Non stai più utilizzando SMS, quindi gli SMS non possono essere dirottati. Se ti preoccupi per un accesso di ripristino, non dovresti preoccuparti.
Dici di avere codici di backup e hai persino il QR Code originale che in effetti contiene la chiave segreta non cifrata , che viene utilizzata per calcolare i valori TOTP in base a RFC 6238 . Tu (o l'attaccante) puoi prendere questo QR-Code in qualsiasi momento e creare una copia 1: 1 della applicazione per smartphone del dispositivo di autenticazione. Probabilmente mai ti bloccherai - se questo è ciò di cui ti preoccupi.
Quindi - sei al sicuro.
Ma sei sicuro? Puoi leggere il mio post precedente del blog .
Puoi anche attivare U2F come @ parth-maniar dichiarato. Ma dovresti sapere che U2F utilizza un certificato di attestazione preinstallato con un numero di serie univoco. (Bene, questa è una caratteristica dei certificati x509).
La coppia di chiavi che stai registrando con google è derivata dalla chiave privata che appartiene a questo certificato.
(Si prega di inserire il cappello di carta stagnola, ora)
Quindi un possibile vettore di attacco per un servizio di intelligence potrebbe essere simile a questo: il certificato di attestazione viene passato al servizio (Google) al momento della registrazione. Il servizio Intel potrebbe chiedere a Google il numero di serie del certificato . (che Google non darebbe a loro!).
Quindi il servizio Intel potrebbe andare su Yubico e chiedere a Yubico la chiave privata appartenente al certificato con il tuo nubmer seriale. (che Yubico non ha e non vuole darglielo!)
Ora il servizio Intel ha la tua chiave privata . Utilizzando questa chiave privata, l'utente malintenzionato può accedere immediatamente a tutti gli account in cui è stato registrato il dispositivo U2F. La cosa bella è che il servizio Intel può attaccare un "debole" fornitore di servizi, dove ti sei registrato per collegare il tuo nome al numero seriale. E poi possono effettuare il login semplice con il tuo account al fornitore di servizi "strong", che altrimenti non darebbe loro il tuo login oi tuoi dati.
Imho U2F non è la salvezza che afferma di essere.
(lamina di metallo spenta)
; -)
Correzione il 25 febbraio 2017
(sfortunatamente il markdown non supporta l'eliminazione delle parole)
Ovviamente sono stato indotto in errore da qualche altro post sul blog e una specifica FIDO non era precisa sull'implementazione circa 3-4 anni fa. I dispositivi U2F contengono un certificato di attestazione, ma questi di solito non sono univoci per ogni dispositivo. Il certificato di attestazione serve solo a verificare il servizio, che si tratta di un dispositivo di un certo tipo. Se acquisti un gruppo di dispositivi U2F da un fornitore, probabilmente hanno tutti lo stesso certificato e ovviamente le chiavi corrispondenti. (Ho controllato io stesso in questi giorni)
Un altro cliente potrebbe probabilmente ottenere lo stesso certificato (e le chiavi) come te.
Tuttavia, un fornitore potrebbe creare certificati di attestazione individuali per ogni chiave o per ogni cliente che acquista un gruppo di token.
Tuttavia, un fornitore probabilmente modificherà il certificato di attestazione, se rilascerà una nuova versione del dispositivo. Questo perché il servizio dovrebbe ora, se un vecchio dispositivo tenta di registrarsi o un dispositivo più recente, perché potrebbe negare la registrazione del vecchio tipo di dispositivo.
Bene, devi ancora fidarti del fornitore per gestire correttamente il certificato di attestazione, poiché si tratta in realtà di informazioni che vengono inviate al servizio ogni , al momento della registrazione.
Il più noto venditore di dispositivi U2F utilizza quindi una chiave master aggiuntiva , che è vincolata al certificato di attestazione! La mia precedente affermazione era errata !
Quindi il servizio di intelligence in effetti solitamente può non identificare il proprio dispositivo in base al certificato di attestazione. L'IS dovrebbe contattare il fornitore in anticipo per chiedere loro di mettere certificati di attestazione individuali su di esso.
Mi dispiace per l'incomprensione o aver causato un grande panico! Intendi solo causare panico di media grandezza! ;-)
... o il modo normale di fare-non-cambiare-del-tuo-cervello-quando-qualcuno-sostiene-la-sua-soluzione-è-totalmente-sicuro.