Un dongle di autenticazione a due fattori (OTP) che è sempre inserito in MacBook aggiunge un vantaggio in termini di sicurezza?

2

Penso di ottenere un Yubikey e leggere che Keepass con OTP non ha senso No. La sicurezza rimane la stessa + spese generali extra cognitive .

Cerco di archiviare tutti i dati locali e di utilizzare raramente servizi basati su cloud.

Se ho un SecOp molto brutto e tieni sempre il dongle collegato al MacBook (o sulla stessa tabella) , quel dongle aggiunge un vantaggio in termini di sicurezza?

I miei modelli di thread sono attacchi remoti. Se c'è un vantaggio di sicurezza, quale configurazione di Yubikey devo implementare, per trarre vantaggio da una maggiore sicurezza?

    
posta Ivanov 28.05.2018 - 11:15
fonte

4 risposte

3

Sì, aggiunge un vantaggio di sicurezza per gli attacchi remoti. Immagina di digitare la tua password in una finestra di chat invece che nella casella della password su un sito web. Utilizzando 2FA, nessuno nella chat può accedere al tuo account, anche quando il tuo YubiKey è collegato al tuo Macbook.

Potresti essere un po 'più a rischio quando lo Yubikey digita il tuo TOPT nella stessa chat, ma con un po' di fortuna scadrà prima che qualcuno capisca di cosa si tratta e da dove effettuare il login. E perdere un TOTP non perde la chiave master necessaria per generare il prossimo.

    
risposta data 28.05.2018 - 14:37
fonte
2

Che cosa aggiunge Yubikey

Yubikey funge da ambiente protetto, in cui è possibile memorizzare il segreto OTP. Poiché Yubikey è sempre connesso, se si forza il touch per i codici (predefinito per i codici Yubikey e un'opzione per i codici TOTP), un utente malintenzionato può accedere ai servizi solo nello stesso momento in cui lo si fa, il che significa che un accesso fallirà, come i codici OTP dovrebbero essere solo un uso.

    
risposta data 28.05.2018 - 14:30
fonte
2

Alcune risposte hanno sbagliato un piccolo dettaglio:

  • Yubikey non segue di per sé l'algoritmo TOTP come definito nella RFC6238. Il yubikey viene fornito con un algoritmo OTP basato su AES. È possibile inizializzare il yubikey per seguire l'algoritmo HOTP (RFC4226) (basato su eventi). Questo perché TOTP ha bisogno del tempo - un orologio che il yubikey non ha. Tuttavia, è possibile eseguire una risposta di prova con yubikey e questo facitlitating di un software client aggiuntivo è TOTP.

Ma Yubikey 4 è anche una smart card in piena regola. In questo modo è possibile creare una coppia di chiavi assimmetrica su yubikey. È possibile utilizzare questa funzionalità di smart card per proteggere (crittografare!) I dati nel modo giusto. Il software crittograferebbe la chiave di crittografia dei dati simmetrica con la chiave pubblica, che è stata generata su yubikey. Tu (o un utente malintenzionato) è stato possibile decodificare la chiave di crittografia dei dati e quindi i dati utilizzando la chiave privata, creata su yubikey e che non può essere esportata da yubikey. Questo è il modo più ragionevole per implementare una protezione della crittografia 2FA ancora allo stato dell'arte.

Non lo so, se keepass supporta smartcard / PGP / PKCS11.

    
risposta data 10.06.2018 - 09:17
fonte
0

No, l'utente malintenzionato deve avere accesso fisico al dispositivo per poter utilizzare le funzioni di Yubikey. Si consiglia quindi di utilizzare Yubikey come 2FA per eliminare anche le minacce nelle immediate vicinanze.

    
risposta data 28.05.2018 - 11:30
fonte