W dzisiejszym pełnym technologii świecie możliwe przejmowanie lub kradzież baz danych z hasłami lub innymi poufnymi informacjami nie jest czymś, co może jeszcze dziwić. Hasło nawet skomplikowane może nie wystarczyć. Na szczęście istnieje kilka metod, dzięki którym dane mogą być nieco bezpieczniejsze: możemy używać uwierzytelniania dwuskładnikowego za pomocą oprogramowania (na przykład za pomocą aplikacji uwierzytelniającej w smartfonie) lub za pomocą klucza sprzętowego, takiego jak Yubikey.

Uwierzytelnianie dwuskładnikowe (2FA) dodaje dodatkową warstwę zabezpieczeń, praktycznie niemożliwą do oszukania. Podczas logowania system wspierający sprzętowe klucze bezpieczeństwa poprosi o włożenie jednego z nich do portu USB oraz dotknięcia złotego przycisku, który odpowiada za całą magię wymiany kluczy kryptograficznych podczas weryfikacji. Ta fizyczna obecność jest ideą uwierzytelniania dwuskładnikowego z użyciem kluczy Yubikey. To ona odpowiada za bezpieczeństwo. Jeżeli tak mocne zabezpieczenie jest bardzo proste i intuicyjne w użyciu, to trzeba z niego korzystać. Można oczywiście wciąż pozostać przy przestarzałej weryfikacji za pomocą kodów SMS lub aplikacji uwierzytelniającej (np. Microsoft Authenticator lub Google Prompt), ale należy mieć na uwadze, że nie gwarantują one całkowitego bezpieczeństwa, ponieważ są podatne na zwykły phishing. Całkiem inaczej jest z kluczami firmy Yubico, które skutecznie chronią przed atakami phishingowymi.

Klucze Yubikey
Porównanie wielkości klucza i pendrive. Z powodu małej wielkości nietrudno o zgubienie, dlatego świetnym rozwiązaniem jest trzymanie go w pęku innych.

Klucze Yubikey działają w oparciu o protokół U2F, który jest popularnym standardem otwartego uwierzytelniania. Umożliwia bezpieczny dostęp do dowolnej liczby serwisów za pomocą jednego urządzenia, natychmiast, bez sterowników lub dodatkowego oprogramowania.

Urządzenie współpracuje z wieloma usługami i aplikacjami, takimi jak Google, Facebook, Dropbox, Windows, macOS, Linux i menedżerami haseł, np. KeePass, Dashlane, itp. Na co dzień korzystają z niego pracownicy Facebooka, co jest dowodem na to, że Yubikey z powodzeniem może zastąpić inne metody logowania lub uwierzytelnienia. Zaletą kluczy jest łatwość obsługi i implementacji.

W tym poradniku pokażę jak skonfigurować systemy Windows oraz Linux, aby po włożeniu klucza do portu USB bezpiecznie logować się do środowiska pracy.

Integracja z Windows

Do przeprowadzenia integracji z systemem Windows konieczny jest program YubiKey Personalization Tool oraz (najlepiej) dwa klucze, ponieważ jeden będzie służył jako zapasowy. W pobranej aplikacji konfigurujemy klucze do uwierzytelnienia protokołem HMAC-SHA1. Użytkownik, który chce korzystać z Yubikey, musi posiadać konto z uprawnieniami administratora. Potrzebujemy również programu Microsoft Windows Logon (według zapewnień producenta niebawem zostanie wydana nowa wersja tego narzędzia). Poza tym wszystko wymaga obsługi framework .NET w wersji 4.

Yubikey WIndows
YubiKey Personalization Tool to narzędzie niezbędne do prawidłowej konfiguracji kluczy.

Po uruchomieniu YubiKey Personalization Tool przechodzimy do zakładki Challenge-Response i w sekcji HMAC-SHA1 Parameters klikamy w Generate. Wszystkie opcje są wprowadzone domyślne i ich modyfikowanie nie jest zalecane. Następnie zapisujemy ustawienia na kluczu klikając we Write Configuration i na tym kończymy pracę z programem.

Yubikey Personalization Tool
Jeżeli widzimy podobny komunikat, oznacza to, że pierwszy etap został dobrze zakończony.

Czas na pracę z narzędziem Microsoft Windows Logon. Najpierw należy go zainstalować.

Yubikey Microsoft Windows Logon
Konieczne jest zainstalowanie wszystkich modułów oraz (w przypadku jego braku) frameworka .NET w wersji 4.0.

