2FA físico: Security Keys

Lecherito

#30 esto se está usando en todas y cada una de las empresas gordas (de software, que es lo que conozco) además de que estas cosas están hechas para durar años y años.

Como anécdota perdí mi yubikey a los 3 años y el backup funcionó easy

1
-S17-

Las yubikey son mano de santo si queréis usarlas en sitios privados como tu casa y en ningun sitio más. Usas una para el dia a dia y otra la tienes escondida para usarla como master key en caso de emergencia. No hace falta ni pasearlas en tu llavero ni tampoco tener una app de auth en tu último telefono de moda para que lo pierdas en el metro.

Thunderhawk

#27 Vale ya lo he entendido algo mejor, pensaba que seria algo tipo usb que vinculado o con alguna app que simplemente te guardaba contraseñas.. si esto al vincularlo con las webs en cuestion permitidas te hace de segundo autentificador obligatorio me vendra de perlas, realmente desconocia esto aunque ojala lo implementen en todas las webs posibles.. el autentificador que tengo de blizzard supongo que es un totp ya que es cacharrito que al darle al boton te genera un codigo como el del movil.. lo que me pregunto si algun dia se le acabara la pila, por que tendra 10 o mas años.. xD Y para el servidor veo que oermiten un par de aplicaciones ftp asique le pasare la idea a un colega aver si se puede hacer ya que yo no me encargo de esos asuntos pero ya tengo por seguro que me voy a comprar uno para mi que ya me robaron alguna vez alguna cuenta por culpa de la basura de hotmail y no quiero que me vuelva a pasar..

Ahora la duda que me entra.. para usarlo unicamente en el ordenador o talvez en el movil, cual me deberia cojer?

1 respuesta
AikonCWD

#33 Cualquiera. Siempre y cuando el movil tenga NFC podrás usalro en ambos dispositivos.

Sobre proteger un FTP con TOTP... http://www.proftpd.org/docs/contrib/mod_auth_otp.html
Debería ser fácil de implementar.

2
preguntitas

actualmente uso bitwarden como gestor de contraseñas, y como app de 2fa el Google authentificator, pero siempre he querido tener una de estas llaves por hardware. Algun día tendré una, aunque esa que te sobra...

Soy un pobre padre de familia numerosa que no te puede permitir este tipo de gadgets. Pago impuestos para pagar las pensiones de ahora, y mis hijos pagaran las vuestras, así que no estaría de más que la sociedad me devolviera lo mucho que estoy dando.

Tras el lloro pertinente, mandamela cuando puedas. XDD

1 respuesta
Flamazares

Joder, venía a pedir la llave de #1 pero el mensaje de #35 me ha llegado a lo más hondo... Dásela a él, por Dios!!

Gracias por el hilo, tenía ganas de ponerme al día con este tema y con todo lo que vais explicando se aprende mucho. Keep it up!

1 1 respuesta
preguntitas

#36 dios te bendiga y la virgen te ilumine con su luz.

B

Si lo peor de todo es que los bancos no permiten contraseñas de más de 6 caracteres... Es de coña

6 2 respuestas
FMartinez

#30 Lo dices por la duración de los datos en una de estas memorias, no ? Dicen que dura unos 10 años sin recibir alimentación, lo vas conectando de vez en cuando y listo. Si esta protegido contra humedad y asi deberia ir. Sobrecito y al vacío y listo xdd

FMartinez

Lo de usarlo como auth para usuario admin o root como lo veis? muy overkill ?

1 respuesta
AikonCWD

#38 Es que son la risa.

Los códigos de la visa de 4 dígitos. Los passwords de la web una basura y al parecer ni una puta web del banco soporta U2F/Yubikey: https://www.dongleauth.info/#banking

Con la de pasta que tienen y lo poco que les gusta ponerse a currar para mejorar sus infraestructuras.

#40 Siempre que puedas sortear la key ante una necesidad/emergencia... no lo veo overkill.

