Bezpečnostný kľúč Thetis. FIDO2, na odtlačky prstov. Návod na Linux. Recenzia

Názov produktu: Thetis FIDO2 Security Key Fingerprint USB A, Two-Factor Authenticator, Multilayer Protection HOTP/U2F Compatible Windows, MacOS, Gmail, Linux for Office Business – Black
Kým najznámejšia firma pre passkey je švédska firma YubiKey známa vysokými cenami, americká firma Thetis sa zasa snaží osloviť nízkou cenou.

Čo je FIDO2?

Najmodernejšia open-source kryptografická štandardizácia spravovaná cez neziskovú organizáciu.
Väčšina kľúčov podporuje len jednoduché tlačidlo na stlačenie – napriek tomu že sa to zdá byť jednoduché, radikálne to zvyšuje bezpečnosť. Tu v recenzii opisujem nie veľmi štandardnú a podstatne viac pokročilú verziu FIDO2 kľúča aj s odtlačkami prstov.
Thetis Fingerprint ponúka dve typy overenia kedy:

• vyžaduje len dotyk ľubovoľným prstom (červené blikanie)
• vyžaduje odtlačok (zelené blikanie)

Overenie odtlačku prstu je systém ktorý prebieha vo vnútri kľúča a veľká časť kryptografických procesov dát neopúšťa kľúč, čo robí metódu FIDO2 veľmi bezpečnou.
WebAuthn prihlasovacie údaje pre účty sú tiež uložené na kľúči, nie PC.
Podpora linuxu na FIDO2 nemusí byť samozrejmá, preto si pred kúpou kľúča starostlivo zistite podporu linuxu.

Praktický stránka na test, či vám kľúč dobre funguje https://webauthn.io/

Kde všade sa FIDO2 využíva?

Zjednodušene je to tá najviac pohodlná a forma dvoj faktorovej autentifikácie, ktorú môžu vyžadovať / ponúkať mnohé webové služby banky, Github, Google, Microsoft účty, kryptomenové burzy a mnohé ďalšie.
Ďalšia výhoda že možnosť prihlásenia bez hesla WebAuthn. Veľký problém, že mnoho web portálov a web aplikácii má priveľa bugov a WebAuthn je prakticky nepoužiteľné vrátane napr. Facebooku ale aj lokálne slovenská portály ako niektoré média - nie je to chyba kľúča ale chyba je u vývojárov webov.
FIDO2 sa nevyužíva na online weby ale aj na offline využitie:

• náhrada hesla v termináli pri sudo príkazoch, (obzvlášť praktické ak používate dlhé heslo)
• náhrada hesla pri linux aplikáciach ktoré vyžadujú systémové heslo ako napríklad správca aplikácii / softvéru napr. Discover
• náhrada hesla pri odomknutí partície na USB kľúči Pendrive alebo na externom SSD/HDD ktorú sú šifrované LUKS2. (Odporúča sa nechať dve metódy odomknutia dlhé heslo a odtlačok)
• náhrada hesla pri zamknutej obrazovke a pri prihlasovacej obrazovke na linuxe

Aké je riešenie ak kľúč stratíte alebo sa hardvér poškodí?

• Väčšina web služieb poskytuje tzv. jednorázové hesla, ktoré sú riešením.
• Využívať dva kľúče, jeden hlavný, druhý záložný. Na jeden web portál registrovať dva kľúče

Recenzia na Thetis Fingerprint Kľúč

Cena a nákup

Cena kľúča Thetis Fingerprint je na oficiálnej stránke za 30 EUR, ale kľúč neposielajú mimo USA. Na Amazon.de z európskeho skladu bola cena aj s poštovným €48. Tovar mi prišiel po 6 dňoch od objednania. Výhoda EU skladu sú nižšie finančné náklady na prípadné vrátenie ak by sa Vám tovar nepáčil. Na Amazon.com sú niektoré modely kľúčov Thetis podstatne lacnejšie aj s poštovným ako na Amazon.de. Zdá sa, že firma Thetis má najnižšie ceny na trhu.
Viacerí ľudia sa v recenziách sťažovali že Thetis Fingerprint na Linuxe nefunguje – tieto informácie sa ale ukázali ako nepravdivé – aj napriek týmto recenziám som si produkt kúpil. Pravda je taká že na linuxe funguje OK.

