U2F Login mit USB-Stick

[BrotherJ]

Hallo,

ich will an meinem Laptop mit Buster einen Login in den KDE-Desktop mittels U2F und einem USB-Stick machen. Gefunden habe ich https://wiki.debian.org/pamusb. Nur leider geht das nur bis Jessie. Gibt es eine Lösung für Buster?

Grüße

BrotherJ

[uname]

Möchtest du es für einen einzelnen Benutzer (dich) oder für unterschiedliche Benutzer (mit unterschiedlichen zweiten Faktoren) verwenden?

Wenn du der einzige Benutzer bist würde ich eher auf eine Festplattenverschlüsselung mit Passwort setzen. Um den Aufwand zu minimieren kannst du beim Booten ja ein Autologin deines Benutzers aktivieren. Sicherer als keine Festplattenverschlüsselung in Verbindung mit U2F beim Login in den KDE-Desktop ist das allemal.

Falls du mehrere Benutzer hast: Vielleicht funktioniert es irgendwie mit Bluetooth: libpam-blue
Auch könntest du evtl. One-Time-Passwörter wie OTP verwenden. Es gibt auch Smartphone-Apps wie FreeOTP.

[KBDCALLS]

Die Pakete gibts garnicht mehr für Buster

• Code: Alles auswählen

  matthias@hannelore:~$ apt-cache madison libpam-usb pamusb-common
  libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main amd64 Packages
  libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main amd64 Packages
  libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main Sources
  libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main Sources
  pamusb-common |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main amd64 Packages
  pamusb-common |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main amd64 Packages
  libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian wheezy/main Sources
  libpam-usb |    0.5.0-4 | http://ftp.nl.debian.org/debian jessie/main Sources

[BrotherJ]

Möchtest du es für einen einzelnen Benutzer (dich) oder für unterschiedliche Benutzer (mit unterschiedlichen zweiten Faktoren) verwenden?

Wenn du der einzige Benutzer bist würde ich eher auf eine Festplattenverschlüsselung mit Passwort setzen. Um den Aufwand zu minimieren kannst du beim Booten ja ein Autologin deines Benutzers aktivieren. Sicherer als keine Festplattenverschlüsselung in Verbindung mit U2F beim Login in den KDE-Desktop ist das allemal.

Für mich selbst. Na ja, das Laptop steht zwischen vielen Personen, da hilft ein AutoLogin und Festplattenverschlüsselung absolut nix. Ich habe lange Passwörter und möchte mittels U2F einloggen. Das ist das gesteckte Ziel und nichts Anderes:

[KBDCALLS]

Das Problem ist aber an dem obegenannten ist seit 2011 keine neue Version erschienen, also ist das die letze Version. Und die läßt sich wohl nicht mehr kompilieren.

• https://wiki.ubuntuusers.de/Authentifiz ... USB-Stick/

• Da der ursprüngliche Entwickler pamusb nicht weiter unterstützt und die letzte angebotene Version 0.5.0 Version wegen veralteter Bibliotheken nicht lauffähig gemacht werden kann, kann zum Beispiel der Fork von Danesprite u.A. von GitHub heruntergeladen, entpackt [5] und kompiliert [4] werden.

Wenns Ubuntu betrifftdürfte das auch für Debian gelten.

[uname]

Für mich selbst. Na ja, das Laptop steht zwischen vielen Personen, da hilft ein AutoLogin und Festplattenverschlüsselung absolut nix.

Ich habe zwar nicht ganz verstanden was du damit meinst. Aber eine Anmeldung per USB-Stick ist, sofern du auf eine Festplattenverschlüsselung verzichtest, der reinste Witz.

[BrotherJ]

Für mich selbst. Na ja, das Laptop steht zwischen vielen Personen, da hilft ein AutoLogin und Festplattenverschlüsselung absolut nix.

Ich habe zwar nicht ganz verstanden was du damit meinst. Aber eine Anmeldung per USB-Stick ist, sofern du auf eine Festplattenverschlüsselung verzichtest, der reinste Witz.

Aha, tolle Meinung. Offen gesagt die Antworten von KBDCALLS finde ich super konstruktiv. Du zwingst mich da in eine Grundsatzdiskussion, die ich hier nicht weiterverfolgen möchte, weil destruktiv. Akzeptiere doch bitte einfach, ich habe eine Idee, die ich einfach versuche zu realisieren. Egal, ob Du das für einen Witz oder nicht halten willst. Okay?

Danke

[uname]

Wahrscheinlich hat der Programmierer das Interesse an 2FA über USB-Sticks verloren. 2FA wird heute meist über Smartphone-Apps realisiert. Im übrigen senken die Unsicherheit von Smartphone-Betriebssystemen, Smartphone-Apps, unverschlüsselten Transportwegen (bei SMS) und Vorurteilen z. B. gegen Google die Sicherheit nur gering bzw. eigentlichgar nicht, da Google vielleicht den individuellen, einmaligen OTP kennt, jedoch zeitgleich keinen physikalischen Zugriff auf den Rechner hat. Umgekehrt haben die "vielen Personen" in deiner Umgebung keinen Zugriff auf die Unsicherheiten der mobilen Infrastruktur. Nur du hast Zugriff zum Rechner und zu deinem Smartphone. Du könntest sogar OTP über unverschlüsselte E-Mails realisieren wenn du wolltest. Leider wird 2FA aber oft falsch verstanden. Nur wenn du kein Smartphone hast macht es Sinn einen Stick durch die Gegend zu tragen.

[KBDCALLS]

Was eventuell machbar wäre ein expliziter U2F Token zum Beispiel von Yubico. Die Software dazu ist in Debian zu finden, wie auch anderes für U2F Tokens.

• Code: Alles auswählen

  apt-cache search yubi 

• Code: Alles auswählen

  apt-cache search u2f

• https://github.com/Yubico

• https://blog.liw.fi/posts/u2f-pam/

• https://en.wikipedia.org/wiki/Universal_2nd_Factor

• https://de.wikipedia.org/wiki/Universal_2nd_Factor

• https://www.amazon.de/s/ref=nb_sb_noss? ... ywords=u2f

[BrotherJ]

Den hatte ich bereits gesehen. Wenn der ohne die spezielle Hardware auf normalen USB-Stick läuft, ja. Nur weiß ich das nicht.

[uname]

Ich habe noch mal geschaut. Du könntest auch einen normalen USB-Stick (mit beliebigen oder gar keinen Daten) nehmen und die Hardwareinformationen deines USB-Sticks in Verbindung mit einem Passwort als Schlüssel verwenden. Erscheint mir etwas Quick-and-Dirty aber die Kombination aus lightdm, xdotool, udev, gnupg2, USB-Hardwareinformationen und einem Passwort erscheint interessant. Wenn du keine Festplattenverschlüsselung verwendest sollte es für den laufenden Betrieb als 2FA ausreichend sein. Die Ubuntu-Anleitung musst du wahrscheinlichnur nur leicht anpassen (z. B. kein sudo).

https://askubuntu.com/questions/770367/ ... n-in-16-04

[BrotherJ]

Vielen Dank für Deine Unterstützung hierin.