1
intelntl

Tengo 24 euros en la cuenta y soy autónomo. Si con eso no te convences....tendré mas suerte en la próxima vida xD

NSFW
p4l0m0

el otro dia me baje bitwarden y authy y la verdad que lo mejor que he hecho en mucho tiempo en cuanto a seguridad se refiere. super como colega... agregas cuentas y olvidate de darle al coco.

Tranc0s

#38 es lo que andaba pensando, hay algún banco que tenga un mínimo de seguridad? Yo tengo ING y la clave son 6 dígitos y encima solo tienes que poner 3, y el f2a es o por sms o por su app..

Tiene más seguridad mi cuenta de Steam que el banco o el broker.

1 1 respuesta
kassiusk1

#44 yo conozco openbank, abanca, caixabank y bbva y diría que son del mismo estilo que tu comentas

1
FMartinez

Estoy viendo que la compatibilidad con llaves U2F en android es nula... necesitas el google authenticator para poder usarlo en navegadores como firefox o chrome... sabeis alguna alternativa open source?

2 respuestas
B

#46 no sabía que pasaba eso. Si es una yubikey, ellos tienen su propio authenticator tambien. Mi yubikey 5 sí me funciona sin necesidad de ninguna app. (coméntalo en el hilo de las keys para que otros se enteren)
#614 no sabía que se podia configurar desde la web, es a nivel de todos los dispositivos supongo? En la extensión/app sí sale la opción Never

aLeX

#46 No es del todo así

1
Yekale7

No le veo la ventaja frente a la app de 2fa windows / android. Intentando convencerme de probarlo, pero lo veo engorroso una vez tienes configurado bitwarden + authy...

1 respuesta
7 días después
preguntitas

Tongo?

1 respuesta
FMartinez

Usariais la llave U2F como UAF? Es decir, la llave como unica medida para loguearte con tu usuario en el SO

La unica inconveniencia que le veo es que no tengas acceso a ella, porque sin duda es mas seguro que una contraseña.

1 respuesta
B

#50 mañana se la envio a #2
#51 para tu pc personal? no le veo sentido, a menos que tengas datos sensibles guardados y te preocupa que alguien te confisque el ordenador. El hecho de que lo tengas (casi) siempre en tu casa, ya de por sí es una gran medida de seguridad. Aparte de que si no cifras el disco duro, de poco te va a servir que securices el login con una llave (desconozco si windows lo hace).

1 1 respuesta
preguntitas

#52 loque yo decía, tongo.

No enserio, enhorabuena al agraciado, y gracias a ti por darnos la oportunidad. Se agradecen estos gestos.

B

#49

  • engorroso para loguear en cada sitio web
  • conveniente por tener un 2fa inhackeable, duradero y de fácil backup

Con las apps de f2a ocurre lo contrario, fácil de usar en el dia a dia pero difícil de evitar accidentes.

Por eso yo uso mi key en un único sitio: en mi gestor de contraseñas Bitwarden (para entrar via web o via extensión registrandome en un dispositivo nuevo). Y uso Bitwarden para generar mis tokens de 2fa.

2 1 respuesta
8 días después
FMartinez

#54 A ver cuando implementan U2F en la app de android

2 meses después
FMartinez

Esto de que las apps no soporten U2F y solo la version web es un atraso... Uso bitwarden y tutanota, y ninguno lo soporta. Llevan ya tiempo diciendo que lo implementarian y nada :S

Al final va a resultar mas comodo el TOTP.

3 meses después
ReEpER

Me acaba de salir una oferta de trabajo en yubico curioso verlo por aqui.

1 respuesta
AikonCWD

#57 pillala y nos regalas keys para todos.

Lecherito

Es una putada porque no en muchos sitios son soportadas las yubikeys (aqui por ejemplo)

1 respuesta
ReEpER

#59 passwordless es algo que todavia es "new" para la gente. Ahora estamos en la epoca del 2fa.

1 respuesta