Proteggi le password individuali in Gestione password con U2F?

1

Dato che U2F come implementato ad esempio da YubiKey è senza stato, mi chiedo se un gestore di password supporta la crittografia di ogni singola password memorizzata in una raccolta di password usando U2F.

Questo potrebbe aiutare contro il problema comune che aprire il gestore di password è già un grande rischio per la sicurezza (si pensi CTRL + A, CTRL + C per copiare tutte le voci) e impedire di dare la password completa solo perché un utente malintenzionato ha registrato una sfida / comunicazione di risposta per una singola chiave.

Sfondo:

  • U2F non è uno standard di crittografia, ma uno standard di autenticazione e utilizza chiavi pubbliche / private per l'autenticazione delle sfide del server.
  • Basato sul suo utilizzo di firme chiave pubbliche / private anche se dovrebbe essere possibile per un gestore di password mantenere "maniglie" per ogni password memorizzata, che dopo essere stato firmato dal dispositivo U2F produce la chiave di crittografia effettiva.
  • Vedi qui per un possibile uso di u2f per crittografia di testo semplice . Non penso che sia il modo giusto per usare l'handle come un sale, ma l'idea generale è lì.
posta Christopher Oezbek 11.03.2017 - 23:12
fonte

1 risposta

2

U2F non può essere utilizzato per crittografare nulla. I dispositivi U2F possono essere richiesti solo due cose:

  • Registra una nuova identità (Crea una nuova coppia di chiavi)
  • Autentica utilizzando un'identità esistente. (Firma la sfida del server con hash con poche altre informazioni)

Quindi non penso che la tua domanda abbia senso, ma forse puoi dare maggiori dettagli.

    
risposta data 14.03.2017 - 16:15
fonte

Leggi altre domande sui tag