Finally got my solokey V2s. I'm pretty happy with it, but I did find 1 issue with it. It seems like, if I connect a key to an account using my computer, my phone will not be able to connect to it using NFC?

I can still connect to it using my USB-A to USB-C adapter, but I was wondering if there was something else I could do.

#u2f #SoloKeys #SolokeyV2 #Solokey

What de.fac2 ? Attacking an opensource U2F device in 30 minutes or less.

https://media.ccc.de/v/camp2023-57244-what_de_fac2_attacking_an_opensource_u2f_device_in_30_minutes_or_less

https://piped.adminforge.de/watch?v=DKAxW8W_XkE

Hardware #FIDO #U2F tokens are security devices which are meant to defend user second factor keys from physical and remote attacks.
In this presentation different security features and implemented by FIDO U2F tokens and how they are meant to protect a user from various attack scenarios.
We will focus on the open source implementation of FIDO U2F token developed and Common Criteria certified by Federal Office for Information Security (BSI).
Having access not only to the source code of the token applet, but the certification documents as well gives a unique opportunity of
Finally, a design flaw in the solution is discussed (CVE-2022-33172) and an attack on hardware token security feature will be presented, which could allow an attacker in control of user PC to fake user presence and execute a number of unauthorized sensitive operations.

#CCC
#sicherheit

Codethink has just published a simple extension for the FOSS single-sign-on solution Keycloak. It may have a very simple code-base, but adds important functionality: requiring our users to enable 2-factor authentication, but giving them the choice of method – time-based OTP or U2F with a Yubikey.

We hope other organisations find it useful in embedding security best practices into their workflows.

Have a look or contribute at: https://gitlab.com/CodethinkLabs/keycloak-provider-allow-otp-or-webauthn

#OpenSource #Keycloak #u2f #2fa

@tulpa Good points.

It's still a slightly different threat model than a password since you'll lose it rather than forget it (or it'll be stolen rather than shoulder-surfed)

#infosec #totp #fido2 #u2f

Since I'm talking about #infosec today, I'll give my unpopular opinion: #TOTP is worthless, unless you have really bad password practices.

The seed is just another secret number. One which can't even be stored as a hash on the service end, because the service needs it to calculate the code.

It can be phished without too much trouble.

It's more likely to lock you out when you lose it, than stop bad guys.

Use #FIDO2 / #U2F or go home.

@dd Bei mir sind mehrere #SoloKeys im Einsatz. Ausschlaggebend waren Open-Source-Hardware und Open-Source-Firmware. Bei den verbreiteten YubiKeys kann man einen mit alter Firmware erwischen und ein Update ist dann nicht möglich.

#u2f #fido2

ING wprowadziło obsługę kluczy U2F! A my o 12:00 rozdajemy klucze…

Stało się! Mamy pierwszy ogólnopolski bank, który właśnie umożliwił wszystkim swoim klientom ochronę kont przed przejęciem przy pomocy kluczy U2F. Jeśli jesteś klientem ING i wiesz czym jest klucz, to jak najszybciej dodaj go sobie w ustawieniach bezpieczeństwa (instrukcja poniżej). Jeśli klucza jeszcze nie masz, to rozważ jego zakup w naszym sklepiku, bo ze względu na udostępnienie wsparcia kluczy U2F przez ING zrobiliśmy z Eprinusem, dystrybutorem kluczy U2F marki Yubico, specjalną akcję:

Dla pierwszych 10 osób, które kupią dowolny klucz U2F dziś dziś (4 lipca) po godzinie 12:00, dorzucimy jeden klucz Yubico 5 NFC gratis. Decyduje kolejność zamówień, którą my widzimy w naszym sklepie i jedna osoba może z tej opcji skorzystać tylko raz.
Dla kolejnych 10 osób, do zamówienia dorzucamy długopis i smycz Yubico
A do wyczerpania zapasów, do każdego zamówienia dorzucamy “skórkę” na klucz.