Materiály

Vonkajšie „púzdro“ je zo zbytočne hrubého materiálu hliníka.
Konektorová časť male USB-A ktorá býva bežne z kovu, je tu z plastu čo nepôsobí dobrý dojmom – zrejme z dôvodu lepšej viditeľnosti signalizačných letiek. Neviem akú životnosť môže mať takýto plast, avšak niektoré špeciálne plasty môžu mať niektoré mechanické vlastnosti ako oderuvzdornosť porovnateľnú s kovom.
Riešenie môže byť kúpiť USB predlžovačku a USB hub aby sa počet zasúvania a vysúvania minimalizoval pre dlhšiu životnosť – (navyše sa tak predĺži životnosť aj USB-A female zásuvky na PC, ktorá bez predlžovačky by čelila väčšiemu namáhaniu nakoľko sa s USB konektormi hýbe a na FIDO2 kľúč pre účel odtlačkov treba vynaložiť trochu silnejší tlak. Ďalšia výhoda vhodnej predlžovačky s USB hub je viac ergonomické, viac user-friendly používanie).
Za rovnaké výrobné náklady by sa dal kľúč navrhnúť spôsobom aby bol kľúč kvalitnejší.

Funkčnosť

Pre účel odtlačkov prstov je tam ťažší prístup nakoľko je snímač v priehlbinke. Ku prístupu snímaču odtlačkov bráni aj masívne puzdro čo problém znásobuje. Koncept / dizajn je navrhnutý nie najlepšie, ale podstatné je to že dá sa to používať.
Za rovnaké výrobné náklady by sa dal kľúč navrhnúť spôsobom aby bol kľúč praktickejší na používanie.
Nestretol som sa s problémami ako v recenziách na Amazone, že by odtlačky fungovali nespoľahlivo.
Najväčší problém vidím ťažkú zálohovateľnosť nastavení odtlačkov nakoľko niektoré konfiguračné súbory sú mimo home folder. Linux sa dá veľmi ľahko preinštalovať a veľmi dobre sa robí záloha všetkých nastavení, vrátane aktívnych prihlásení cookies súborov prehliadača, ale to čo je mimo home priečinku, je problém. Viac by som toho vyčítal vývojárom softvéru ako dodávateľovi hardvéru.
Najjednoduchšie nastavenie FIDO2 bolo pre účel web prihlásenia.
Ostatné funkcie FIDO2 bolo možné nastaviť značne ťažšie ale AI si s tým vedela poradiť.
Ako rady AI som používal Google AI Studio Flash 3. AI mi vyhodila aj 20 krát viac text ako vidíte tu – bolo tak aj veľmi veľa neúspešných pokusov – vložil som tu len otestované a funkčné návody
Nakoľko mám nastavené šifrovanie home priečinku pomocou fscrypt, nemohol som použiť kľúč na prihlásenie. Je ho ale možné použiť na odomknutie zamknutej obrazovky, napr po uspaní PC a to som aj urobil.
Po odomhnutí obrazovky nefungujú spoľahlivo nastavenia, ktoré po úspešnom odoknutí cez kľúč odstráni potrebu stačiť ešte „Enter“ – nie je to chyba kľúču, ani FIDO2 rozhrania KDE Plasma na Kubuntu.
Celkové zhodnotenie: z môjho pohľadu dizajnové a materiálové nevýhody sú znesiteľné, akceptovateľné. WebAuthn funguje perfektne, ostatné veci funkcie sú trochu náročnejšie na nastavenie. Celkovo som spokojný. Myslím že ideálny kľúč neexistuje a to ani z drahších cenových tried – všade sa dajú nájsť nevýhody.

Návod na inštaláciu. WebAuthn FIDO2. Pre účel prihlásenia sa do web aplikácii

sudo apt update
sudo apt install libfido2-1

Ak kľúč stále nevidíte, pridajte pravidlo manuálne (podľa návodu Thetis), Vytvorenie textového konfiguračného súboru:
sudo nano /etc/udev/rules.d/70-u2f.rules

Vložte tam tento riadok:
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1ea8", ATTRS{idProduct}=="f025", TAG+="uaccess"
Uložte (Ctrl+O, Enter) a ukončite (Ctrl+X).

