Optimum Unknown'dan yarı takma isim yapımcısı Josh, Arduino veya uyumlu bir homebrew iki faktörlü kimlik doğrulama dongle'ı bir araya getirdi - ve yük enjekte eden Bad USB projesindeki ilhamı göz önüne alındığında, cihaza İyi USB adını verdi.
Josh, projesinin çözmeyi amaçladığı sorun hakkında "İki faktörlü kimlik doğrulamayı kullanmak, çevrimiçi hesaplarınıza ekstra koruma eklemenin harika bir yolu" diye yazıyor. “Telefonunuzda [kodları] aramak ve önemli bir çevrimiçi hesaba her eriştiğinizde bunları yazmak bir acıdır. Kodu bulmak ve süresi dolmadan önce yazmak için her zaman biraz zaman baskısı vardır. Kodu yanlış yazmak kolaydır. Yanlış yazdığınızda her şeye baştan başlamanız gerekir.”
Acıyı dindirecek ticari cihazlar olsa da, Josh bunların her birinin maliyetinin yaklaşık 50 dolar olduğuna dikkat çekerken, kimlik doğrulaması için gereken kodu otomatik olarak doldurabilen yazılım tabanlı alternatifler saldırılara karşı savunmasızdır. Çözüm: Ortak düşük maliyetli donanım ve açık kaynak kodu kullanılarak oluşturulan, özel olarak oluşturulmuş iki faktörlü bir kimlik doğrulama dongle'ı.
Josh, "Bilgisayarınıza bağlı bir klavye gibi davranabilen bir Arduino'ya ihtiyacınız olacak" diye yazıyor. “Arduino Leonardo, SS Micro ve BadUSB ile iyi şanslar elde ettim. Güzel görünümlü bir USB çubuğu olduğu için BadUSB'yi seviyorum. Bunlar sıklıkla hain amaçlar için kullanılır, ancak bunun yerine onları iyilik için kullanıyoruz ve bu yüzden bu projeye İyi USB adını verdim.”
"Arduino, bilgisayarınızda çalışan bir yardımcı uygulama ile çalışır. Tamamlayıcı uygulama, Arduino'ya hangi hesaplarınız için kodu yazacağını söylemek için kullandığınız şeydir. İsteğe bağlı olarak, Arduino'nuza, düğmeye bastığınızda 2FA kodunu yazacak bir düğme ekleyebilirsiniz. Düğme olmadan, eşlik eden uygulamada hesabı seçtikten 2 saniye sonra Arduino kodu yazacaktır.
Josh, projeyi bir USB klavyeyi taklit edebilen bir dizi Arduino cihazıyla test etti. (📷: Optimum Bilinmiyor)
Tamamlayıcı yazılım, fiziksel cihazın kendisinde çalışan bir Arduino ürün yazılımı ile iletişim kuran JavaScript ve Electron'da yerleşiktir. Rastgele sayı çekirdeği, ana bilgisayar yerine çizimde sabit kodlanmış bir değer olarak Arduino'da saklanır - ancak şifrelenmemiş ve şu anda çeşitli iki faktörlü kimlik doğrulama protokollerinden sadece biri, zamana dayalı olan -zaman parolası (TOTP), desteklenir.
Daha fazla detay mevcuttur Josh'un web sitesinde, projenin kaynak kodu iken GitHub'da yayınlandı belirtilmemiş bir açık kaynak lisansı altında.
