Ci sono alcune spiegazioni su ciò che YubiKey fa qui . Fondamentalmente, la password che YubiKey "digita" (dal punto di vista del computer, è una tastiera) può essere una password statica o una password monouso. Se si tratta di una password statica, l'hai appena rivelata ed è ora di essere molto dispiaciuta (e cambiare prontamente la password).
Le password monouso, che cosa produce YubiKey, seguono HOTP . La crittografia in HOTP è tale che non è computazionalmente possibile ricalcolare il "master secret" da una o più password monouso prodotte con HOTP. Inoltre, ogni password è calcolata internamente da un contatore. Sia YubiKey che il server mantengono lo stesso contatore e il server consente una limitata mancanza di sincronizzazione. Vale a dire, quando il contatore corrente del server ha valore n e riceve una password come tentativo di autenticazione, genererà internamente le password per i valori n + 1 , n + 2 , ... fino a, ad esempio, n + 100 (che è configurabile). Se viene trovata una corrispondenza con (diciamo) password n + 17 , l'accesso è concesso e il contatore del server è impostato su n + 17 ; in caso contrario, la connessione viene rifiutata e il contatore del server non viene modificato.
Pertanto, ciò che hai inavvertitamente pubblicato "su Internet" è una password che concederà l'accesso al server corrispondente, fino alla tua prossima autenticazione su quel server, poiché tale autenticazione aggiornerà il contatore del server ad un ulteriore contro valore. In un certo senso, l'utilizzo di OTP con valore contatore k invalida tutti i valori OTP con i valori j < k . Che porta alla seguente procedura di ripristino: se hai pubblicato un valore OTP, connettiti rapidamente al server in modo da invalidare il valore pubblicato. In seguito, puoi semplicemente ignorarlo; una volta invalidato, è innocuo.
( Nota: se generi ripetutamente molte password "vuote" con la tua chiave senza autenticare il server, il tuo YubiKey potrebbe andare fuori sincrono con quello del server - la chiave che usa i contro-valori vanno ben al di là di ciò che il server accetterebbe al momento. Non permettere a tuo figlio di 3 anni di giocare con il tuo YubiKey! In una situazione simile, per le chiavi dell'auto a infrarossi, la sincronizzazione del contatore viene forzata tramite RFID all'avvio del motore.)