Generazione di password deterministica con Yubikey

0

Mi piace LastPass ma averlo come plugin per il browser significa che un utente malintenzionato potrebbe rubare tutte le mie password contemporaneamente. Ha molto senso usare un dispositivo hardware per memorizzare le mie password, come fa yubikey. Ma poi perderlo sarebbe un problema.

Il modo migliore sarebbe usare yubikey per generare in modo deterministico una password per ogni sito, dato l'URL del sito, il mio nome utente e qualche altro nonce, così posso cambiare le password per un sito specifico se necessario.

So che yubikey ha una sorta di challenge response ma non può essere eseguito il backup come una curva gpg aperta.

Mi piacerebbe sapere se ci sono soluzioni a questo problema che fa quello che ho detto, ma usando RSA con yubikey / altri, e quali sono i possibili difetti . Ad esempio, la mia password su ciascun sito sarebbe così molle:

hash(rsa_signature(url, username, nonce))[0,n]

cioè, la mia password sarebbe il primo n caratteri dell'hash della firma di url , username e nonce concatenati insieme. L'hash sarebbe buono per anonimizzarmi, quindi la mia firma non può essere testata contro la mia chiave pubblica. Tale servizio dovrebbe solo tenere traccia di nonce e n per ogni url e username .

Ho letto alcuni post su questo, quindi per favore non contrassegnare come duplicato:

questa idea per un gestore di password è sicura? In tal caso, perché nessuno lo usa? - non per i dispositivi hardware, quindi il keylogger è un problema. Non nel mio schema.

Gestori password: database crittografato contro strategia hashing - nessuna menzione su nonce

    
posta Lucas Zanella 21.04.2018 - 17:34
fonte

1 risposta

1

Il primo problema è che se perdi il dispositivo con il nonce, non puoi comunque recuperarlo. Non ha senso essere deterministici se si aggiunge nonce non deterministico.

Il secondo problema è che possono accedere al sito catturando comunque la password. Solo una leggera modifica al keylogger. È sempre lo stesso Ecco perché viene utilizzata la risposta alla sfida.

IMHO la soluzione migliore sarebbe quella di utilizzare la risposta alla sfida e aggiungere due yubikeys o altri token, uno per l'uso normale e uno come backup nel caso in cui il primo sia perso.

    
risposta data 21.04.2018 - 18:40
fonte

Leggi altre domande sui tag