Quali sono le implicazioni sulla privacy dell'utilizzo di Yubico OTP con YubiCloud?

2

Sto pensando di acquistare Yubikey dispositivi (realizzati da Yubico ) per aggiungere l'autenticazione a due fattori quando i miei utenti eseguono ssh sui nostri vari server. Ho pensato di configurare il dispositivo per utilizzare Yubico OTP con YubiCloud (tramite yubico-pam PAM modulo).

Quali sono le implicazioni sulla privacy di questo? Yubico saprà quali utenti stanno effettuando l'accesso a quali server e quando? Il valore OTP include un identificatore statico e il server interrogherà YubiCloud nel momento in cui l'utente preme il pulsante, quindi sembra che Yubico possa tracciare gli utenti mentre accedono a vari server.

C'è qualcosa che posso fare per ridurre al minimo eventuali perdite di privacy? Ad esempio, posso configurare i miei server ssh per provare prima un server di convalida locale e ricorrere a YubiCloud se il il server di convalida locale non è disponibile? (Vorrei creare una qualche forma di sincronizzazione con YubiCloud per prevenire gli attacchi di riproduzione OTP, ma non so se è possibile e la sincronizzazione potrebbe negare il guadagno della privacy dall'esecuzione del mio server di validazione.)

    
posta Richard Hansen 28.02.2016 - 08:16
fonte

1 risposta

3

Yubico non saprà, quali utenti hanno effettuato l'accesso. Il yubikey invia solo un numero seriale all'interno del valore otp. Usano questo numero seriale per mappare il tasto AES.

Quindi non è anonimo ma è pseudonimo. Se dovessero mappare l'identificatore / numero di serie all'utente, lo sanno.

Ma (modalità cappello foglio di latta) yubico potrebbe sapere quale numero di serie ti hanno venduto. Quindi, yubico sa che qualcuno della tua azienda sta effettuando l'accesso. Potrebbero anche saperlo dall'indirizzo IP richiesto. Quindi potrebbe decidere di dire aye o nay, non a seconda della reale presenza dello yubikey ma a seconda che l'FBI voglia accedere o meno ;-) (fine della modalità cappello foglio di latta)

Se ti preoccupi di questo, puoi utilizzare privacyIDEA in esecuzione sul posto per convalidare tutti i tuoi dispositivi OTP ( in modalità HA ).

PAM è un potente stack. Puoi configurare tutto ciò che desideri. Quindi è possibile configurare un'istanza di autenticazione locale e innovativa per il servizio cloud. Ma come detto sopra, puoi anche configurare il tuo servizio locale in HA.

    
risposta data 28.02.2016 - 21:56
fonte

Leggi altre domande sui tag