Qual è lo scopo di yubikey

10

Ho letto alcune cose su YubiKey (ad esempio Che cos'è una chiave Yubi e come funziona? ) e ha trovato le informazioni incomplete. A mio avviso, quando viene chiesto all'utente di rispondere a una password, tutto ciò che devono fare è collegare YubiKey a una porta USB e premere il pulsante corrispondente, quindi digita automaticamente una password nel campo di testo attivo.

Punto 1)
Secondo Linux Journal

Each time you press the button on the device, it generates a one-time password and sends it to the host machine as if you had entered it on a keyboard.

Quindi, se ogni volta è una password diversa, a cosa serve?

Punto 2)
È più sicuro rispetto all'utilizzo di qualsiasi chiave USB con un file chiave su di esso?

Punto 3)
Da Yubico non è possibile eseguire il backup del dispositivo, quindi se lo perdi o lo interrompi sei nei guai (in questo percepire che un file di chiave normale è molto meglio).

Punto 4)
Ho leggi che non è soggetto a malware che copiano il chiave, ma non ci credo. Se si comporta come una tastiera, cosa impedisce a un keylogger di intercettare le sequenze di tasti?

Punto 5)
Yubikey è open source . Ha importanza dal momento che si tratta principalmente di un dispositivo hardware?

Punto 6)
Se si inserisce semplicemente una password, in che modo è diverso rispetto alla semplice annotazione o memorizzazione di un'altra password?

    
posta Celeritas 14.10.2014 - 02:10
fonte

2 risposte

11

Un po 'di background su ciò che Yubikey è il primo: Yubikey è una variazione su un tipo comune di dispositivo noto come generatore di One Time Password . Fondamentalmente un mini-computer che genera un flusso di password essenzialmente illimitato, di solito uno al minuto da un algoritmo deterministico incorporato nel dispositivo. Il trucco è che la prossima password è prevedibile se si conosce un valore "seme" segreto e non gestibile se non lo si conosce.

In questo modo un computer di autenticazione che conosce il seme segreto può confermare di avere Yubikey fisicamente a portata di mano perché solo il server Yubikey e il server di autenticazione 1 possono generare la password una tantum richiesta in un minuto specifico nel tempo.

  • Punto uno. Finché il server di autenticazione sa quale password deve essere generata da Yubikey, quindi avere una password diversa ogni volta rende impossibile per qualcuno spiare la tua password e rubare la tua password - come ogni password diventa inutile un minuto dopo. Essenzialmente la chiave è qualcosa che hai piuttosto di qualcosa che conosci 2 .
  • Punto due. per l'autenticazione - sì. Per le ragioni sopra descritte. Per la crittografia - no. Poiché in realtà vuoi ricordare e riutilizzare la chiave con cui hai crittografato il file. In teoria una chiave USB da 32 GB piena di dati veramente casuali potrebbe essere considerata una fonte entropica per tutti gli usi per l'autenticazione e la crittografia, ma normalmente le USB non sono così difficili da duplicare o manipolare.
  • Punto 3. In teoria se conosci la chiave segreta, puoi duplicare lo YubiKey ma una volta configurato YubiKey l'idea è che non puoi duplicarlo perché deve essere qualcosa che solo una persona autorizzata possiede. Ovviamente, poiché gli Yubikeys sono destinati all'autenticazione anziché alla crittografia, quelli nuovi (con nuove sementi) possono essere ristampati per un utente che ha perso il vecchio.
  • Punto 4. Come da panoramica, catturare le password è inutile dato che la matematica dietro il generatore di numeri pseudocasuali interni rende estremamente difficile predire le password future - come nei governi ti danno milioni di dollari se ci riesci, difficile.
  • Punto 5. Vuoi che sia open source. I difetti crittografici più comuni non sono negli algoritmi matematici ma nell'implementazione generale. Vuoi sapere che qualsiasi esperto di sicurezza sul pianeta può estrarre una copia del sistema ed esaminarlo per individuare eventuali difetti.
  • Punto 6. Come da discussione precedente.

1. A seconda della configurazione, poiché ci sono molti altri modi per utilizzare il design di Yubikey.
2. Anche se credo che YubiKey sia uno standard aperto, quindi potresti memorizzare tu stesso il seme segreto se lo volessi per qualche motivo.

    
risposta data 14.10.2014 - 03:40
fonte
2

Funziona in modo simile a qualsiasi tecnologia a password singola (OTP) a chiave simmetrica.

Punto 1 - Questo non è pensato per sostituire la tua password, ma piuttosto essere un secondo fattore di autenticazione. Senza il possesso di Yubikey non è possibile generare il codice necessario per l'autenticazione in un sistema.

Punto 2 - Bene, genera password ad una sola volta, quindi è più sicuro di un file cert che può essere copiato e successivamente utilizzato altrove.

Punto 3 - Vero, ma a volte fallendo è preferito. Dipende solo da ciò che speri che questo sistema ti fornisca.

Punto 4 - Può intercettare le sequenze di tasti, ma sarebbero valide solo per un uso. Non sono sicuro che un compromesso del sistema possa ricavare tutti i dati segreti da Yubikey. Puoi fornire maggiori dettagli su ciò che hai letto su questo? Ho notato sul loro sito che dicono che non è un modo per essere infettati, perché non è possibile scrivere file come un drive USB.

Punto 5 - Non proprio, tranne poi puoi essere ragionevolmente sicuro che non ci sia una specie di backdoor in esso. Spesso questi tipi di strumenti hanno una chiave master o qualcosa di simile che ovviamente non è qualcosa che si desidera come utente finale.

    
risposta data 14.10.2014 - 02:59
fonte

Leggi altre domande sui tag