Schlagwort-Archive: FIDO Alliance

BitBastelei #167 – U2F mit PlugUp – 2-Faktor-Authentifizierung

BitBastelei #167 - U2F mit PlugUp - 2-Faktor-Authentifizierung

(280 MB) 00:13:00

2015-09-27 10:00 🛈

Anmelden im Netz ist für viele die selbe Methode: Nutzername, Passwort, fertig. Man nutzt also das eigene Wissen um die Anmeldung durchzuführen. Der Nachteil: Passwörter lassen sich kopieren – man kann nicht feststellen, wenn jemand Anders dies in Erfahrung bringt. In einigen Bereichen kommt daher ein so genannter „2nd Faktor“ zum Einsatz: Man nutzt neben dem Wissen um das Passwort auch einen Besitznachweis. Vielen Bekannt ist die Methode von Banken: Neben der PIN wird für Überweisungen vielfach der Besitz der Bankkarte kontrolliert. Leider sind deren Protokolle nicht frei verfügbar, entsprechend kann die Sicherheit nicht (vernünftig) überprüft werden. Auch einige Onlinedienste wie z.B. Google unterstützen ähnliches: Mit deren Handy-App Google Authenticator kann der Besitz des Handys abgefragt werden. Nicht hilfreich wenn man auf dem Handy selbst arbeitet, aber immerhin etwas.

Um dieses Gerätechaos zu beseitigen hat sich vor einigen Jahren die FIDO-Alliance gegründet, welche sich zum Ziel gesetzt hat einen einheitlichen, sicheren Zweitfaktor zu definieren. Ergebnis ist U2F, der Universal 2nd Factor. Hierbei besitzt man ein „Token“, welches per USB und/oder NFC an das jeweilige Endgerät angeschlossen wird. Im Token selbst befindet sich ein privater Schlüssel, mit dem nach Nutzerinteraktion eine Anfrage der Webseite signiert wird. Durch diese Methode kann ein hohes Maß an Sicherheit erreicht werden. Bekanntester Vertreter sind die YubiKeys, welche jedoch nicht unbedingt zu den günstigsten Geräten gehören. Auf der letzten Froscon wurde nun nach einem Vortrag gesponsorte U2F-Token verschenkt. Unter der Haube befindet sich das Gerät „PlugUp„, welches zwischenzeitlich in „HappLink“ umbenannt wurde. Zwar ist die Liste der U2F-kompatiblen Seiten leider überschaubar, aber einen Blick drauf werden kann man allemal.

Testseite: https://demo.yubico.com/u2f

#Based on https://code.google.com/p/chromium/issues/detail?id=427966#c19
SUBSYSTEMS=="usb", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0", SYMLINK+="plugup", TAG+="uaccess", TAG+="udev-acl", MODE="0664", GROUP="uucp"

Update 2016-06-17: Im Original stand MODE auf 0644 – in dem Fall hätte die Gruppe uucp allerdings keinen Schreibzugriff (und damit keine Authentifikation) auf das Dongle. Korrekt ist 0664.