Yubikey koppelen aan meerdere diensten.

donderdag 30 september 2021 20:30

Acties:

0 Henk 'm!

Topicstarter

Wij hebben meerdere winkels met verkoop bali's waar pc's op staan. Deze verkoop bali's staan verdeeld op de winkelvloer in 3 verschillende winkels, klanten zouden ook bij deze pc's kunnen.

Nu gebruiken onze medewerkers al een tijdje een Yubikey om in te loggen in een PC. Nadat de Yubikey uit de USB poort van de PC wordt gehaald vergrendeld de PC automatisch waardoor klanten in principe geen mogelijkheid hebben om in de pc's te kunnen. Dit gaat goed en voor iedereen duidelijk.

Nu wil ik een stapje verder gaan, door in slot 2 van de Yubikey een vaste code (statisch password) te zetten waardoor de medewerkers in het kassa systeem kunnen inloggen. Dit betekent dat elke medewerker dus een "eigen" Yubikey heeft, met zijn eigen code om in het kassa systeem in te loggen. Uiteraard registreer ik iedere pc wel op iedere Yubikey.

Nu wil ik eigenlijk ook de KeePass database beveiligen met Yubikey. Ik heb diverse addons gevonden om een OTP password te laten generen zodat ik KeePass kom. Dit is me in principe ook wel gelukt maar het probleem zit hem in het volgende:

In Slot 1 van Yubikey zit de Windows (lokaal accounts) login en in Slot 2 (5 seconden druk op de knop) zit het statische wachtwoord voor het kassa systeem, voor iedere medewerker dus een ander statisch wachtwoord.

Wanneer ik OTP voor KeePass wil gebruiken, moet ik slot 1 of slot 2 gebruiken waardoor ik de configuratie van Windows login of het statisch password overschrijf?

Kan ik het voor elkaar krijgen dat ik slot 1 gebruik EN voor inlog van Windows EN om in KeePass te komen? Of desnoods slot 2!

Relevante software en hardware die ik gebruik:

- Inlog software voor Windows: Rohos Login Software in combinatie met Yubikey 5 NFC
- Yubico Key Manager
- Windows 10 (Alleen lokale accounts)
- KeePass 2.X
- Vendit (Kassa systeem). Heeft geen ondersteuning voor extra beveiliging. Een code of wachtwoord bepaald welke gebruiker is geselecteerd. Vandaar het statische wachtwoord.

Wat ik al gevonden of geprobeerd heb:

Ik heb al meerdere dingen geprobeerd, maar elke keer vraagt de software om slot 1 of slot 2 te overschrijven. KeePass OTP kan alleen op Slot 2 geconfigureerd worden (5 Seconden drukken), terwijl Rohos Login Software alleen op slot 1 geconfigureerd worden (1-2 seconden drukken) maar ik wil dus ook een statische code gebruiken voor de kassa software...

[ Voor 8% gewijzigd door wizzlewaxx op 30-09-2021 20:40 ]

zondag 3 oktober 2021 14:49

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Het makkelijkste, snelste en daarmee ook goedkoopste antwoord is: "koop een tweede yubikey". Dat kost 50 euro per persoon en dan ben je klaar.

Maar goed, dat is geen uitdaging dus daar komen we hier niet voor.

Maar ik moest het toch even geven want ik heb heb geen makkelijke antwoorden voor, wel een paar vragen.

OTP & Keepass. Ik weet niet zeker of ik begrijp wat je wil bereiken. Ik denk dat je al je gebruikers toegang wil geven tot dezelfde keepass database op grond van de OTP-fuctionaliteit van je Yubikey. Ik snap wel dat je probleem is dat je twee applicaties hebt die allebij die OTP-functionaliteit willen gebruiken maar dat ze elkaar overschrijven.

Is het een alternatief of het wachtwoord van het kassasysteem in Keepass te zetten? Medewerkers openen dan Keepass met hun yubikey en keepass logt vervolgens in op het kassasysteem. Dat heeft geen zin als je een gedeelde keepass database hebt.
Ik meen dat je in Keepass ook meerdere databases kan hebben, dus bv een persoonlijke database (met het wachtwoord voor de kassa) en een gedeelde database voor de hele groep.

Meerdere applicaties van dezelfde OTP-module gebruik laten maken is in theorie zeker mogelijk maar als de software sowieso begint met de configuratie te overschrijven (wat in in het algemeen verstandig is) dan houdt het wel op. Heel OTP is uiteindelijk gebaseerd op een lang geheim nummer dat zowel in je yubikey zit als in de applicatie. Hoe je dat te pakken krijgt en dan in meerdere applicaties instelt is vraag twee.

Ik ben bang dat veel antwoorden neer gaan komen op "gebruik andere software" en/of "gebruik een andere manier van authenticatie".

This post is warranted for the full amount you paid me for it.

zondag 3 oktober 2021 18:11

Acties:

0 Henk 'm!

wizzlewaxx

Topicstarter

Bedankt voor het meedenken @CAPSLOCK2000. Iedere medewerker heeft een eigen Yubikey dus er circuleren al zo'n 20 Yubikey's in het bedrijf. Daarbij hebben we 2 algemene Yubikey's wanneer medewerkers hun key zijn vergeten.

Een password in KeePass voor de kassa was geen optie omdat medewerkers elkaars password niet mogen weten van het kassa systeem. Tevens is het "lastig" als je even snel iets wil afrekenen en je moet je password uit KeePass halen. Ondanks dat het een aantal muisklikken zijn, is niet iedere medewerker even behendig met een pc/KeePass/Kassa etc...

Om op je laatste zin terug te komen... Het is inderdaad (deels) gelukt met andere software. We zijn een andere password manager aan het integreren in de systemen (PSone.PW) waarbij je meerdere Yubikey's kan registreren.

Iedere Yubikey en dus medewerker kan dan met OTP in PSone.PW komen zodat iedere medewerker de gedeelde database in kan zien om in te loggen in systemen. Een gedeelde database is essentieel doordat er meer dan 100 inlogs in de database staan. Wachtwoorden van deze systemen moet om de maand veranderd worden.

Wanneer je dus met een "persoonlijke" of iedere medewerker zijn eigen database gaat werken en er is een wachtwoord veranderd, moet dat dus in iedere database veranderd worden waardoor de foutmarge alleen maar groter wordt.

Op mijn test systeem heb ik het met 2 test Yubikey's nu voor elkaar om dus met 1 Yubikey:

1) In te loggen in de Windows Pc's
2) In te loggen in PSone.PW

Beide dus met OTP

En 3) in te loggen met een static password in het kassa systeem door 5 seconden op de Yubikey te drukken.

Komende week ga ik de systemen voorbereiden en kijken hoe dit in de praktijk werkt!

Vraag

Alle reacties