærer på statshemmeligheter er en sånn løsning relativt sikker for folk flest.

Endret 2. desember 2013 av MrLG

[_diablito_]

Selv om Yubikeys nøkkel skal være beskyttet av 128-bits AES, så hjelper dette lite når det er opptil 10.000 mulige pin-koder.

 

Jeg tar for gitt at hvis en taster feil pin-kode 3-4 ganger så sperres enheten, det er på samme måte som at en 4-talls kode er nok for minibank kortet også.

[GXSilver]

Her trengs det litt oppklaring. (Jeg har ingen forbindelse til Yubico/Google/FIDO bare så det er sagt, men har fulgt prosjektet en stund).

 

U2F (skal bli) en åpen standard som kan implementeres på NFC/USB-tokens av en hvilken som helst leverandør, sågar også i software dersom man ønsker det.

 

U2F er ikke ment å være bullet-proof, men tar sikte på å fjerne noen av problemene vi ser med bruken av passord idag, nemlig dårlige passord (lav Shannon entropi), gjenbruk av passord, og tjenesteleverandører som ikke beskytter passordene på en tilstrekkelig måte (hash/scrypt/PBKDF2 etc)., samt passord på avveie (skrevet på papir, lest over skulderen etc).

 

Google har valgt Yubico som partner for sitt proof-of-concept, men det er altså ikke begrenset til Yubico/Yubikey.

 

Når det gjelder Yubikey NEO så er den en kombinasjon av "classic" Yubikey, dvs en usb-enhet som emulerer et keyboard og skriver ut en engangskode, samt et smartkort med innebygget smartkortleser (USB/CCID), og NFC.

 

Selve U2F standarden baserer seg på et smartkort (som også kan evnt emuleres i software), så den vanlige "engangskode"-delen av Yubikey NEO benyttes altså ikke.

 

U2F benytter unike nøkkelpar (Elliptic Curve) for hver tjeneste man er registrert hos, slik at man ikke kan spores på tvers av tjenestene. Nøkkelparene genereres på enheten (smartkortet), og den private nøkkelen vil aldri(!) forlate smartkortet. (Men det er en åpning i standarden for å kunne støtte enheter som har begrenset med minne, der man krypterer den private nøkkelen før den sendes ut av kortet. Når nøkkelen så skal benyttes sendes den inn til kortet som så dekrypterer den før den benyttes til pålogging). Den offentlige nøkkelen oversendes serveren ved registrering, og lagres der for verifisering ved fremtidige pålogginger. Dermed vil et innbrudd på webserveren ikke ha samme konsekvenser som når man kun benytter passord. I tillegg til dette har U2F en mulighet i standarden for at hver enhet inneholder en "issuer"-key. Dette for at tjenesteleverandørene (dersom de ønsker det), kan forsikre seg om at brukerne benytter enheter som de er trygge på at har tilstrekkelig sikkerhet. Feks kan det være at Google kun ønsker å støtte enheter fra Yubico og selskap "A". Det kan tenkes at noen tjenester på denne måten ønsker å unngå at folk emulerer U2F-enheter i software.

 

Når det gjelder PIN-kode som nevnt i artikkelen, er dette kun et eksempel fra Google sin side. De mener at U2F enheten har tilstrekkelig sikkerhet slik at den andre faktoren (passordet), ikke trenger å være på mer enn feks 4 tegn. Slik det foreligger i det første utkastet til standarden, så verifiseres ikke denne PIN-koden på enheten, men den sendes til serveren på samme måte som et vanlig passord. Når det gjelder bruk av selve U2F enheten (kontra PIN kode som må tastes inn for å aktivere et smartkort), så benyttes "user presence". For Yubikey NEO vil dette si at brukeren må berøre en kapasitiv del av enheten. Dette for å unngå at skadevare på PC'en/telefonen kan kommunisere med U2F-enheten uten at brukeren er klar over det. Google mener dette er nok, siden en person som får tak i enheten og ønsker å misbruke den, også trenger passordet/PIN-koden som skal verifiseres på serveren. Den kapasitive knappen benyttes kun ved USB-tilkobling. For NFC defineres det som "user presence" at man flytter enheten inn i NFC-leserens RF-felt.

 

Google ser for seg at U2F i fremtiden kan legges inn på et integrert smartkort i bærbare enheter (pads/phones), feks et såkalt embedded secure element, eller microSD-kort med smartkort funksjonalitet. Yubikey NEO m/U2F vil fungere på PC'er med USB, samt telefoner med NFC. Dette utelukker for tiden iPhones/iPads, men Google er en såpass stor aktør at det kan hende Apple endrer mening ang NFC.

 

Det er opp til hver enkelt nettside/tjeneste hvordan de ønsker at man skal få tilgang dersom en mister sin U2F-enhet. Feks kan de anbefale at du registrerer 2 enheter, og lagrer den ene på et trygt sted. Eller de kan åpne for at man kan logge inn med vanlig brukernavn og passord (feks et sterkt passord generert av serveren). Dette passordet kan så skrives ned og lagres på et trygt sted.

