Úkol #33027
uzavřenýNákup HW - USB token
0%
Popis
Je potřeba zajistit nákup autentizačního tokenu USB v počtu 2 ks.
Dílčí úkoly 1 (0 otevřených — 1 uzavřený)
Související úkoly 1 (0 otevřených — 1 uzavřený)
Aktualizováno uživatelem Stanislav Štipl před asi 4 roky(ů)
Díky za založení, dle na základě požadavku Helči upřesňuji. Nemusí jít přesně o 2 kusy, ale o 1 až N kusů, kde 1 je Helča a N je velikost nějaké podmnožiny uživatelů, pro které by poskytnutí takového tokenu bylo odůvodnitelné.
S Helčou potřebujeme sdílet některé přístupové údaje, například ke správě domén. Čili by potřebovala mít OpenPGP klíč, pomocí kterého se takové údaje zašifrují a následně je bude moci pomocí privátního klíče uloženého na tokenu rozšifrovat. Samozřejmě toho je možné dosáhnout i s klíčem uloženým v Helči počítači, nicméně z uživatelského hlediska (nutnost pamatovat si passphrase vs. potřeba mít passphrase dostatečně silnou) i z hlediska bezpečnosti se jeví token jako lepší řešení. Dále by token měl umět FIDO2 pro druhý faktor na našem SSO. Pokud jde 2FA na systémech třetích stran, někteří poskytovatelé dosud podporují pouze TOTP, s čímž token také může pomoci, ovšem není to ono. Jako řešení splňující uvedené požadavky se jeví například aktuální verze Yubikey.
Obecně pak předkládám ke zvážení i pořízení tokenu dalším členům TO, případně dalším osobám, které mají vyšší oprávnění ve stranických systémech (například i v rámci AO). Já třeba token mám, ale starší verzi a u Pirátů jej nepoužívám (FIDO2 neumí a klíče chci mít odlišné), vím, že někteří členové TO ano, ale určitě to není pravidlem.
V případě kladného vyřízení prosím zároveň o rozhodnutí, jak to bude s tokenem v případě ukončení spolupráce s danou osobou, tedy zda token osobě zůstane, nebo zda zůstává majetkem strany. Toto by bylo dobré vědět předem kvůli nakládání s klíčem.
Aktualizováno uživatelem Jan Hamal Dvořák před asi 4 roky(ů)
- Typ práce smazán (
Fyzická práce)
Obecně souhlasím.
Obecně pak předkládám ke zvážení i pořízení tokenu dalším členům TO, případně dalším osobám, které mají vyšší oprávnění ve stranických systémech (například i v rámci AO).
Beru na vědomí. #33042
V případě kladného vyřízení prosím zároveň o rozhodnutí, jak to bude s tokenem v případě ukončení spolupráce s danou osobou, tedy zda token osobě zůstane, nebo zda zůstává majetkem strany.
Toto by bylo dobré vědět předem kvůli nakládání s klíčem.
Recyklace tokenů mi nepřipadá jako dobrá praxe a ačkoliv jsou poměrně drahé (cca 1200,- za kus), tak riziko chyby při jejich recyklaci z mého pohledu neodpovídá možné úspoře. Čili bych vydané tokeny nechal příjemcům.
Stejně není možné ponechat shodné sdílené heslo při odchodu člena týmu; mohl si ho kdykoliv zkopírovat.
Aktualizováno uživatelem Andrej Ramašeuski před asi 4 roky(ů)
recyklaci bych nevidel jako obzvlast problemovou. factory reset tokenu je standartni funkce. naopak, jako rizikovejsi vidim ponechani neresetovaneho tokenu osobam ktere nemaji narok - museli bychom dusledne cistit a revokovat jejich klice a t.d. ve vice mistech nez jen na tokenu.
Aktualizováno uživatelem Jan Hamal Dvořák před asi 4 roky(ů)
Nevěřím zařízení, které dám z ruky a nevěřím, že se z toho nedá nic dostat (např. přes fault injection), takže stejně musíme důsledně revokovat.
Ostatně Yubico to také nedoporučuje.
Aktualizováno uživatelem Jan Hamal Dvořák před asi 4 roky(ů)
- související s Podání #33227: Pořízení 5ks YubiKey 5 NFC přidán
Aktualizováno uživatelem Jan Hamal Dvořák před asi 4 roky(ů)
- Stav změněn z Nový na Dokončen
Dorazily. Mám je.