Aktivujte pravidlá:
sudo udevadm control --reload-rules && sudo udevadm trigger

Aktualizácia 30. 4. 2026: Hore uvedené príkazy v termináli nepotrebujete. Funguje to aj bez nich. Použite len vtedy ak by nastavenia cez Chromium / Chrome nefungovalo a kľúč by bol pre systém OS „neviditeľný“. Hneď ako zasuniete kľúč do PC malo by to ísť bez terminálu. WebAuthn by malo ísť bez problémov na Kubuntu a vôbec nepotrebujete terminál

Registrácia odtlačkov v prehliadačoch ako sú napr. Chrome, Chromium, Brave.
(Firefox, Opera túto funkciu žiaľ nepodporujú)
V Chromium nastavenia:
Nastavenia -> Súkromie a zabezpečenie -> Zabezpečenie -> Spravovať bezpečnostné kľúče)
Teraz, keď je kľúč nastavený a odtlačky sú v ňom uložené, môžete Chromium zavrieť a otvoriť akýkoľvek iný prehliadač napr. Firefox, Opera, ktoré WebAuthn podporujú.

Otvorte Firefox a choďte napr. na webauthn.io (skvelá stránka na testovanie).
V sekcii "Registration" zadajte nejaké meno a kliknite na "Register".
Firefox zobrazí vyskakovacie okno (systémovú výzvu). Kľúč na vašom USB portu začne blikať.
Priložte prst. Kľúč overí odtlačok interne a Firefox vás úspešne zaregistruje.

Odomknutie obrazovky

Najprv potrebujete PAM modul, ktorý vie komunikovať s FIDO2 kľúčom:
sudo apt update
sudo apt install libpam-u2f pamu2fcfg

Vytvorenie konfiguračného súboru
kate /etc/udev/rules.d/70-u2f.rules

sudo apt install kate
kate /etc/udev/rules.d/70-u2f.rules

Vložte tam tento riadok:
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1ea8", ATTRS{idProduct}=="f025", TAG+="uaccess"

Uložte a reštartujte pravidlá:
sudo udevadm control --reload-rules && sudo udevadm trigger

Registrácia kľúča Thetis do vášho systému
Namiesto generického priečinka vytvoríme priečinok priamo pre Thetis.
mkdir -p ~/.config/thetis

Zaregistrujte svoj kľúč (vložte ho do USB):
pamu2fcfg > ~/.config/thetis/u2f_keys

Kľúč začne blikať – priložte prst.
Skontrolujte, či sa dáta zapísali (uvidíte dlhý reťazec znakov):
cat ~/.config/thetis/u2f_keys

Konfigurácia odomykania obrazovky (KDE Lock Screen)
Teraz nastavíme Kubuntu tak, aby pri odomykaní obrazovky hľadalo váš Thetis kľúč v našom novom priečinku.
Editujte súbor pre odomykanie obrazovky:
Otvorte 
sudo nano /etc/pam.d/kde
Vložte:
(nahraďte uzivatel vaším skutočným prihlasovacím menom):
auth sufficient pam_u2f.so authfile=/home/uzivatel/.config/thetis/u2f_keys userverification=1
@include common-auth
@include common-account
@include common-password
@include common-session

Konfigurácia pre terminál (sudo)

Rovnaký komfort si nastavíme pre prácu v termináli.
kate /etc/pam.d/sudo

Vložte do súbory nasledovný obsah:
auth sufficient pam_u2f.so authfile=/home/uzivatel/.config/thetis/u2f_keys cue
session required pam_limits.so
session required pam_env.so readenv=1 user_readenv=0
session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

Polkit (PolicyKit). Odstránenie vyžadovania hesla v programoch, aplikáciach s grafickým rozhraním

Ako nastaviť, to aby som použijúc Passkey nemusel písať heslá napr. v aplikácii Discover (správca aplikácii) alebo v aplikácii Kate ktorá pri systémových konfiguračných súboroch ich editácii často vyžaduje heslo?

kate /etc/pam.d/polkit-1

Vložiť obsah:
auth [success=done default=ignore] pam_u2f.so authfile=/home/uzivatel/.config/thetis/u2f_keys cue
@include common-auth
@include common-account
@include common-password
@include common-session