 

Når det gjelder pålogging til websider/tjenester, har Google laget et Javascript API som skal kunne kommunisere med nettleserens U2F API, som igjen kommuniserer med tilkoblede U2F enheter.

Eksperimentell kode for U2F er forøvrig lagt inn i Chrome.

 

Etter hva jeg kan lese ut av det første utkastet til U2F standarden, så ser det ut til at de har tenkt på det aller meste, og vurdert fordeler/ulemper ved de valgene de har tatt, bl.a. det at man ønsker å støtte seg på eksisterende teknologi (smartkort/NFC).

 

(Et alternativt forslag til påloggingsmetode er forøvrig Steve Gibsons SQRL, som benytter QR-koder.)

Endret 2. desember 2013 av GXSilver

[IceBlitz]

http://www.hardware.no/artikler/hos-dustin-ligger-passordet-ditt-lagret-i-klartekst/154548

 

Lykke til med den teorien der. Du kan lage ett passord lengre enn heisa på Grand Hotel du, eller du kan bruke det legendariske "password". Det spiller null nix rolle når det tok meg 1 stk søk å finne den artikkelen der, på innværende nettside tilogmed.

 

"Ser ut til å ha" = tro. Og det holder dessverre ikke

 

 

Oisann...

 

Det var jaggu oppsiktsvekkende.

 

Tydeligvis meg som har hatt for stor tro på norske butikkers IT-ansvarlige.

Men tok ganske så feil ser jeg nå.

 

Trodde ikke det nesten fantes så inkompetente mennesker lengre. Jeg lærte meg hva passordkryptering var, tidlig i min ungdomstid. Skulle da tro at webdesignere og it-teknikere også så nytten ved kryptering, men sjokkerende nok kan jeg se at det ikke stemmer helt.

 

Må bare beklage min uttalelse om passord da

Trodde rett og slett bare at folk var mer seriøse og kompetente enn det folk faktisk er når det gjaldt sikkerhet. Synd at det er opptil forbrukeren å passe seg når man handler hos en butikk, istedenfor at butikken passer på kunden

[tørrfisk]

Her på hw f.eks maser dere etter innlogging for å lese min gratis ekstra-artikkel. Må jeg opprette en ny type konto bare for det? Tungvindt og elendig løsning. Burde vært knyttet opp mot forumbruker.

[efikkan]

 

Lol, om du så snapper opp en Yubikey fra T-banen, hva faen skal du med den? Med mindre han camper med kikkert utenfor vinduet ditt, kommer han aldri til å gjette passordet til f.eks Lastpass kontoen din. Du logger inn med Yubikey-backupen du har i safen når du oppdager den andre er borte, og deaktiverer hans. Hva er sannsynligheten for at han får Yubikey'en din og Laspass passordet ditt? 0.0001%? Den er vel relativt lik som om han skulle hacket til seg Yubikey sin engangskode OG LastPass passordet..lykke til

 

Med mindre du bærer på statshemmeligheter er en sånn løsning relativt sikker for folk flest.

Med NFC kan brikken leses av på avstand, og hvis folk skal bruke brikken til å logge inn på e-post, bank o.l. så er det stor sannsynlighet for at de vil bære rundt på den sammen med husnøkkel. Kommunikasjonen skjer vanligvis på noen cm avstand, men wikipedia hevder at passive enheter kan angripes på inntil 1m avstand og aktive enheter inntil 10m. Skal folk ha med seg slikt så må de beskytte den på et vis, så blir det nok et marked for beskyttelses-"strømper" til Yubikey etter hvert...

 

Mye av problemet med denne løsningen er at Yubico hevder dette er sikrere enn passord, noe som er langt fra sannheten. Å erstatte passord med dette er definitivt et steg tilbake med tanke på sikkerhet.

[Big_JT]

Har nå hatt Yubikey i et halvt år og må si jeg er godt fornøyd så langt. Har en micro stående i den stasjonære maskinen i tillegg til en Neo på nøkklehanka. Bruker Yubi sammen med LastPass for å holde kontroll på alle brukerinnloggingene mine. Trenger bruker da tre faktor godkjenning for å komme til alle passordene minde. (Brukernavn, passord og yubikey.) Er derfor sikret selv om noen fjernavleser med NFC eller stjeler brikken.

 

Har også et sett med noen engangspassord generert og lagret ett trygt sted vist jeg skulle være så uheldig å miste begge mine Yubikey slik at jeg fortsatt får tilgang til LastPass.

 

Meget spent på hva Google finner på nå ettervært. Iallefall bra at vi går bort fra rent brukernavn/passord da dette i mine øyne ikke er et brukbart system i dag.

[Occi]

Trenger bruker da tre faktor godkjenning for å komme til alle passordene minde. (Brukernavn, passord og yubikey.) Er derfor sikret selv om noen fjernavleser med NFC eller stjeler brikken.

Det er ikke trefaktor autentisering. Brukernavn og passord er begge å betegne som "ting du vet", mens YubiKey er "noe du har". En tredje ville f. eks vært "noe du er".

[ProphetSe7en]

Er der noen nettbanker som støtter Yubikey?