Yubikey

25. juni 2008 kl. 22:42 · arkiveret under Sikkerhed, Wordpress

Yubikey One-time Password generator Jeg hørte for et stykke tid siden et Podcast der bla. drejede sig om en enorm smart lille hardwaredims som kan generere engangskodeord f.eks til brug i forbindelse med loginsystemer. Dimsen hedder en Yubikey og jeg kunne slet ikke lade være med straks at bestille 2 stk.
Hardwaredimser er sjovere hvis man også har noget fornuftigt at bruge dem til, og da der desværre endnu ikke er så meget software der understøtter brugen af Yubikey så gik jeg selv i gang, og har nu fået kodet et Yubikey plugin til Wordpress

11 Kommentarer »

  1. Simon Josefsson skrev,

    30. juni 2008 kl. 17:35

    Bra jobb! Modulen var enkel att installera, men eftersom jag använde php4 behövde jag fixa HMAC-rutinen lite. Tack för att du publicerade koden, jag använder den till min blog nu!

    /Simon

  2. Bill Heese skrev,

    15. januar 2009 kl. 02:55

    I know I’m a bit late to the yubikey party but I am trying to get it to work with wordpress. I’m able to get the yubikey field to show on my login window… BUT I’m not real sure that my yubikey is actually being used for authentication. I cannot simply use my yubikey token to authenticate. Wordpress forces userID and password. If I do enter the yubikey key with the above credentials it does allow the login to proceed as well. Shouldn’t the yubikey due away for the need to enter a password?

  3. Henrik Schack skrev,

    15. januar 2009 kl. 06:15

    No the Yubikey is is meant to be an extra layer of security on the login process.

  4. Bill Heese skrev,

    17. januar 2009 kl. 19:22

    I understand that it is mean as an extra layer of security but then should in not prevent a user that does not enter the yubikey key from gaining access?

  5. Henrik Schack skrev,

    17. januar 2009 kl. 19:42

    Yes thats the way it works.
    Users with a Yubikey attached to their Wordpress profile are forced to use the Yubikey in order to login.
    All other users login as normal with username/password.

  6. Bill Heese skrev,

    17. januar 2009 kl. 20:07

    OK something is wrong then. I have a user that has a yubikey assigned to his profile. He can still log in without using his key.

  7. Henrik Schack skrev,

    17. januar 2009 kl. 20:15

    Hmm thats not really possible, are You sure the user remembered to change the Yubikey authentication settings from “Disabled” to “Use Yubico server” ?

  8. DarkFox skrev,

    28. juli 2009 kl. 12:44

    God idé, men jeg mener også at der mangler en mulighed for at vælge OTP-only login.

  9. DarkFox skrev,

    2. februar 2010 kl. 22:17

    Det ser ud til at dit plugin forhindrer login med xml-rpc.

    Ved dog ikke helt hvordan det kan løses uden at åbne for et sikkerhedshul.

    (Forresten så er det nu 2010 ;-) )

  10. Michael Noe skrev,

    4. februar 2010 kl. 17:55

    Hej

    Så lige tråden om YubiKey, og en eller anden skrev at der ikke findes så meget software endnu. Muligvis rigtigt.
    Men jeg har fundet et rigtigt godt system som bestemt er værd at tjekke ud. Se http://www.lastpass.com

    Her kan man opbevare alle ens passwords og alle oplysninger er krypterede når de forlader ens computer. Desuden kan man netop opnå ekstra sikkerhed ved at bruge YubiKey!

    Hilsen Michael

    2010

  11. Pierre skrev,

    21. maj 2010 kl. 22:27

    Hi,
    It could be interesting to have a French translation file in the plugin, I’m willing to provide it, who should I contact ? Best regards.

RSS feed med kommentarer til dette indlæg

Skriv en kommentar

Antispam: Hvilket årstal er det ligenu ?