Per quali usi sarebbe intelligente ottenere un YubiKey?
Ho comprato, e con entusiasmo, il mio yubikey. Il modo in cui memorizza due profili OTP è particolarmente utile: con un set di dati chiave (premendo brevemente il pulsante) ho tenuto chiusi i segreti, e lo uso per sudo (e, un giorno per l'accesso diretto ssh) sul mio colo 'casella di ed. L'altro (premuto a lungo il pulsante) che ho condiviso con Clavid, che offre un servizio di autenticazione OpenID che mi ha permesso di stringere correttamente il mio intero loop di autenticazione OpenID [1].
Come altri hanno sottolineato, a differenza di altri servizi di hardware-autenticazione-dongle, controlli il tuo materiale di codifica e non devi fidarti di terze parti per sistemare le cose se non vuoi.
Una delle più grandi vittorie è quella di poter utilizzare endpoint non fidati per l'autenticazione tramite la chiave, poiché la password così divulgata è inutile non appena viene utilizzata. Il problema più grande con questo, tuttavia, è che molti endpoint classicamente insicuri (ad esempio i PC cybercafe) disattivano le loro porte USB, il che può rendere difficile trovare una soluzione per collegare Yubikey.
Nel complesso, penso che siano una grande vittoria.
[1] Sono un grande fan di OpenID. La cosa che in origine mi ha portato a un errore del server, il sito SE in cui svolgo la maggior parte dei miei post, era la sua offerta di autenticazione OpenID.
Pro:
Contro:
Cose da considerare su Yubikey:
Appare come un dispositivo tastiera. (Funziona quasi ovunque dicano che non puoi usare i keysticks ... ci sono modi per prevenirlo su quasi tutti i sistemi operativi ma la maggior parte dei posti non blocca i dispositivi Human Interface.)
Se qualcun altro ottiene una sospensione e la password (e stai usando OTP) e registrano alcune OTP, possono utilizzare tali informazioni per connettersi a una risorsa fino a quando non si utilizza nuovamente il token.
Dovrebbe essere solo un secondo fattore, mai un singolo fattore. (Non puoi perdere la tua password, ma puoi perdere le tue chiavi)
È (moderatamente) crittograficamente sicuro, e se sei un'organizzazione puoi gestire l'intero cryptosystem senza affidarti a terzi per proteggere i loro semi.
È una cattiva idea affidarsi esclusivamente alla sicurezza. Ma come ulteriore fattore mi piace l'idea.