我最近买了一个 Yubikey Neo——一个漂亮的小硬件第二因素身份验证设备。它主要用于一次性密码和新兴的 U2F 协议 - 但从 Yubikey 版本 2 开始,它也支持 HMAC-SHA1 质询-响应身份验证。HMAC-SHA1 结合了一个秘密密钥(存储在 Yubikey 中)并将其与密码短语结合以生成响应。
如何将 Yubikey 与我的 Ubuntu FDE 设置相结合,以将 2FA 与我的加密硬盘一起使用?
我刚买了一个 Yubikey 5 NFC,并按照他们在 Ubuntu 19.04 上的说明进行了设置。但我的首选用例是将密钥用作无密码选项(如果已插入;允许访问 - 如果不是;输入密码)。
我在这里和这里找到了一些关于这个的主题,但两者要么不适合 Yubikey,要么不适合 Ubuntu。而且我对这些东西太缺乏经验,无法盲目地摆弄设置,因为如果我做错了什么,我很有可能永远被锁定。
所以我知道 Yubikey 5 支持 Windows 的无密码登录,我认为它必须以某种方式在 Ubuntu 上可用,对吧?有没有人给我提示?
编辑:为下面提出的有效观点提供一些上下文,即此设置不会提高安全性,事实上,会降低安全性:是的,我知道,确实非常正确。然而,在我的情况下,我主要在我自己(安全的)家中工作,但我对非常复杂的密码持保留态度。然而,这让我变慢了,每次我的笔记本电脑闲置太长时间时,我都必须输入一个很长的密码,所以当我在家时,我希望能够只使用密钥,如果我不在,将钥匙留在家中,只需使用密码即可。
Edit2:感谢hackerb9的回答并再次运行Yubico安装步骤,我让它工作了。本质上,我所做的所有不同之处都是添加auth sufficient pam_u2f.so到/etc/pam.d/gdm-password和/etc/pam.d/sudo而不是@include common-u2f(这会导致auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue)。所以基本上只是删除authfile=/etc/u2f_mappings cue了诀窍。我不是 100% 确定,但我认为这是由于“设置冲突”造成的,因为我在尝试之前设置了密钥。
如何让 Ubuntu 14.04 识别用于 Google 帐户身份验证的 Yubikey NEO?
我有 yubikey NEO 和 Chrome 版本 46.0.2490.80。我已经在运行 Windows 8 的笔记本电脑上成功使用了该密钥。我想在几台 Ubuntu 机器上使用它来登录 Google。根据Yubikey 的说明,我创建了/etc/udev/rules.d/70-u2f.rules包含以下内容的文件:
ACTION!="add|change", GOTO="u2f_end"
# Yubico YubiKey
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1050", ATTRS{idProduct}=="0113|0114|0115|0116|0120|0402|0403|0406|0407|0410", TAG+="uaccess"
# Happlink (formaly Plug-Up) Security KEY
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0", TAG+="uaccess"
# Neowave Keydo and Keydo AES
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1e0d", ATTRS{idProduct}=="f1d0|f1ae", TAG+="uaccess"
# HyperSecu HyperFIDO
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="096e", ATTRS{idProduct}=="0880", TAG+="uaccess"
LABEL="u2f_end"
如果我然后尝试登录 Google,在输入我的密码后,我会看到 yubikey 的图片和一条错误消息,内容为An unexpected error occurred.
然后我尝试查看密钥是否正确识别自身。我拔下钥匙,重新插入,并从以下输出$ dmesg | …
如何安装https://www.yubico.com/support/downloads 的二进制版本为 Ubuntu。我正在使用 14.04 LTS。
[编辑]
还有如何修复 Google 帐户中的“发生意外错误”