Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Opensource passwordmanager met opensource two-factor authenticatie

25-03-2021, 19:31 door Anoniem, 24 reacties
Sommige password manager zijn opensource maar werken dan met yubikey als two-factor authenticatie.
Kennen jullie een opensource passwordmanager dat werkt met een opensource two-factor authenticatie of waarbij de two-factor authenticatie gratis is?
Reacties (24)
25-03-2021, 23:57 door Anoniem
Het is inderdaad erg armzalig dat zelfs Keepass (en die andere) van Yubi OTP geen gebruik maken maar alleen de HID functie nuttigen.

Hetzelfde geldt zelfs voor een serieus besturingssysteem als Qubes. Of OpenBSD. Wil je OTP moet je weer rommelen met modules en zelf scripts wijzigen.

Heel heel achtergesteld dit.
26-03-2021, 07:17 door Anoniem
je wilt het gratis, en kwalitatief heel goed, en ook snel. maar je mag er daar maar 2 van kiezen.
26-03-2021, 08:19 door Anoniem
https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.
26-03-2021, 10:36 door Anoniem
Door Anoniem: Kennen jullie een opensource passwordmanager dat werkt met een opensource two-factor authenticatie ... ?

Die van KeePassXC.org in combinatie met een FIDO2 USB-token van NitroKey.com of OnlyKey.io

KeePassXC.org Weimar, Duitsland
NitroKey.com Berlijn, Duitsland
OnlyKey.io North Carolina, USA
26-03-2021, 11:09 door Anoniem
Je hebt het eerder over open standaards dan open source als het gaat om 2FA-oplossingen, al zijn er open source-implementaties van sommige standaards. En hardware-tokens zijn nooit gratis, die kosten geld om te maken.

Door Anoniem: https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.
Lees vooral de FAQs. De volgende vragen en de antwoorden erop zijn denk ik vrij verhelderend over wat wel en niet mogelijk is:
https://keepassxc.org/docs/#faq-yubikey-2fa
https://keepassxc.org/docs/#faq-yubikey-why-hmac-sha1
https://keepassxc.org/docs/#faq-yubikey-otp
26-03-2021, 11:50 door Anoniem
Ik wil dus eentje zonder een USB stick (want die moet je aanschaffen). Maar eentje die bijvoorbeeld met gratis te installeren app werkt zoals de duo app bijvoorbeeld.
Yubikey token moet je aanschaffen.
26-03-2021, 12:42 door Anoniem
Door Anoniem: Yubikey token moet je aanschaffen.

Het alternatief is dat je zelf met de losse elektronica componenten, een microsoldeerbout en het flashen van de firmware voor het benodigde IC aan de slag gaat. Veel succes! Je bent nooit te oud om iets nieuws te leren :)
26-03-2021, 14:55 door Erik van Straten - Bijgewerkt: 26-03-2021, 15:02
Zoals min of meer blijkt uit de KeepassXC FAQ's genoemd door Anoniem 11:09 is het de vraag of je veel bereikt met 2FA. Vooral of het risico dat je niet meer bij jouw wachtwoorden kunt na verlies van één van de factoren, niet groter is dan het beoogde voordeel.

Immers, uiteindelijk gaat het om een encrypted database die is versleuteld met één statische sleutel (je zou natuurlijk 2x kunnen versleutelen met twee verschillende sleutels, maar waarschijnlijk kun je net zo goed een wachtwoord combineren met een ander geheim en dat samen gebruiken als input van een key derivation function - en met de resulterende sleutel 1x de database versleutelen).

Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Ik bedenk me net dat zo'n USB-stick ook handig kan zijn bij het invoeren van een deel van een lang pre-boot FDE (Full Disc Encryption) wachtwoord. Maar dan moet je die stick natuurlijk nooit bij de betreffende notebook bewaren als je die niet gebruikt...
26-03-2021, 15:22 door Anoniem
Google stuurt bijvoorbeeld naar je telefoon een melding wanneer je op je pc probeert in te loggen op je gmail na het invoeren van je wachtwoord.

Zon form van two factor auhtenticatie zoek ik.

Of dat je een SMS krijgt met een code met je mobiele nummer voor het gebruik van de password manager.
26-03-2021, 15:30 door Anoniem
Zou je om 2FA te implementeren ook een "keyfile" kunnen plaatsen op een extern medium (USB-stick, SD-kaart) dat dan als "tweede factor" kan dienen?
https://keepassxc.org/docs/#faq-keyfile-howto
Go to Database -> Database Settings -> Security.
There you click on Add Key File and then on Generate. Select the location (*) where to save the key file
(* toegevoegd): kan je daar ook een USB-stick of SD kaart aanwijzen als opslag locatie? En vervolgens deze apart bewaren? Uiteraard met een tweede exemplaar als backup.
26-03-2021, 15:45 door Anoniem
Door Anoniem: https://keepassxc.org/
Al moet ik wel zeggen dat ik de Yubikey challenge/response functionaliteit nooit heb gebruikt.
Ik kan je vertellen dat Keepass2 goed werkt met een Yubikey: password store alleen te openen met je sleutel in je PC

Q
26-03-2021, 16:03 door Anoniem
Ik raad iedereen aan een xID chip van Dangerous Things.

