Qual è il rischio e la mitigazione di digitare accidentalmente una password YubiKey in un forum aperto?

18

Ho un YubiKey nel mio laptop (per i test) e trasmetto accidentalmente la mia password YubiKey a Internet. Poiché questa è solo una chiave di prova e non ha accesso a nulla di valore, ecco alcune chiavi OTP di esempio:

ccccccbhknbgunfejcduuficrglhbckgbbugjegrbbbj

ccccccbhknbgncbjurrufidrvjvjnbglduvnjtccjhif

La mia comprensione è che nella configurazione predefinita, i personaggi principali sono un identificatore (ID univoco) di tipo: ccccccbhknbg . Non sono chiaro se si tratta di un valore codificato o se si tratta di un valore ASCII non elaborato.

  • Qual è il rischio di inviare queste password su Internet? La privacy è stata persa?

  • Importa se è connesso al cloud YubiKey o se fa parte di una configurazione autonoma?

  • Come posso recuperare da questo? Posso rigenerare qualsiasi identificatore? Come posso invalidare le password?

posta random65537 14.02.2013 - 02:34
fonte

4 risposte

16

Ci sono alcune spiegazioni su ciò che YubiKey fa qui . Fondamentalmente, la password che YubiKey "digita" (dal punto di vista del computer, è una tastiera) può essere una password statica o una password monouso. Se si tratta di una password statica, l'hai appena rivelata ed è ora di essere molto dispiaciuta (e cambiare prontamente la password).

Le password monouso, che cosa produce YubiKey, seguono HOTP . La crittografia in HOTP è tale che non è computazionalmente possibile ricalcolare il "master secret" da una o più password monouso prodotte con HOTP. Inoltre, ogni password è calcolata internamente da un contatore. Sia YubiKey che il server mantengono lo stesso contatore e il server consente una limitata mancanza di sincronizzazione. Vale a dire, quando il contatore corrente del server ha valore n e riceve una password come tentativo di autenticazione, genererà internamente le password per i valori n + 1 , n + 2 , ... fino a, ad esempio, n + 100 (che è configurabile). Se viene trovata una corrispondenza con (diciamo) password n + 17 , l'accesso è concesso e il contatore del server è impostato su n + 17 ; in caso contrario, la connessione viene rifiutata e il contatore del server non viene modificato.

Pertanto, ciò che hai inavvertitamente pubblicato "su Internet" è una password che concederà l'accesso al server corrispondente, fino alla tua prossima autenticazione su quel server, poiché tale autenticazione aggiornerà il contatore del server ad un ulteriore contro valore. In un certo senso, l'utilizzo di OTP con valore contatore k invalida tutti i valori OTP con i valori j < k . Che porta alla seguente procedura di ripristino: se hai pubblicato un valore OTP, connettiti rapidamente al server in modo da invalidare il valore pubblicato. In seguito, puoi semplicemente ignorarlo; una volta invalidato, è innocuo.

( Nota: se generi ripetutamente molte password "vuote" con la tua chiave senza autenticare il server, il tuo YubiKey potrebbe andare fuori sincrono con quello del server - la chiave che usa i contro-valori vanno ben al di là di ciò che il server accetterebbe al momento. Non permettere a tuo figlio di 3 anni di giocare con il tuo YubiKey! In una situazione simile, per le chiavi dell'auto a infrarossi, la sincronizzazione del contatore viene forzata tramite RFID all'avvio del motore.)

    
risposta data 14.02.2013 - 18:07
fonte
5

YubiKey supporta lo Yuibco OTP, che è il lungo OTP generato. La YubiKey One Time Password (OTP) è un ID pubblico e una password crittografati a 44 bit, un uso sicuro, a 128 bit, quasi impossibile da falsificare.

L'OTP è composto da due parti principali; i primi 12 caratteri rimangono costanti e rappresentano l'ID pubblico del token YubiKey stesso.

I restanti 32 caratteri costituiscono un passcode univoco per ogni OTP generato. Il passcode viene generato da una moltitudine di fonti casuali, compresi i contatori sia per le sessioni YubiKey che per le OTP generate. Quando un YubiKey viene convalidato, i valori di Session e OTP Counter vengono confrontati con gli ultimi valori inviati. Se i contatori sono inferiori ai valori utilizzati in precedenza, l'OTP viene rifiutato. Copiare un OTP non consentirà a un altro utente di falsificare uno YubiKey - il valore del contatore permetterà al server di validazione di sapere quali OTP sono già stati usati.

Puoi leggere di più su YubiKey OTP qui

    
risposta data 19.02.2013 - 17:35
fonte
2

Stai bene. Hai perso solo un identificatore di tipo "username".

Thomas non è del tutto corretto per quanto riguarda la parte sul server che genera 100 password da verificare.

La seconda parte, "OTP" è crittografata. Il server decodifica l'OTP utilizzando la sua chiave AES. Il contenuto decodificato ha il contatore. Se il contatore è uguale o inferiore all'ultimo contatore autenticato dal server, allora si tratta di un attacco di riproduzione.

Se vuoi creare una nuova chiave AES, puoi caricarla su yubico, ma dicono che non ha la stessa garanzia di uptime. Tuttavia, la semplice espulsione di alcuni OTP non ti comprometterà.

    
risposta data 17.06.2014 - 18:23
fonte
0

La stringa token Yubikey OTP viene generata codificando la stringa esagonale dei dati grezzi in un sottoinsieme speciale di caratteri alfa (latini) in minuscolo. Ad esempio, c è la codifica del nibbble esadecimale (cifra) 0 .

Per impostazione predefinita, i primi 12 caratteri (6 byte) del token OTP dal Yubikey "vanilla", con la configurazione e le chiavi predefinite, sono il numero di serie. Quindi l'hai appena fatto trapelare: 14***93 , non è vero?

Il resto è dati crittografati AES-128 (contatore, nonce casuale, ..) quindi non sarei preoccupato.

La codifica è chiamata Yubico modhex ed è progettata per prevenire l'ambiguità degli scancodi di tastiera su diversi layout di tastiera (ad esempio QWERTY vs AZERTY):

0123456789abcdef
cbdefghijklnrtuv

C'è anche una demo online e convertitore .

    
risposta data 27.10.2016 - 00:26
fonte