3.4.1 Configuração para uso como autenticador de dois fatores (2FA)

Para serem utilizáveis, as regras do udev do sistema devem ser estendidas com regras específicas de chave. O seguinte mostra como estender suas regras do udev com o arquivo de regras do udev lib/udev/rules.d/70-u2f.rules fornecido pelo pacote libfido2 do (gnu packages security- token) e adicione seu usuário ao grupo ‘"plugdev"’ que ele usa:

(use-package-modules ... security-token ...)
...
(operating-system
 ...
 (users (cons* (user-account
               (name "your-user")
               (group "users")
               (supplementary-groups
		'("wheel" "netdev" "audio" "video"
                  "plugdev"))           ;<- grupo de sistema adicionado
               (home-directory "/home/your-user"))
              %base-user-accounts))
 ...
 (services
  (cons*
   ...
   (udev-rules-service 'fido2 libfido2 #:groups '("plugdev")))))

Depois de reconfigurar seu sistema e fazer login novamente em sua sessão gráfica para que o novo grupo esteja em vigor para seu usuário, você pode verificar se sua chave pode ser usada iniciando:

guix shell ungoogled-chromium -- chromium chrome://settings/securityKeys

e validar que a chave de segurança pode ser redefinida através do menu “Redefinir sua chave de segurança”. Se funcionar, parabéns, sua chave de segurança está pronta para ser usada com aplicativos que suportam autenticação de dois fatores (2FA).

3.4.2 Desativando a geração de código OTP para um Yubikey

Se você usa uma chave de segurança Yubikey e fica irritado com os códigos OTP falsos que ela gera ao tocar inadvertidamente na chave (por exemplo, fazendo com que você se torne um spammer no canal ‘#guix’ ao discutir sobre seu cliente de IRC favorito!), você pode desativá-lo através do seguinte comando ykman:

guix shell python-yubikey-manager -- ykman config usb --force --disable OTP

Alternativamente, você pode usar o comando ykman-gui fornecido pelo pacote yubikey-manager-qt e desativar totalmente o aplicativo ‘OTP’ para a interface USB ou, a partir do pacote ‘Applications -> Visualização OTP’, exclua a configuração do slot 1, que vem pré-configurada com o aplicativo Yubico OTP.

3.4.3 Exigindo que um Yubikey abra um banco de dados KeePassXC

O aplicativo gerenciador de senhas KeePassXC tem suporte para Yubikeys, mas requer a instalação de regras udev para seu sistema Guix e algumas configurações do aplicativo Yubico OTP na chave.

O arquivo de regras do udev necessário vem do pacote yubikey-personalization e pode ser instalado como:

(use-package-modules ... security-token ...)
...
(operating-system
 ...
 (services
  (cons*
   ...
   (udev-rules-service 'yubikey yubikey-personalization))))

Depois de reconfigurar seu sistema (e reconectar seu Yubikey), você desejará configurar o aplicativo de desafio/resposta OTP de seu Yubikey em seu slot 2, que é o que o KeePassXC usa. É fácil fazer isso por meio da ferramenta de configuração gráfica Yubikey Manager, que pode ser invocada com:

guix shell yubikey-manager-qt -- ykman-gui

Primeiro, certifique-se de que ‘OTP’ esteja habilitado na aba ‘Interfaces’, depois navegue até ‘Applications -> OTP’ e clique no botão ‘Configure’ abaixo de ‘Long Touch (Slot 2 )’ seção. Selecione ‘Challenge-response’, insira ou gere uma chave secreta e clique no botão ‘Finish’. Se você tiver um segundo Yubikey que gostaria de usar como backup, você deve configurá-lo da mesma forma, usando a chave secreta mesma.

Seu Yubikey agora deve ser detectado pelo KeePassXC. Ele pode ser adicionado a um banco de dados navegando até o menu ‘Database -> Database Security...’ do KeePassXC e clicando no botão ‘Adicionar proteção adicional...’ e em ‘Add Challenge-Response’, selecionando a chave de segurança no menu suspenso e clicando no botão ‘OK’ para concluir a configuração.