Hace un mes que hice el pedido de las yubikey y siguen sin mandarlo ... madre mia. ¿Alguien mas esta esperando que hagan el envio?
#1021 Yo sigo esperando también. Pedido hecho el 3 de noviembre. El 15 de noviembre recibí este correo de ellos:
En teoría pone en el seguimiento de mi pedido que el 2 de diciembre se enviaba, pero estamos a 3 y aquí no se ha movido nada...
#1022 Yo tambien recibi ese correo. Hice mi pedido el 25 de octubre y pone "Expected to ship by November 30, 2022" pero nada.. Han muerto del exito con la promoción
#1023 Me han contestado. Básicamente dicen que puedo cancelar el pedido y me devuelven el dinero, o que hasta mediados de enero de 2023 nada. Quizás lo envíen antes, pero la fecha estimada es mediados de enero de 2023. Yo voy a esperar porque no tengo prisa, pero se va a dos meses y medio desde la fecha del pedido para que lo envíen...
#1026 Yo tambien esperare porque el descuento es muy grande y quiero usar las yubikey pero joder, madre mia sin comentarios. No estaban preparados para esta promoción desde luego.
Es que, qué prisas, ya os llegará
Es normal que no estuvieran preparados, no os quejéis por quejar tampoco, los pobres
Para los que estamos con las Yubikeys, @AikonCWD ha escrito este post que es muy interesante, aunque desgraciadamente ya no podemos contar con él por MV, ya que me genera dudas sobre si con KeePass (al ser en local) también sería necesario tener Internet para usar la Yubikey: Yubikey - Destripando sus secretos, ¿vale la pena?
No me mola eso que comenta de las llamadas al servidor de Yubikey y depender de sus servidores para utilizarlas. Si es como comenta, qué pasará si un día cesan su actividad?
#1032 gracias por compartirlo, no tenía ni idea de eso que se comenta, ni de esa página, asi que allí se fueron "todos" xD Se lo han montado bien jaja.
Yo también he hablado del tema aquí mismo https://www.mediavida.com/foro/hard-soft/2fa-fisico-security-keys-668550.
Empezaré a mirarme las alternativas pues.
#1032 pero que cojones es ese artículo, ni las claves privadas se mandan a los servidores de Yubico, ni dependes de los servidores de ellos para nada, vaya forma de inventarse un artículo sin saber nada del tema.
#1034 deberías leer la parte
Encriptación AES-128 (pinchazo final)
del enlace que han puesto. Es lógico que sea así.
Aunque menciona que yubi te da el SDK para que montes tu server de autenticación
Hostia... y yo que estaba tan agusto con mis yubikey. Aun asi tener la aplicacion en el movil, que es susceptible de ser hackeado.. no me hace gracia. Y tener un smartphone sin acceso a internet como solo uso de los codigos TOTP me parece algo engorroso xD
#1035 vamos a ver, el modelo de autenticación que se emplee en un servicio determinado depende del desarrollador no del usuario, las YubiKeys soportan una multitud de protocolos entre los cuales el más destacado es WebAuthn que es un estándar abierto y descentralizado.
Por alguna razón el autor del artículo decide centrarse exclusivamente en el protocolo de Yubico OTP, como si fuera el único que soporta aunque sea prácticamente irrelevante existiendo WebAuthn. Es cierto que cuando se fabrica cada YubiKey se guarda una clave en un slot del dispositivo y otra en los servers de YubiCloud, esta clave se usará cuando un desarrollador implemente un sistema de autenticación haciendo uso del API de YubiCloud, y en ningún otro caso más. Si un desarrollador en un entorno empresarial decide usar el protocolo de Yubico OTP podrá programar las YubiKeys de la empresa de tal forma que guarden en otro slot una nueva clave simétrica generada en el momento, que a su vez se guardará en un servidor de validación independiente de Yubico.
Si algún día los servidores de Yubico se caen, sólo afectarán a los servicios que usan Yubico OTP usando a su vez los servicios de YubiCloud, no a los servicios que usan WebAuthn, U2F, OATH, PGP... y sería responsabilidad del desarrollador establecer un plan de actuación en caso de que esto ocurriera, igual que si implementa un login usando Google SSO y algún día los servidores de Google mueren.
#1037 Entiendo entonces que si utilizo la Yubikey para abrir mi vault de KeePassXC (además de mi contraseña maestra) no habría problema? Haría falta Internet? Tengo KeePass bloqueado por firewall a las conexiones de Internet y preferiría seguir así
#1037 es decir, cogiendo la yubikey 5 como ejemplo (la más famosa), ésta soporta tanto FIDO2 WebAuthn, como el protocolo "propietario" Yubico OTP, y depende de cada sitio / app qué protocolo quiera implementar para éstas keys, verdad?
Lo acabo de comprobar en Bitwarden. Soportan ésto:
He podido registrar mi yubikey 5 tanto con la opción de YubicoOTP como con WebAuth. La diferencia en cuanto a funcionaldiades, es que con YubicoOTP puedes usar el NFC, con WebAuth no.
#1039 Recuerdo haber instalado bitwarden en el movil y con la yubikey 5, con nfc, registrar el dispositivo eh?
#1039 básicamente, y con la app de Yubico Authenticator también puedes usar la llave para cualquier servicio que acepte códigos TOTP (hasta un límite de 32). Y lo del NFC me extraña, WebAuthn sí que soporta NFC
#1041 sí, me he colado. Es depende del browser/plataforma que uses que no lo soporta.
En android solo funciona con Chrome 
#1038 supongo que KeePass usará un slot de la YubiKey para guardar una clave que usará a la hora de desencriptar la base de datos o algo así, ya que lógicamente KeePass no emplea ningún mecanismo de autenticación (y obviamente no requiere ni de los servers de Yubico ni de conexión a Internet).
EDIT: efectivamente, usa un protocolo de desafío-respuesta
¿Es posible sincronizar las contraseñas de Bitwarden con algún navegador web para autocompletar? ¿Para qué sirve Authy?
#1046 Si tiene extensión en firefox chrome y tal. Authy para generar los códigos de verificación del doble factor.
#1047 Authy sería para poder configurar MFA cuando la plataforma/web en cuestión no lo tiene disponible para usuarios? No termino de entender la utilidad que tiene.
8 días después
