Yubikey (hardware authentication voor iedereen)

Een paar weken geleden hoorde ik voor het eerst over de Yubikey, een eenvoudige hardware authenticatie token die een USB keyboard emuleert en op die manier one-time-passwords genereert.

Eenvoudig idee, maar omdat je geen client software nodig hebt kun je het dus overal gebruiken waar je een USB toetsenbord zou aansluiten. Aangezien ik zowel Windows, Linux als Mac OS X veel gebruik lijkt me dit een ideale oplossing voor het steeds opnieuw moeten inkloppen van mijn password!

Naar ik begrepen heb maken ze alle software open source, authenticatieserver inclusief, want ze willen alleen de keys verkopen en geen abonnementsdienst. Het is dus mogelijk om gratis je eigen server te draaien, je kan ook gebruik maken van hun OpenID server en op die manier je Yubikey te gebruiken om je wereldwijd te secure authenticeren.

Ik ben alvast erg geinteresseerd in de Yubikey en wil er zeker een paar bestellen, al was het maar om een geinige nieuwe gadget aan mijn sleutelbos te hangen. Mijn vraag is dus of er iemand al ervaring heeft met deze dingen en met het inbouwen in applicaties als Achievo en misschien met het gebruik en de beschikbaarheid van een apache module.

Ik heb wat navraag gedaan, want op hun site doen ze alleen aan USD en Paypal. Betalen via overschrijving is geen probleem en de prijs in euros is €25,- inclusief BTW. Geen idee hoe dat precies zit met BTW in het buitenland overigens, moet je die hier dan alsnog betalen of is het genoeg om die daar te betalen?

[edit]
Ik heb er inmiddels 2 besteld om mee te spelen. Wanneer ik ze binnen en werkend heb post ik wel een update.

[ Voor 15% gewijzigd door Gerco op 13-05-2008 09:59 ]

Waarom zou het een probleem zijn als je een one-time key kan afluisteren? Dat kan met die RSA SecureID dingen namelijk ook en dat zijn maar 6 cijfers. Die one time keys werken omdat ze maar 1x geldig zijn, daarom heeft afluisteren geen zin.

Het enige waar ik vraagtekens bij heb is de time basedheid van de code. Bij de Yubikey krijg je wel steeds een andere code, maar die is niet gebonden aan de huidige tijd en datum (omdat de key die niet heeft). Die code kun je dus vziw best genereren en pas een half uur later gebruiken, zo lang er in de tussentijd niet nogmaals is ingelogd door de gebruiker is die code dus nog bruikbaar.

De RSA SecureID tokens zijn echt time-based en werken dus ook alleen in een klein window tussen het genereren ervan en het gebruiken. Gebruik je die code na een minuut of 2 pas, is hij niet meer geldig.

Ik heb de keys inmiddels binnen en ze werken prima. Ik heb gelijk van de gelegenheid gebruik gemaakt om Achievo te voorzien van Yubikey authenticatie met behulp van de Yubikey PHP client library. De patch is hier te downloaden: http://gdries.nl/achievo_yubikey.patch

Deze patch heeft de volgende extra configuratie nodig in config.inc.php:


Na het installeren van deze patch en de Yubico PEAR module van yubico.com kan ik met mijn Yubikeys inloggen op mijn urenregistratie. Ultiem natuurlijk

[ Voor 102% gewijzigd door Gerco op 29-05-2008 15:49 ]