Jeśli chcesz skorzystać z tej akcji, poczekaj do 12:00 i złóż zamówienie tutaj.
Nie wiesz czym jest klucz U2F i dlaczego warto go mieć, nawet jeśli nie jest się klientem ING? To czytaj dalej! Bo ten klucz pomaga ochronić przed przejęciem konta GMail, Facebooka, Githuba, Twitterze i setki innych, w tym w kilku bankach spółdzielczych. Warto go tam skonfigurować zarówno sobie, jak i najbliższym, zwłaszcza tym mniej świadomym zagrożeń.
Czym jest klucz U2F?
To urządzenie podobne do pendrive, które w 100% chroni przed atakami phishingowymi wyłudzającymi na podrobionej stronie dane dostępowe do konta takie jak login, hasło czy jednorazowe kody dwuskładnikowego uwierzytelnienia. Tak! Te kody, które przychodzą SMS-em lub są generowane przez aplikację typu Google Authenticator da się wyłudzić i przejąć Twoje konto! Dopiero zabezpieczenie go kluczem U2F nie pozwoli przestępcom pozyskać drugiego [...]

#Banki #ING #U2F
https://niebezpiecznik.pl/post/ing-wprowadzilo-obsluge-kluczy-u2f/

Who else is interested in trusted computing for cypherpunks?

https://tech.michaelaltfield.net/2023/02/16/evil-maid-heads-pureboot/

#linux #Coreboot #HEADS #Qubes #Whonix #Fedora #Xen #tor #u2f #FIDO #computers #crypto #PGP #attestation

Just tried to log in to several services on my Pixel 6a where I have multiple U2F security keys defined. None of them work on the phone but they still work fine on desktop. Instead of the usual security key dialog it now pops up a QR code and asks me to scan it "with the device containing the passkey for this service". It *looks* like Google's push for passkeys everywhere has broken plain U2F - physical keys aren't working. Anybody else seeing this?

#u2f #fido2 #yubikey

Mein neuer Artikel im #FedoraMagazine beschreibt wie du deine #LUKS Partition alternativ zum Passwort mit einen #TPM2 chip oder #FIDO #U2F hardware security token entschlüsseln kannst. Auf #Fedora bietet sich dazu #systemd #cryptenroll an.

https://fedoramagazine.org/use-systemd-cryptenroll-with-fido-u2f-or-tpm2-to-decrypt-your-disk/ [englisch]

This article shows how to use [#systemd #cryptenroll together with] either a #TPM2 chip or a #FIDO #U2F security key as an alternative factor to the passphrase when unlocking your [Linux] #LUKS partitions.

https://fedoramagazine.org/use-systemd-cryptenroll-with-fido-u2f-or-tpm2-to-decrypt-your-disk/ #encryption #fedora

#2FA #MFA, #OTP, #SMS, #U2F, WTF ?!

Multifaktor-#Authentifizierung ist sehr gut !!

Der Benutzer kann mit seinen Zugriffsrechten als Einfallstor für Angriffe dienen, ohne dass echte Schwachstellen in der Software bestehen. Angriffe über Phishing, Man-in-the-Middle, Keylogger und co. sind nichts neues, mit der wachsenden #Digitalisierung aller Lebensbereiche wird allerdings die Angriffsfläche größer, zusätzlich entwickeln auch die Angreifer ihre Tools weiter, damit steigt auch die Intensität. Diese Angriffe ließen sich "eigentlich" verhindern, wenn für die Anmeldung nicht nur ein Passwort, sondern auch ein zweiter Faktor Vorraussetzung gewesen wäre, so dass ein Benutzer zusätzlich zu seinem Wissen über das Passwort z.B. einen weiteren Faktor nutzen muss,

Der Vortrag mit Demo soll die verschiedenen Technologien erklären, aufzeigen, gegen welche Angriffe sie schützen können und anhand verschiedener Angriffs-Szenarien die Möglichkeiten vergleichen.
#Passkeys

https://www.youtube.com/watch?v=nZLax4UsGrg

https://media.ccc.de/v/gpn21-23-mfa-otp-sms-u2f-wtf-multifaktor-authentifizierung-ist-sehr-gut-

#2FA #MFA, #OTP, #SMS, #U2F, WTF ?!

