Diresti che è più sicuro usare Yubikey Desktop Authenticator di Google Authenticator?
Invece di utilizzare Google Authenticator ogni volta che desidero accedere ad un sito mi chiedo se sarebbe ugualmente (o più) sicuro usare l'app di autenticazione desktop Yubikeys?
È difficile confrontare i due, ma direi che sono approssimativamente simili quando si tratta di profili di rischio.
Un'app in esecuzione sul tuo telefono è generalmente più isolata dalle altre app rispetto alle applicazioni che utilizzano ambienti desktop standard. Un'app per smartphone rogue che non ha accesso a livello di root non sarebbe in grado di accedere ai dati di altre applicazioni né vedere cosa viene visualizzato sullo schermo. Questo non è vero per molti ambienti desktop in cui c'è molto meno isolamento tra i processi che usano il monitor (specialmente su Linux che usa X, il che è orribile in questo senso). Tuttavia, una vulnerabilità dello smartphone sufficientemente negativa consentirebbe agli aggressori di accedere alla chiave pre-condivisa utilizzata per generare codici monouso, quindi le vulnerabilità di sicurezza del telefono sono molto peggiori ai fini della salvaguardia dei codici di autenticazione a più fattori. Se qualcuno ruba la chiave precondivisa utilizzata per generare codici OTP, il tuo account è completamente compromesso.
D'altra parte, l'applicazione desktop Yubikey non espone il tuo vero segreto pre-condiviso al computer desktop, poiché i codici vengono generati direttamente su Yubikey. Quindi, anche se un utente malintenzionato accede al tuo computer, tutto ciò che sarebbe in grado di ottenere è l'attuale codice OTP - che è male, ma non male come una vulnerabilità di una scala simile sullo smartphone.
Sta a te valutare i lati positivi e negativi, ma nella mia mente i rischi sono più o meno simili - quindi, usando l'app Yubikey Desktop supportata dall'hardware, Yubikeys è un'alternativa accettabile a Google Authenticator.
Leggi altre domande sui tag one-time-password multi-factor yubikey