Token Fido U2F in Ubuntu

Oramai FIDO/U2F si sta affermando come sistema antiphishing ed è stato standardizzato dal W3C. Il supporto in Chrome c'è stato dall'inizio, mentre in Firefox è stato aggiunto dalla versione 60.

Però il fatto che ci sia il supporto non vuol dire che funzioni sempre liscio...

Infatti il primo problema è che il browser non rileva il token anche se è inserito. Banalmente, udev assegna il nuovo device sconosciuto a root invece che all'utente.
Se si sa che si userà sempre e solo un token (o token di un determinato produttore), è facile aggiungere una regola in udev. Ma se si vuole una soluzione più generale, meglio installare https://github.com/amluto/u2f-hidraw-policy.git .
La compilazione richiede (oltre alla normale toolchain) anche libudev-dev . Un classico "make && sudo make install" risolve il problema dei permessi.

Però in Firefox ancora non funziona. Infatti il supporto c'è, ma di default è disattivato. Mah!
Bisogna quindi aprire un nuovo tab ed entrare nell'editor della configurazione andando all'URL about:config . Cercando u2f compare una sola voce, quindi basta fare doppio click per portarla su true.

A questo punto si può andare sul sito Yubico e testare il token.

Prossimamente proverò anche l'integrazione con pam, per proteggere l'uso di sudo.

Realizzato con Drupal, un sistema open source per la gestione dei contenuti