En nee ik heb er geen aandelen in.


Benjamin F.
26-03-2021, 16:03 door Anoniem
Door Anoniem: Het is inderdaad erg armzalig dat zelfs Keepass

Wanneer had jij voor het laatst een donatie gedaan aan de armzalige ontwikkelaar?
26-03-2021, 17:06 door Anoniem
bitwarden
26-03-2021, 17:45 door walmare
Voor al je domme internet accounts KeePass of Bitwarden.
Voor accounts die je echt niet mag verliezen geen password manager maar ssh keys (software token met passphrase )en bv yubikey
26-03-2021, 21:23 door Anoniem
Door Erik van Straten: Zoals min of meer blijkt uit de KeepassXC FAQ's genoemd door Anoniem 11:09 is het de vraag of je veel bereikt met 2FA. Vooral of het risico dat je niet meer bij jouw wachtwoorden kunt na verlies van één van de factoren, niet groter is dan het beoogde voordeel.

Immers, uiteindelijk gaat het om een encrypted database die is versleuteld met één statische sleutel (je zou natuurlijk 2x kunnen versleutelen met twee verschillende sleutels, maar waarschijnlijk kun je net zo goed een wachtwoord combineren met een ander geheim en dat samen gebruiken als input van een key derivation function - en met de resulterende sleutel 1x de database versleutelen).

Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Ik bedenk me net dat zo'n USB-stick ook handig kan zijn bij het invoeren van een deel van een lang pre-boot FDE (Full Disc Encryption) wachtwoord. Maar dan moet je die stick natuurlijk nooit bij de betreffende notebook bewaren als je die niet gebruikt...

Yubis gebruiken in statistische mode is zonde van het geld.

Dan is een Rubber Ducky nog goedkoper.

Of een 2 Euro memdisk van de Action waar je effe copy paste doet van een bestandje, plus je eigen aanvulling.

Net zo veilig.

OTP all the way... en veel OSS software heeft daar een serieus compatibility probleem mee inclusief pro Linux online diensten.
26-03-2021, 21:47 door Anoniem
Door Anoniem: Het is inderdaad erg armzalig dat zelfs Keepass (en die andere) van Yubi OTP geen gebruik maken maar alleen de HID functie nuttigen.

Hetzelfde geldt zelfs voor een serieus besturingssysteem als Qubes. Of OpenBSD. Wil je OTP moet je weer rommelen met modules en zelf scripts wijzigen.

Heel heel achtergesteld dit.
Bouw dan!
26-03-2021, 21:47 door Anoniem
Misschien heb ik de vraag niet goed begrepen, het staat er in ieder geval niet met zoveel woorden. Maar je kan natuurlijk (mocht je een smartphone hebben) ook een app gebruiken voor de 2fa. Bijvoorbeeld Authy.
27-03-2021, 08:07 door [Account Verwijderd] - Bijgewerkt: 27-03-2021, 08:09
Door Anoniem: Sommige password manager zijn opensource maar werken dan met yubikey als two-factor authenticatie.
Kennen jullie een opensource passwordmanager dat werkt met een opensource two-factor authenticatie of waarbij de two-factor authenticatie gratis is?

Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit. Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.
27-03-2021, 11:03 door Anoniem
Ikzelf gebruik al enige tijd Bitwarden als wachtwoord manager en sinds kort Authy als twee-staps-authenticatie.Gekozen voor Authy vanwege het mutli-device & desktop app.

Mijn stappenplan als ik ergens een account aan wil/moet maken:

1) Gebruik van standaardwachtwoord
2) Controleer of MFA mogelijk is, zo ja deze gelijk instellen en testen of het werkt
3) Backup toegang mogelijkheden controleren als ik onverhoopt geen wachtwoord meer heb
4) Standaardwachtwoord aanpassen naar een door Bitwarden gegeneerde wachtwoord

Waarom eerst een simpel standaardwachtwoord en niet gelijk een gegeneerd wachtwoord? Ik heb een account verloren doordat er iets niet goed ging met opslaan van wachtwoord in wachtwoordbeheer tool. En heb ook geen enkele mogelijkheid om toegang te verkrijgen.

Bottomline: Bitwarden & Authy!

Groetjes
B.
27-03-2021, 11:37 door Erik van Straten - Bijgewerkt: 27-03-2021, 11:53
Door Anoniem:
Door Erik van Straten: Als je niet telkens een lang wachtwoord wilt invoeren, zou je een USB stick kunnen gebruiken die een keyboard emuleert en een (eerder zelf gekozen) karakterreeks "uitspuugt" zodra je op een knopje op die stick drukt. Als je het daarmee getypte wachtwoord aanvult (handmatig op je reguliere keyboard) met een aantal (bijv. 4) karakters, heb je een soort 2FA waarbij je geen lang+ingewikkeld wachtwoord hoeft in te tikken en te onthouden.

