LastPass dovrebbe usare l'identificatore pubblico YubiKey come chiave segreta?

No, non è sicuro poiché l' identità pubblica non è considerata un segreto. Questo è supportato dal fatto che Yubico invia l'identificativo su HTTP. Se questo è noto per essere utilizzato per un account LastPass, un MITM potrebbe acquisire la chiave di crittografia offline extra utilizzata da LastPass.

Anche se esiste la possibilità che sia stata divulgata su Internet, poiché è richiesta anche la password principale per sbloccare il vault della password locale, il rischio è basso.

Il YubiKey Personalization Tool può essere utilizzato per configurare una nuova identità pubblica nel caso in cui sia stata trapelata.

L'identificatore pubblico di YubiKey è solo una parte. La chiave viene generata anche tramite l'hash della tua password principale (più e-mail) tutte combinate. Anche se l'identificatore pubblico di YubiKey (e la tua e-mail) è noto all'attaccante, e allora? La password è ancora segreta. Questa è la parte più importante.

L'aggiunta dell'identificatore pubblico all'hashing non indebolisce la sicurezza dell'ultimo passaggio.

Per la migliore procedura 2FA in questo contesto, la parte importante qui è mantenere l'opzione "Permetti accesso offline" DISABLED . Con questa opzione disabilitata, LastPass non ti invierà il vault contenente le password crittografate (o forse non ti invierà la chiave per decifrare - non ricordo quale) a meno che YubiOTP non sia validato contro i server di Yubico come / OTP precedentemente inutilizzato.

Se abiliti questa opzione, utilizzerai solo la porzione di prefisso statico di YubiOTP come seconda password invariata, che nel migliore dei casi è un secondo fattore povero.

link