Przechodzimy do folderu z instalacją, czyli:

C:\Program Files\Yubico\YubiKey Logon

Teraz uruchamiamy:

YubiKey Logon Administration.exe

W nowym oknie klikamy 2x Yes i tyle — prawidłowo skonfigurowaliśmy klucz bezpieczeństwa z systemem Windows.

Nie zapominajmy o ponownym uruchomieniu komputera. Automatycznie uruchomi się YubiKey Logon Administration. W polu Select user to configure wybieramy użytkownika. Następnie klikamy Yes. Dodatkowa warstwa zabezpieczeń została dodana.

Yubikey logowanie windows
Od teraz podczas logowania system będzie prosił o użycie klucza.

Integracja z Linux

Tutaj sprawa jest trochę trudniejsza, ponieważ jeśli nie zrobimy tego poprawnie, to możemy mieć problemy ze zwykłym zalogowaniem. Należy dokładnie wykonywać poszczególne kroki, a w razie wątpliwości proszę o pytania w komentarzach. Najwięcej dystrybucji systemu Linux opartych jest na Ubuntu, dlatego przeprowadzę integrację w tym systemie.

W terminalu wpisujemy:

sudo add-apt-repository ppa:yubico/stable && sudo apt-get update

Teraz instalujemy niezbędne narzędzie:

sudo apt-get install libpam-u2f

Podłączamy nasz klucz do portu USB i tworzymy katalog:

mkdir ~/.config/Yubico

Uruchamiamy:

pamu2fcfg > ~/.config/Yubico/u2f_keys

Nasz klucz powinien być aktywny i podświetlać przycisk. Dotykamy go i uruchamiamy:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Ponownie dotykamy przycisku na kluczu i dalej w konsoli przeprowadzamy edycję pliku, więc wydajemy polecenie:

sudo nano /etc/pam.d/sudo

Poniżej linii @include common-auth wpisujemy auth required pam_u2f.so. Zapisujemy zmiany i usuwamy klucz z portu.

Testujemy logowanie. Otwieramy nowy terminal i wpisujemy:

sudo echo test

Jeżeli pomimo wpisania poprawnego hasła nie możemy się zalogować, oznacza to, że wszystko funkcjonuje prawidłowo. Klucz Yubikey został zintegrowany z systemem.

Czy warto korzystać z logowania via Yubikey?

W poradniku udało się powodzeniem przeprowadzić proces integracji Yubikey z dwoma systemami operacyjnymi. Czy było warto? Jestem pewny, że tak. Yubikey (niedawno pojawił się nowy model) stanowi niezaprzeczalny pod względem skuteczności sposób ochrony danych, nie tylko tych przechowywanych na dysku twardym. Jeśli dane są zaszyfrowane to niepowołany (w sensie fizycznym) dostęp do zawartości jest niemożliwy. Oczywiście należy pamiętać o sile hasła, które w przypadku szyfrowania decyduje o jego sile.

Yubikey zapewnia bezpieczny dostęp do Facebooka, poczty (Gmail), dysku w chmurze (Google Drive / Dropbox), haseł (KeePass), antywirusa (ESET), przeglądarki (Firefox). Czyli nasze cyfrowe życie pozostanie pod naszą kontrolą. W przypadku wycieku hasła do usług, które wspierają uwierzytelnienie z użyciem kluczy bezpieczeństwa, osoba atakująca tj. hacker nie będzie w stanie zalogować się na nasze konto, o ile mamy skonfigurowane logowanie poprzez klucze bezpieczeństwa.

Yubikey warty jest wydania kilkuset złotych, ponieważ prywatności nie da się zamienić na złotówki. Problem pojawia się z chwilą zgubienia klucza, dlatego najlepiej kupić dwa. Nie jest to obowiązkowe, jeżeli usługi internetowe wspierają drugą zapasową metodę weryfikacji, np. kod w wiadomości SMS. Wtedy po zgubieniu klucza i tak zalecam kontakt z pomocą techniczną w celu usunięcia go z naszego konta. W przypadku systemów operacyjnych nie będziemy mogli zalogować się do swojego środowiska pracy bez technicznej wiedzy. Niezbędne będzie stworzenie nowego użytkownika z linii poleceń i zalogowanie się na nowe konto. Poza tym nie widzę wad wynikających z używania kluczy Yubikey. Modele w wersji NEO wspierają NFC, więc możemy logować się do serwisów internetowych na smartfonie z wykorzystaniem fizycznego dotykania pozłacanego styku na kluczu — będzie to nasz drugi składnik logowania, bardzo bezpieczny i chyba niemożliwy do złamania.

AUTOR:Michał Giza
Podziel się

Dodaj komentarz