Yubis gebruiken in statistische mode is zonde van het geld.

Dan is een Rubber Ducky nog goedkoper.
Een Teensy is nog goedkoper (en je kunt er nog veel meer mee doen: https://www.pjrc.com/teensy/projects.html).

Door Anoniem: Of een 2 Euro memdisk van de Action waar je effe copy paste doet van een bestandje, plus je eigen aanvulling.

Net zo veilig.
Anders. Tenzij je een geheugenstick NTFS formatteert en zo'n keyfile "verstopt" in geneste subdirs die niemand mag lezen (een beetje vergelijkbaar met C:\Windows\Temp\) en je het exacte pad moet kennen om de file te kunnen openen [*], kan alle software op jouw PC die keyfile uitlezen.

[*] Security by obscurity, zie bijv. https://isc.sans.edu/forums/diary/Discovering+contents+of+folders+in+Windows+without+permissions/25816/.

Aan de andere kant kan een keylogger alle toetsaanslagen meekijken, ook uit een geëmuleerd keyboard.

Een voordeel van beide is het tegengaan van schoudersurfers.

Door Anoniem: OTP all the way... en veel OSS software heeft daar een serieus compatibility probleem mee inclusief pro Linux online diensten.
Ik heb geen idee wat je hiermee bedoelt. Mocht je TOTP bedoelen: dat is zinloos (voor het beveiligen van een lokale wachtwoorddatabase).

Toelichting: stel je gebruikt KeePass/KeePassXC op een PC (Linux/MacOS/Windows) en zou Authy op jouw smartphone willen gebruiken. De software op jouw PC genereert een random "shared secret" en stopt dat lange getal in een QR-code. Na het scannen van die QR-code met Authy staat dat "shared secret" op zowel jouw PC als jouw smartphone. Dat "shared secret" wordt door zowel jouw PC als jouw smartphone met de actuele datum en tijd verhaspeld waarna het resultaat wordt ingekort tot een 6-cijferig getal. Als jij het 6-cijferige getal uit Authy invoert op jouw PC (en de klokken voldoende gelijklopen) "weet" de software op jouw PC dat de invoerder van die 6 cijfers over een device beschikt dat het "shared secret" kent.

Twee problemen:
1) Hoe koppel je dat laatste gegeven aan een statisch wachtwoord voor een versleutelde database?
2) Stel dat 1 zou kunnen: hoe voorkom je dat een aanvaller, naast de versleutelde database, ook het shared secret van jouw PC steelt?

Door Toje Fos: Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit.
Nee hoor, denk aan een deurslot dat de combinatie van een pincode, pasje en vingerafdruk vereist. TOTP is wel bedoeld voor authenticatie op afstand, maar er is meer MFA dan TOTP.

Door Toje Fos: Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.
Volgens die laatste redenering zou je ook geen wachtwoord in hoeven te voeren.

De reden dat je dat wel doet is niet om aan te tonen dat jij geautoriseerd bent om dat bestand te openen (want dat weet je wel), maar om te voorkomen dat anderen dat kunnen (die op de een of andere wijze in het bezit van die database zijn gekomen).

En dus kan MFA het aanvallers lastiger maken. Een probleem hierbij is dat een statisch versleuteld bestand geen dynamische protocollen als TOTP ondersteunt, maar dat één soort MFA niet werkt wil niet zeggen dat je geen andere oplossingen kunt bedenken (om het aanvallers lastiger te maken).
29-03-2021, 10:53 door Anoniem
https://gitlab.com/hsleisink/password
Voor de two-factor authenticatie kan je gebruik maken van willekeurige app die RFC 6238 ondersteund.
03-04-2021, 09:37 door [Account Verwijderd]
Door Erik van Straten:
Door Toje Fos: Multifactorauthenticatie lijkt me alleen zinvol voor het op afstand verifiëren van identiteit.
Nee hoor, denk aan een deurslot dat de combinatie van een pincode, pasje en vingerafdruk vereist. TOTP is wel bedoeld voor authenticatie op afstand, maar er is meer MFA dan TOTP.

Zoals je stelt zijn er inderdaad toepassingen waar dit wel zinvol is. Zoals de bankmedewerker die tijdens een gesprek even wegloopt en het pasje (token) uit de computer trekt.

Door Erik van Straten:
Door Toje Fos: Waarom zou je dat willen voor een wachtwoordbestand dat je in eigen beheer op je telefoon of computer hebt staan? Je weet immers wie je bent en waar je bent.
Volgens die laatste redenering zou je ook geen wachtwoord in hoeven te voeren.

Voor je eigen systeem waar jij alleen toegang toe hebt en er geen mogelijkheid voor remote toegang is? Nee, inderdaad niet. Totdat je het onbeheerd achter laat en er wel toegang van anderen mogelijk is. Dan weer wel.
03-04-2021, 20:31 door Anoniem
Gebruik wachtwoord EN key authenticatie, waarbij je de private key op een usb drive zet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.