Multifaktor-#Authentifizierung ist sehr gut !!

Der Benutzer kann mit seinen Zugriffsrechten als Einfallstor für Angriffe dienen, ohne dass echte Schwachstellen in der Software bestehen. Angriffe über Phishing, Man-in-the-Middle, Keylogger und co. sind nichts neues, mit der wachsenden #Digitalisierung aller Lebensbereiche wird allerdings die Angriffsfläche größer, zusätzlich entwickeln auch die Angreifer ihre Tools weiter, damit steigt auch die Intensität. Diese Angriffe ließen sich "eigentlich" verhindern, wenn für die Anmeldung nicht nur ein Passwort, sondern auch ein zweiter Faktor Vorraussetzung gewesen wäre, so dass ein Benutzer zusätzlich zu seinem Wissen über das Passwort z.B. einen weiteren Faktor nutzen muss,

Der Vortrag mit Demo soll die verschiedenen Technologien erklären, aufzeigen, gegen welche Angriffe sie schützen können und anhand verschiedener Angriffs-Szenarien die Möglichkeiten vergleichen.
#Passkeys

https://media.ccc.de/v/gpn21-23-mfa-otp-sms-u2f-wtf-multifaktor-authentifizierung-ist-sehr-gut-

@AnthonyCollette So, 32 random characters in the low-order ASCII set should suffice?

Wait, why are we still using "passwords" again? Don't we have cryptographically secure mechanisms? (Pretty sure we do.)

[I haven't had to run monitoring (fail2ban), pointlessly obfuscate port numbers, or just worry about SSH since I switched to only permitting cryptographic authentication… with 8192-bit RSA (these days, elliptic curve) around the mid-90's.]

https://webauthn.io #WebAuthN #U2F #security

@vkc Maybe throw in there somewhere that #PayPal supports using *a* #2FA hardware key. That’s right, just one. You can’t add a backup. Lose the one and you’re screwed.

/cc @yubico
#security #infosec #cybersecurity #MFA #WebAuthn #FIDO #FIDO2 #U2F #YubiKey

Odnośnie burzy z #2fa, przypominam nieśmiało, że #u2f istnieje #yubikey etc https://medium.com/@bluszcz/hyperfido-mini-u2f-with-ubuntu-16-04-2bba91bc9d8a

Schreibe momentan an einem Artikel zu FIDO2 / U2F Sicherheitsschlüsseln wie SoloKey2, YubiKey5 oder NitroKey3.

Es wird darum gehen wie diese Keys mit standard tools eingerichtet und für Login in Linux oder OpenSSH eingesetzt werden können (am beispiel Fedora Linux). Vielleicht nehme ich auch gleich LUKS decdyption mit auf, sonst kommt das hinterher

Habt ihr ein besonderes Interesse bzw. Fragen auf die ich besonderen Wert legen soll?

#fido2 #u2f #fedora #fedoralinux #pam #openssh #luks

I'm afraid to post this in case hackers take note but... #Banks in NZ have terrible online security. I don't know if this is a global issue in other countries too.

https://ryan.kurte.nz/doesmybank/

Half the major banks have only max 15/16 character passwords, and NONE support #TOTP or #U2F (#yubikey etc)

Sofern möglich, ist es empfehlenswert, die Zwei-Faktor-Authentisierung (2FA) für eure Online-Zugänge zu aktivieren. Ob TOTP, U2F (FIDO2) ist Geschmacksache. KeePassXC|DX hat TOTP bereits integriert.

Sinnvoll, das TOTP dann getrennt zum Passwort zu verwalten. Bspw. KeePassXC am PC mit Username/Passwort und am Smartphone dann das dazu passende TOTP.

#sicherheit #security #TOTP #U2F #FIDO #FIDO2 #keepassxc #keepassdx

[#Veille] La version 112 de #Firefox désactive par défaut l'API javascript de #U2F au profit de #webauthn

Pour continuer à l'utiliser, il faut passer par about:config et la clé security.webauth.u2f

(Ceci est aussi une note pour moi-même)