Yubikey

Yubikey One-time Password generator Jeg hørte for et stykke tid siden et Podcast der bla. drejede sig om en enorm smart lille hardwaredims som kan generere engangskodeord f.eks til brug i forbindelse med loginsystemer. Dimsen hedder en Yubikey og jeg kunne slet ikke lade være med straks at bestille 2 stk.
Hardwaredimser er sjovere hvis man også har noget fornuftigt at bruge dem til, og da der desværre endnu ikke er så meget software der understøtter brugen af Yubikey så gik jeg selv i gang, og har nu fået kodet et Yubikey plugin til WordPress

14 kommentarer til “Yubikey

  1. Bra jobb! Modulen var enkel att installera, men eftersom jag använde php4 behövde jag fixa HMAC-rutinen lite. Tack för att du publicerade koden, jag använder den till min blog nu!

    /Simon

  2. Bill Heese siger:

    I know I’m a bit late to the yubikey party but I am trying to get it to work with wordpress. I’m able to get the yubikey field to show on my login window… BUT I’m not real sure that my yubikey is actually being used for authentication. I cannot simply use my yubikey token to authenticate. WordPress forces userID and password. If I do enter the yubikey key with the above credentials it does allow the login to proceed as well. Shouldn’t the yubikey due away for the need to enter a password?

  3. Bill Heese siger:

    I understand that it is mean as an extra layer of security but then should in not prevent a user that does not enter the yubikey key from gaining access?

    • Henrik Schack siger:

      Yes thats the way it works.
      Users with a Yubikey attached to their WordPress profile are forced to use the Yubikey in order to login.
      All other users login as normal with username/password.

  4. Bill Heese siger:

    OK something is wrong then. I have a user that has a yubikey assigned to his profile. He can still log in without using his key.

  5. Henrik Schack siger:

    Hmm thats not really possible, are You sure the user remembered to change the Yubikey authentication settings from “Disabled” to “Use Yubico server” ?

  6. DarkFox siger:

    God idé, men jeg mener også at der mangler en mulighed for at vælge OTP-only login.

    • Henrik Schack siger:

      Nu har det hele tiden været min mening at lave et multifactor authentication plugin, så det ville jo være lidt imod det oprindelige formål med mit plugin at lave noget der giver dårligere sikkerhed.

  7. DarkFox siger:

    Det ser ud til at dit plugin forhindrer login med xml-rpc.

    Ved dog ikke helt hvordan det kan løses uden at åbne for et sikkerhedshul.

    (Forresten så er det nu 2010 ;-) )

  8. Michael Noe siger:

    Hej

    Så lige tråden om YubiKey, og en eller anden skrev at der ikke findes så meget software endnu. Muligvis rigtigt.
    Men jeg har fundet et rigtigt godt system som bestemt er værd at tjekke ud. Se http://www.lastpass.com

    Her kan man opbevare alle ens passwords og alle oplysninger er krypterede når de forlader ens computer. Desuden kan man netop opnå ekstra sikkerhed ved at bruge YubiKey!

    Hilsen Michael

    2010

  9. Pierre siger:

    Hi,
    It could be interesting to have a French translation file in the plugin, I’m willing to provide it, who should I contact ? Best regards.

Skriv et svar

Din e-mailadresse vil ikke blive offentliggjort. Krævede felter er markeret med *

Disse HTML koder og attributter er tilladte: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>