Recentemente ho ricevuto una chiave FIDO U2F (AKA a Yubikey). Attualmente lo uso solo su una serie di servizi, ma questo potrebbe essere un rischio per la sicurezza in qualsiasi modo?
Ad esempio, se utilizzo la mia chiave U2F per autenticare su un sito Web ombreggiato e / o non sicuro e / o dannoso, la mia chiave U2F potrebbe essere compromessa in qualche modo?
No, sei sicuro
Anche se l'hai inserito in un computer malevolo, la tua chiave non può essere compromessa. Utilizza la stessa sicurezza di una carta di credito; significa una smart card. Questa smart card contiene una chiave privata che non viene divulgata a meno che non si apra fisicamente la smart card. Questo è il motivo per cui le carte di credito con una smart card sono molto meglio delle carte di credito con una banda magnetica. La striscia può essere copiata semplicemente scansionandola mentre è impossibile copiare la smart card semplicemente usandola.
Come funziona?
È fondamentalmente un meccanismo di risposta alle sfide. La smart card ha una chiave privata ed è l'unica entità che conosce questa chiave privata. Quando effettui l'autenticazione, ricevi una sfida; di solito un numero casuale o qualcosa del genere. Quindi, quando si preme il simbolo dell'oro sulla chiavetta USB, la sfida viene inviata alla smart card che la crittografa utilizzando la sua chiave privata e quindi restituisce la richiesta crittografata. Questa sfida crittografata viene quindi inviata al server che contiene tutte le chiavi pubbliche che corrispondono alle chiavi private che sono memorizzate su USB. Il server decrittografa quindi la sfida crittografata con la chiave pubblica corretta e verifica che corrisponda alla sfida.
Informazioni sul phishing
La protezione anti-phishing in U2F è di prim'ordine, a quanto pare. Guarda questa eccellente risposta:
Quanto sono sicuri i token FIDO U2F
Fai ancora attenzione ai computer compromessi
Anche se la tua chiavetta usb non può essere compromessa, tu, come utente, sei ancora vulnerabile se usi un computer compromesso. Su un computer compromesso, non puoi fidarti di nulla che vedi. Anche se tutto sembra a posto, url nel browser, certificato, ecc. Non ti puoi fidare di nulla. Potrei presentarti una pagina di accesso, ma in realtà utilizzerei le informazioni di accesso per cambiare la password per quel sito.
Conclusione
La tua chiave USB è sicura. Tu sei un'altra storia. Ad un certo punto, sei l'unico che può salvarti dall'utilizzarlo su una macchina infetta da virus.