¿Hay tokens de hardware TOTP similares a Yubikey sin software adicional? [cerrado]

Navega tus respuestas
2

Estoy buscando una manera de reemplazar mi teléfono como método 2FA. U2F no es universalmente compatible. La mayoría de los servicios que utilizo son compatibles con TOTP (Google Authenticator), por lo que pensé que Yubikey admitiría la carga del secreto TOTP y, al presionar un botón, de alguna manera detectaría el sitio web en el que estoy, generará el código e ingresará Software adicional involucrado. Al parecer, esto no funciona. ¿Pero podría? ¿O hay hardware que soporta este caso de uso?

    
pregunta bers 15.01.2017 - 12:59
fuente

2 respuestas

4

¿El token de hardware detecta el sitio web en el que se encuentra, genera un código apropiado y lo envía directamente sin que el usuario escriba nada? Eso suena mucho como u2f.

La razón por la que no ve esto ofrecido es la misma razón por la que solo algunos sitios admiten u2f: requeriría que el navegador interactúe directamente con el token de hardware, y en este momento solo Google Chrome puede conectarse Dispositivos USB. Otros proveedores no lo ven como una característica importante para incluir. Triste, porque soluciona el phishing más o menos por completo.

Entonces no, esto no existe como lo describe si no está dispuesto a usar u2f. Hay cosas como LastPass que pueden hacer algo de lo que pides, pero esa es una extensión del navegador, no un token de hardware.

    
respondido por el tylerl 15.01.2017 - 18:58
fuente
1

@tylerl no está completamente aquí. (Especialmente porque U2F requiere software adicional ;-) El yubikey puede trabajar independientemente del controlador y de cualquier sitio web. Así que el yubikey no detectará un sitio web, si no está en modo U2F.

Un yubikey completo tiene los siguientes modos:

  • PGP
  • U2F
  • modo yubico AES
  • HOTP
  • Respuesta de desafío (se puede usar como TOTP)
  • contraseña estática

Supongo que lo que estás buscando debería ser HOTP. Cuál es el modo basado en eventos definido en RFC 4226. TOTP se basa en HOTP y el contador es el tiempo.

Puedes inicializar el yubikey en modo HOTP y escribir la clave secreta en el yubikey. El yubikey funcionará como un teclado normal y emitirá el valor OTP cada vez que toque el botón. No importa si se encuentra en el sitio web correcto, en un navegador o en un bloc de notas. = > completamente sin ningún software adicional y completamente sin que el sitio web se preocupe por usted usando un yubikey.

Creo que solo hay dos desafíos aquí:

  1. El sitio web / aplicación donde desea usar esto debería ser compatible con HOTP, no solo con TOTP.

  2. El yubikey solo tiene dos ranuras para esto. Es decir. solo puede utilizar el yubikey con dos sitios web / aplicaciones.

respondido por el cornelinux 15.01.2017 - 19:41
fuente

Lea otras preguntas en las etiquetas

¿Puede mi empleador monitorear el uso de mi web en mi red doméstica? [duplicar] Restablecimiento de la contraseña: ¿ID de usuario y marca de tiempo firmados criptográficamente o valor generado aleatoriamente?