Odomknutie šifrovanej partície LUKS2 pomocou hardvérového kľúča

Slot v tejto terminológii znamená jedna z metód odomknutia, ktorá môže byť heslo či viacero hardvérových kľúčov.
Slot 0 vždy ponechajte, nikdy nemažte, to je základné heslo pre partíciu LUKS2.
Pri pridaní alebo odstránení slotu Vás to vyzve zadať heslo pre LUKS2 partíciu.
/dev/sdb1 nahraďte správnymi údajmi. Nainštalujte si Gnome Disk aby ste to zistili.
Odomykanie na odtlačok prsta je možné len cez terminál, neexistuje nič s grafickým rozhraním

Pridanie slotu
sudo systemd-cryptenroll --fido2-device=auto --fido2-with-client-pin=no --fido2-with-user-verification=yes /dev/sdb1

Príkaz na odomknutie
sudo systemd-cryptsetup attach sony_disk /dev/sdb1 none fido2-device=auto

Zobrazte sloty:
sudo cryptsetup luksDump /dev/sdb1

Ak chcete vymazať niektoré sloty:
sudo cryptsetup luksKillSlot /dev/sdb1 1
sudo cryptsetup luksKillSlot /dev/sdb1 2
sudo cryptsetup luksKillSlot /dev/sdb1 3

Aktualizácia 1. 5. 2026

Ako sa nevymknúť pri zlých nastaveniach

• Aj mne sa to viac krát stalo a musel som riešiť vymknutie kedy sa neprihlásite ani kľúčom ani heslom.
• Majte vždy k dispozícii dva USB kľúče.
• Na jednom kľúči mať ISO súbor s distribúciou Linuxu
• Na druhom kľúči mať zálohu konfiguračných súborov
• zasuňte obe USB do PC
• zistite kde máte root partíciu (napr cez Gnome Disks)
• cez live verziu distrubúcie sa pripojte ku root partícii. Napr.:
  sudo mount /dev/sda2 /mnt
• príklad opravy konfiguračného súboru:
  sudo nano /mnt/etc/pam.d/common-auth
• odpojiť:
  sudo umount /mnt
• cez Live distribúciu môžete komunikovať s AI aby vám poradila

Systemd-homed. Odomykanie šifrovaného fscrypt home folder + odomykanie prihlasovacej obrazovky SDDM

V dolnej časti tohto článku sa dozviete ako nastaviť systemd-homed. Vytvorenie užívateľa so šifrovaným home priečinkom https://linuxos.sk/blog/blog-2/detail/moznosti-sifrovania-na-linuxe-sifrovanie-home/

Ak to máte nastavené, pokračujte podľa tohto návodu.

V týchto nastaveniach nebude pýtať operačný systém PIN, ale bude chcieť len odtlačok. Zároveň ak nebude mať zasunutý kľúč v PC, vyzve vás to na zadanie hesla.

Nevýhoda homectl je to, že neumožňuje mať osobitnú metódu autentifikácie napr. pre prihlasovaciu obrazovku a osobitnú pre terminál (napr. metóda dotyku vs metóda odtlačku prstu).

Zadajte príkaz:

sudo homectl update $(whoami) \
    --fido2-device=auto \
    --fido2-with-client-pin=no \
    --fido2-with-user-presence=yes \
    --fido2-with-user-verification=yes

Zmažte všetok obsah v tomto súbore aby nedochádzalo ku konfliktom
sudo nano /etc/pam.d/kde

Ak sa prihlasujete do Linux (SDDM), stlačte enter (môže to vyzerať akoby ste odoslali prázdne heslo) a potom začne kľúč blikať a môžete zadať odtlačok prsta.

