Sicurezza di KeePass e Yubikey OATH-HOTP

Naviga le tue risposte
0

Quanto è sicuro KeePass in aggiunta a un Yubikey con OATH-HOTP?

Ho letto Yubikey con KeePass utilizzando challenge- risposta vs OATH-HOTP che con OATH-HOTP non viene aggiunto un secondo fattore reale.

Ma quello che non capisco è che senza il plugin e solo con la password principale non posso aprire il database. L'unico modo che vedo è aprire il database con la chiave "recupero".

Quindi penso che con OATH-HOTP puoi usare una password più lunga (master password + OTPs) perché devi memorizzare una password master più corta. In tal modo la sicurezza aumenta se si utilizza una lunga chiave di "recupero" per OATH-HOTP.

È giusto?

    
posta mucki 16.12.2016 - 13:13
fonte

1 risposta

1

Non è possibile utilizzare HOTP per crittografare i dati. HOTP è un algoritmo simmetrico che si basa su una parte autentificante per verificare il valore OTP, che l'utente inserisce.

Il valore OTP viene calcolato sulla base di una chiave simmetrica condivisa e di un contatore.

condiviso significa che l'utente (nel suo dispositivo) e la parte di autenticazione (di solito il server) hanno entrambi la stessa chiave per calcolare lo stesso valore. La sicurezza sta nel proteggere questa chiave! Chiunque abbia la chiave (beh, un contatore, ma questo non è un problema) può calcolare i valori OTP.

Nello scenario keepass la parte autenticante è il programma o meglio il file del vault. Ma si cripta il file del vault, dal momento che si desidera evitare la compormazione dei dati nel caso in cui il file venga rubato.

Ora non esiste un modo semplice per proteggere / crittografare la chiave segreta condivisa, se questo è ciò che si desidera utilizzare per crittografare i dati. In qualche modo crittografate i dati con i dati stessi.

Tuttavia, è possibile provare a crittografare inizialmente la chiave segreta e la chiave di crittografia dei dati con il valore OTP successivo. Quando l'utente immette il valore OTP successivo che può calcolare con il token OTP, la chiave segreta e la chiave di crittografia dei dati potrebbero essere decodificati. Quindi keepass potrebbe calcolare il valore OTP successivo (n + 2) con la chiave segreta decrittografata e ricodificare la chiave segreta e la chiave di crittografia dei dati.

Ma onestamente ci sono così tanti possibili difetti in una tale configurazione, che è molto probabile che perderete i vostri dati piuttosto rapidamente. La cosa semplice è che premi il pulsante del token OTP due volte ... o dieci volte. keepass non avrebbe avuto dieci versioni della chiave segreta cifrata e della chiave di crittografia dei dati ...

Quindi potresti finire per cifrare la chiave segreta condivisa con la password statica. Hm. Quindi tutta la tua sicurezza dipende solo dalla forza di questa password statica e finisci con ... ... indovina quale: un fattore .

    
risposta data 21.02.2017 - 00:19
fonte

Leggi altre domande sui tag

Ottenere l'accesso alla shell su un server Web Unix [chiuso] Sarebbe sicuro generare proceduralmente password basate su una chiave master e un'etichetta di account? [duplicare]