Решения для passwordless login (Yubikey или аналоги)

А зачем тебе именно юби. Достаточно будет обычной флешки/сд карточки, с файлом ключа на ней.

А дальше копай, какой именно софт ты хочешь «разблокировать». Если это display manager, то кури ман по нему, как к нему прикручиваются разные аутентификации.

Yubikey потому, что его еще для 2FA на сайтах можно использовать и для менеджера паролей, а с NFC ещё и на мобиле. Удобно, когда всё в одном.

А так то, да, ключ хоть на дискету можно записать и разблокировать с нее. Я раньше хотел с али заказать RFID ридер и со смарткарты разблокировать, но теперь вот думаю о yubikey.

https://developers.yubico.com/yubico-pam/

Это я видел, непонятно поддерживается ли passwordless login. Там описано как сделать 2FA, и ещё есть мануал с использованием RADIUS сервера и вроде как 1FA. Поэтому и спрашиваю об историях успеха, но, видимо, придётся самому пробовать.

Ну так это зависит от того, что в /etc/pam.d написано. Если впишешь auth sufficient pam_yubico.so, то залогинит и без пароля.

Опасно это все, забудешь разок токен вынуть... Особенно если дома. Хоть пинкод должно спрашивать...

А почему не fingerprint reader, например?

Может тогда проще смотреть наличие mac адреса bluetooth/wifi твоего телефона в range? Если близко, то разблокировать.

По степени безопасности в целом это не сильно будет отличаться, но хотя бы меньше вероятность того, что ты его забудешь.

Такая функция уже реализована в KDE Connect.

Насчёт дома я не беспокоюсь. Мне больше на работе раздражает необходимость вводить пароль по двадцать раз на дню. Я всегда, когда встаю из-за стола, лочу комп и беру мобилу. Так что токен я, думаю, не буду забывать вытаскивать.

Бесят они меня, я мб косорукий, но с первого раза отпечаток у меня почти никогда не распознает. То слишком быстро провел, то не посередине, то руки потные.

А кстати нет ли под ведроид такой штуки, чтобы с телефона подтверждать логин на комп типа duo mobile, только открытой? И чтобы без сторонних сервисов, прямо по wifi?

Тогда бы по идее пришел, клацнул, тапнул на телефоне в аппу и сидишь работаешь, ушел - залочил.

Может тогда проще смотреть наличие mac адреса bluetooth/wifi твоего телефона в range? Если близко, то разблокировать.

Ну во-первых близко это понятие относительное — я могу в 5 метрах от компа стоять на стендапе, а комп должен быть залочен. А во-вторых мобила может сесть и т.д.

По степени безопасности в целом это не сильно будет отличаться, но хотя бы меньше вероятность того, что ты его забудешь.

Я мобилу легко могу дома забыть, а вот связку ключей от дома проблематично забыть — я дверь на ключ всегда запираю.

Надо просто много образцов вводить под разные условия. Я таки осилил нормальную работу отпечатка.

М.б. попробуй что-нибудь по типу смартфонного сканера, по которому не нужно водить, а только касаться?

https://images-na.ssl-images-amazon.com/images/I/615gyK2cz5L._SX466_.jpg

А если забыл телефон = вводишь полноценно пароль.

Могу еще такое предложить:

https://strelnikov.xyz/pub/pic/kde-connect-unlock.png

На смартфоне у меня тоже не всегда разблокируется из-за потных рук. Приходится пин вводить иногда.

Это да, бывает. У меня уже на автомате вытереть палец о джинсы, а потом брать телефон.

Так оно через вайфай работает, мобила с компом должны в одной сетке быть. Дома-то ещё норм, а вот на работе у нас мобилы в отдельной изолированной сетке сидят.

а вот на работе у нас мобилы в отдельной изолированной сетке сидят

У меня тоже, потому все мои устройства объединены в VPN.

А кстати нет ли под ведроид такой штуки, чтобы с телефона подтверждать логин на комп типа duo mobile, только открытой? И чтобы без сторонних сервисов, прямо по wifi?

Вроде как KDEConnect это умеет, но это не для меня.

Еще, кстати, вспомнил о таком возможном побочном эффекте. В KDE есть KWallet, в Gnome есть Gnome Keyring. При вооде пароля для логина они разблокируют связки паролей. Если настроить автовход, то потом нужно будет отдельно разблокировать эти штуки.

У меня тоже, потому все мои устройства объединены в VPN.

У нас за такое анально карают. Рабочая локалка сидит за файерволом с мониторингом трафика. Если VPN задетектят, то тебе устроят ататат. А когда я на банк работал, там в течении получаса тебя выкидывали на мороз за нарушение секюрити полиси.

Хочу просто вставлять токен в комп и разблокировать касанием.

Задолбаешься вставлять-вынимать. Тогда уже токен без проводов только.

При вооде пароля для логина они разблокируют связки паролей. Если настроить автовход, то потом нужно будет отдельно разблокировать эти штуки.

Ну вроде как с Yubikey они работают, т.е. максимум придется по ключу еще раз тапнуть.

https://wiki.archlinux.org/index.php/Pam_usb#Setting_up_the_PAM_module

auth    sufficient      pam_usb.so
auth    required        pam_unix.so nullok_secure

The sufficient keyword means that if pam_usb allows the authentication, then no password will be asked. If the authentication fails, then the default password-based authentication will be used as fallback.

https://developers.yubico.com/yubico-pam/

Так хочешь?

Во, похоже это то, что нужно

Короче, заказал я Yubikey. Посмотрим что из этого получится. По результатам отпишусь.

Жду результатов. Интересно.

Отписываюсь по результатам:

Настроить passwordless login с yubikey проще парёной репы.

Надо:

1. Установить libpam_u2f.so из их репы

2. Добавить в соответствующие конфиги pam (минимум для sudo и для login manager) строчку auth sufficient pam_u2f.so перед строкой @include common-auth

3. Добавить правило udev ACTION=="remove", ATTRS{idVendor}=="1050", RUN+="/bin/loginctl lock-sessions"

И всё, теперь для логина можно тапнуть по ключу или, если ключа нет, ввести пароль. Компьютер блокируется, когда вытаскиваешь ключ из usb порта.

CC aquadon

auth sufficient pam_u2f.so

Не пропущено ли здесь чего, типа параметра authfile? Я вставляю свой yubikey, и... логинюсь в вашу сессию?

Точно! Там еще ж ключ надо зарегистрировать свой.

pamu2fcfg > ~/.config/Yubico/u2f_keys

Иначе магии не будет.

Настройка на Fedira

Fedora)

Что-то я пропустил уведомление. Теперь прочитал. Спасибо, что отписал!