Aby ste pre pohodlie pre terminál nepotrebovali odtlačok ale len dotyk treba postupovať podľa tohoto U2F modul, základná inštalácia a konfigurácia.

sudo apt install libpam-u2f pamu2fcfg
mkdir -p ~/.config/thetis
pamu2fcfg > ~/.config/thetis/u2f_keys
 

Úprava súboru /etc/pam.d/sudo
sudo nano /etc/pam.d/sudo

Upravte súbor

auth sufficient pam_u2f.so authfile=/home/uzivatel/.config/thetis/u2f_keys cue interactive
@include common-auth
@include common-account
@include common-session-noninteractive

Otázky na AI

Ak by ste potrebovali aby vám AI viac pomohla, čo sa mi dobre osvedčilo, v Google AI studio, explicitne prikážte AI aby Vám na základe týchto odkazov dokumentácie systemd-homed urobila návod. 
Nastavenia: Gemini Flash, URL context
https://www.freedesktop.org/software/systemd/man/latest/homectl.html
https://wiki.archlinux.org/title/Systemd-homed#fscrypt_directory
https://man7.org/linux/man-pages/man1/homectl.1.html
https://manpages.debian.org/testing/systemd-homed/homectl.1.en.html
https://wiki.gentoo.org/wiki/Systemd/systemd-homed

Aktualizácia, skúsenosti po dlhšom používaní 15. 5. 2026

Až neskôr som prišiel na to, že viac odporúčaný je tento model USB C, je novší, novšia vylepšená verzia. Je ho možné používať aj na USB A konektor cez adaptér / redukciu. Cena je rovnaká. Výhody sú modernejší vynovený firmvér, plne oficiálna FIDO2 podpora štandardizácia, menej falošných odmietnutí správneho odtlačku, rýchlejšia detekcia odtlačku, menšia a štíhlejšia konštrukcia.

USB A verzia dodatočný návod na používanie

• falošne zamietnutá detekcia správneho odtlačku prstu cca 25% prípadov môže byť pre niekoho mierne frustrujúca ale naučil som sa s tým pracovať.

• Pri stlačení odtlačku sa vždy dávajte ako kľúč bliká / svieti

• Zelené blikanie znamená „čakám na odtlačok“. Po úspešnom prijatí odtlačku začne kľúč svietiť na zeleno (bez blikania), čo znamená signál „prst môžeš pustiť“ ale v skutočnosti ešte nejakú pol sekundu až sekundu stále držte prst na čítačke a potom môžete pustiť v opačnom prípade môže byť odtlačok zamietnutý a začne znovu blikať na zeleno

• prišiel som na to, že je dôležité aby ste sa snažili umiestniť rovnomerne odtlačok / prst presne do stredu senzora, v opačnom prípade je riziko falošne zamietnutého odtlačku podstatne vyššia. Nerovnomerný tlak na jeden zo strán, na jeden z krajov senzora je nesprávne

• ak po zelenom blikaní dlhšie blikne kľúč na červeno, znamená to, že odtlačok bol zamietnutý. Prst treba pustiť a priložiť znovu

• sila tlaku nemá vplyv sa úspešnosť prijatia odtlačku. Postačí aj jemný tlak

• Testovanie odtlačku je najlepšie ak zadáte klávesy Win+L, obrazovka sa zamkne a môžete znovu odomknúť cez kľúč

Prílohy

Aplikácia_Discover_často_žiada_heslá_ale_existuje_riešenie.png (339.4 kB)

Firefox.png (175.2 kB)

Chromium_WebAuthn_zoznam.png (120.1 kB)

Chromium_1.png (117.9 kB)

Chromium_8.png (112.9 kB)

Chromium_5.png (71.5 kB)

Chromium_3.png (64.8 kB)

Chromium_2.png (63.0 kB)

Chromium_7.png (62.6 kB)

Chromium_4.png (61.6 kB)

Chromium_6.png (55.9 kB)

Google_záložné_jednorázové_heslá.png (52.6 kB)

porovnanie_velkostí_s_bežným_USB.jpg (227.6 kB)

odoknutie_zamknutej_obrazovky.jpg (197.0 kB)

Príliš_veľké_rozmery_po_roztvorení.jpg (196.6 kB)

kov_vs_plast_porovnanie_2.jpg (138.9 kB)

kov_vs_plast_zadna_strana.jpg (74.6 kB)

kov_vs_plast_predná_strana_porovnanie.jpg (61.7 kB)

zelená_letka.jpg (140.9 kB)

červená_letka.jpg (49.7 kB)

kľúč_položený_na_stole_v_USB_predlžovačke_zníži_riziko_opotr_Gvi5d3v.jpg (326.6 kB)

hardvérový_kľúč_vo_vertikálnej_polohe_pripojený_do_USB_hub_p_HXEqdWN.jpg (130.5 kB)