釣不到猴子的有人島民
@danny8376
好奇
Sun, Nov 20, 2022 11:05 AM
稍微玩了下... Yubikey OTP + NFC的話... 這設計有點爆炸啊
OTP裡面的斷電次數counter最多只能到2^15 到了那組OTP就廢了
雖然原本設計上USB上是接上電並實際用了才會+1
而且只要不斷電就不會再加 而是另外加session的counter
不過NFC的時候因為用NDEF所以只要NFC過一次就直接斷電次數+1
然後測試了下走NFC用WebAuthn的時候好像每次都會直接+2啊...
2^15已經不那麼多了 現在直接減半了(
歐 對了 如果放太久讓NFC嘗試讀第二第三甚至更多次的話也會一直加斷電counter
(測試了下 我的手機的話 WebAuth驗證完提示你可以拿開的時候會每半秒嘗試讀一次確定你拿走了 然後counter就一直加...)
掰噗~
@baipu
問
Sun, Nov 20, 2022 11:05 AM
平常不就是這樣嗎
??
機器狼📷毛拍修圖
@KMN_BOT
說
Sun, Nov 20, 2022 11:11 AM
智慧型手機真是改變了世界的大發明呢汪 (=´ω`=)
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:34 PM
2**15=32768;20 x 365.25=7305(每天登入連續20年) 別忘記你還有類似"記住我"的功能能用,所以以上種種,你在煩惱不存在的需求,其他硬體功能應該會先損壞才是(折到掉漆或是破損等等)
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:39 PM
再來就是案例的部分了,這種東西通常都能 reset ...
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 12:39 PM
well 一般使用確實不成問題
不過如果像我想搞奇怪的東西
比如說FIDO門禁的話...
你說多久會達到2萬次呢
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:40 PM
你認為你會在同間公司工作幾年換幾任老闆還有做同部門的工作多久?
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 12:41 PM
JokerCatz
: OTP確實能reset
唯一的例外是Yubikey出廠的那組OTP
用完就是用完了
你再生新的也不會是那組
如果真的遇到強制要求出廠OTP的那你就只能買新的了
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:42 PM
嘛,我是認為先把你的需求排出來,真的遇到也是人事重發一張罷了,人類啊,拿個東西超過10年損壞時不會感覺可惜,還會感覺新的不錯的
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 12:43 PM
JokerCatz
: 為什麼一定要是公司
不如說公司能讓你亂搞嗎
至少我能肯定我一天進出房門會超過10次啦
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:45 PM
那就是另外的案例了,為何你需要在房門弄一個沒辦法備份的東西哩,相關產品應該很多才是?你應該只是想嘗試是否能這樣做對唄?最終你會發覺單位成本太高 ... 然後只有自己開心而已
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:47 PM
N年前 yubi 系列方案我都跑一輪了,最終根本無法使用,包括採購等全部都是問題,打不贏便宜方案的啦 ... 這就是為啥現在 Google Auth app 還活著的原因,沒人想花那麼高的成本來解決不存在的問題哩
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 12:47 PM
JokerCatz
: 你沒看懂問題啊
用NFC開房門本身又不是用Yubikey OTP
但問題在Yubikey OTP只要保持預設啟動NFC協議的狀況下
你任何使用NFC的時候不管用不用他都是自動幫你用了
甚至用FIDO的時候你認證一次自動幫你刷兩個OTP
這才是坑人的地方啊
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:48 PM
那你就別選他們家的方案就好啦 ... 開房門那麼多東西能選,你自己開心還能用 flipper zero
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:51 PM
他們家的定位應該都是交易配 policy 類似多人審核的金鑰才是,真的會用的人保管的資產絕對大於那金鑰本身才是(我們家高端客戶也都再用的)
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 12:56 PM
我就正好是那個天天帶著yubikey來當2FA跟簽PGP然後想要減少手上鑰匙數量才來亂搞門禁的窮人
謝謝你提供我也知道能讓我鑰匙更大串的其他方案
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 12:57 PM
笑死
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:58 PM
嘛,其實討論到最後你應該只需要多帶一支 yubikey 或其他廠牌的備份就好了
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:59 PM
and 我單純以在商言商的方式和你討論罷了,不喜歡的話,抱歉啦
JokerCatz
@jokercatz
Sun, Nov 20, 2022 12:59 PM
l• ܫ•) Davyキュルッ
: 而 ... 你在笑什麼呢?
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:00 PM
是說為什麼還有要求要出場的 OTP 的情形哦? 我以為 OTP 就是一個不要求特定種子的東西……
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:00 PM
JokerCatz
: 我只是覺得你們的討論沒有交集很可愛wwww
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:03 PM
l• ܫ•) Davyキュルッ
: OTP 要看種類,最簡單的 TOTP 和 HOTP 根本就不是相同東西,而上面的 2^15 也是 secure spec 的一環,否則能無限重試
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:04 PM
FIDO 的話就又是另外的東西了 ...
