Clé hardware 2FA, SSH... vous utilisez/recommandez quoi?

Salut à tous

En rebond au topic https://forum.chatons.org/t/7th-may-will-be-password-day/1165/6 et la réponse de @aselkim

On veut justement passer notre 2FA sur des clés, si vous avez des recommandation comme Onlykey que je ne connaissais pas.

Quand on avait fais nos recherches on s’était arrêté sur https://www.nitrokey.com/

Si vous avez des retours d’expériences :slight_smile:

2 « J'aime »

Sujet difficile car comparer la sécurité des différents devices requière une expertise technique pointue. J’ai porté mon choix sur OnlyKey en partie parce que la clé dispose d’un code PIN de déverrouillage ce qui apporte une couche de sécurité supplémentaire, surtout qu’on peut configurer la clé pour qu’elle s’efface au bout de X tentatives de dévérouillage.

Elle semble aussi offrir plus de fonctions que la NitroKey, ces derniers ont d’ailleurs connu des soucis sur certaines séries : https://github.com/Nitrokey/nitrokey-start-firmware/issues/14

De plus, il faudrait vérifier comment est géré l’entropie sur la NitroKey, sur la OnlyKey, le contact de l’utilisateur avec les touches PIN participe à l’entropie et est donc imprédictible.

1 « J'aime »

J’utilise des yubikey depuis pas mal d’années. Ça me convient dans mes besoins.

1 « J'aime »

À noter que depuis Yubikey v4, les yubikey ne sont plus entièrement basées sur du libre.

Cela n’a probablement pas aidé à identifier et corriger des failles de sécu annoncées sur cette version (YubiKey - Wikipedia mentionne d’ailleurs ). Je n’ai pas vu d’annonce que la v5 serait revenue à du libre.

Il n’y a pas à proprement parlé de «failles de sécurité» sur les Yubikeys v4. Mais plutôt un mauvais usage de ces clefs. Cela n’a rien à voir avec le fait que le ce périphérique soit en source ouverte ou non ou passé de l’un à l’autre. Jusqu’à présent, yubico procède par bug bounty.
Le mauvais usage est d’utiliser ces périphériques pour générer une clef. Or cela n’est pas conseillé car effectivement, l’entropie de ce type de système n’est pas suffisante, pour garantir la non reproductibilité d’une telle clé.
Préférez vos ordinateurs de bureaux pour faire cela :slight_smile: … et importez votre clé privée sur votre clé hardware préférée.
Jusqu’à preuve du contraire, il n’a jamais été rapporté qu’une Yubikey v4 ait été cassée AMHA.

Attention ça part du principe que vous faites confiance a la machine pour générer la clef. En général c’est le cas mais il vaut mieux se poser la question avant de le faire.

(perso j’utilise que des security key de yubiko donc j’ai pas le loisir de générer la clef sur ma machine. Apres c’est du 2FA donc il faut déjà passer le password (qui n’est généralement pas trivial saiuf pour la banque ou on a pas le choix)

Pour relier nos clef SSH en « toile de confiance » pour gérer le contenu de nos ~/.ssh/authorized_keys et permettre une « co-administration » de nos serveurs.
La procédure (en cours de standardisation) consiste à dériver sa clefs SSH en clef IPFS, et Duniter…

1 « J'aime »

J’avoue ne pas utiliser tout ça pour le moment, du coup vous utilisez ces clés comment ? vous stockez les clés privées sur la clé physique, ou juste comme 2FA avec FIDO2 ?