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:04 PM
JokerCatz
: 我只是好奇他不是用完就 reset 重新登記嗎
為什麼還會有要求出場的 OTP 這種鬼
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 1:05 PM
l• ܫ•) Davyキュルッ
: 說真的現在連Yubikey OTP的存在都很稀有了啦
現在我唯一有真的在用Yubikey OTP的應該也只有Vultr?
要求出廠OTP的應該也很稀有
至少Yubico本身的API註冊一類的也沒要求
連我根本不是用Yubikey而是自己寫的generator生的code也能用
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:05 PM
對啊 要求是 yubico 的也太微妙WWWWWW
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:06 PM
l• ܫ•) Davyキュルッ
: 重點是 seed 會不會因為暴力破解的問題,也就是有人拿到你的 key 後用暴力的方式拿到你的 seed 之後仿造一支出來,用之前的 count 就能成功的意思
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:07 PM
JokerCatz
: 要求出廠設定才反而更容易被破解吧XD
雖然都是機率問題就是惹
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:08 PM
所以最簡單的方式就是限制使用次數,畢竟是離線使用的,所以我們家後來的 policy 都規定是連線的 OTP 才能知道是否有誤用或洩漏的問題
釣不到猴子的有人島民
@danny8376
Sun, Nov 20, 2022 1:09 PM
l• ܫ•) Davyキュルッ
: 也只是聽說有服務要求yubico出廠key而已
但我自己是沒遇到過,不如說用到yubikey otp的都很少了
但NFC這個問題主要在會不知不覺間讓Yubikey OTP廢掉
但要上傳key到Yubico又得要有已經註冊的OTP
但說實話會買的應該也都會有一隻備用的所以也不算問題倒是
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:10 PM
可能真的需要兩隻分開用途 OTP 的那隻自己獨立(ry
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:11 PM
anyway 你們有商務類似的需求的話可以參考我們家的 auth sec 方案(笑)
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:11 PM
AuthSec - 企業級的安全免密碼身份驗證
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:15 PM
JokerCatz
: 我們家自己有 zero trust solution XD
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:18 PM
所以能連線的話這主題的 NFC 就能變成備援方案才是 ...
l• ܫ•) Davyキュルッ
@david50407
Sun, Nov 20, 2022 1:19 PM
但人家就不是這個需求啊 他的 nfc 感應器就不是聯網的XDDDD
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:34 PM
只好 hack 一張連網的 NFC 卡了
JokerCatz
@jokercatz
Sun, Nov 20, 2022 1:43 PM
不過這話題讓我想到可能真的可以讓 NFC 卡增加連網的方式,
釣不到猴子的有人島民
你們家用哪牌的,我買個來連手機 NFC 看看,其實用合成 key 配線上簽章說不定能行
載入新的回覆
OTP裡面的斷電次數counter最多只能到2^15 到了那組OTP就廢了
雖然原本設計上USB上是接上電並實際用了才會+1
而且只要不斷電就不會再加 而是另外加session的counter
不過NFC的時候因為用NDEF所以只要NFC過一次就直接斷電次數+1
然後測試了下走NFC用WebAuthn的時候好像每次都會直接+2啊...
2^15已經不那麼多了 現在直接減半了(
歐 對了 如果放太久讓NFC嘗試讀第二第三甚至更多次的話也會一直加斷電counter
(測試了下 我的手機的話 WebAuth驗證完提示你可以拿開的時候會每半秒嘗試讀一次確定你拿走了 然後counter就一直加...)
不過如果像我想搞奇怪的東西
比如說FIDO門禁的話...
你說多久會達到2萬次呢
唯一的例外是Yubikey出廠的那組OTP
用完就是用完了
你再生新的也不會是那組
如果真的遇到強制要求出廠OTP的那你就只能買新的了
不如說公司能讓你亂搞嗎
至少我能肯定我一天進出房門會超過10次啦
用NFC開房門本身又不是用Yubikey OTP
但問題在Yubikey OTP只要保持預設啟動NFC協議的狀況下
你任何使用NFC的時候不管用不用他都是自動幫你用了
甚至用FIDO的時候你認證一次自動幫你刷兩個OTP
這才是坑人的地方啊
謝謝你提供我也知道能讓我鑰匙更大串的其他方案
為什麼還會有要求出場的 OTP 這種鬼
現在我唯一有真的在用Yubikey OTP的應該也只有Vultr?
要求出廠OTP的應該也很稀有
至少Yubico本身的API註冊一類的也沒要求
連我根本不是用Yubikey而是自己寫的generator生的code也能用
雖然都是機率問題就是惹
但我自己是沒遇到過,不如說用到yubikey otp的都很少了
但NFC這個問題主要在會不知不覺間讓Yubikey OTP廢掉
但要上傳key到Yubico又得要有已經註冊的OTP
但說實話會買的應該也都會有一隻備用的所以也不算問題倒是
只好 hack 一張連網的 NFC 卡了