¿Debe LastPass usar el identificador público de YubiKey como clave secreta?

4

Acabo de recoger una YubiKey .

Sin embargo, la demostración que Yubico te redirecciona a se sirve a través de HTTP simple, sobre el cual cada OTP que generas durante La demostración está POSTADA, lo que le permite verificar que su clave funciona correctamente. El primer grupo de caracteres de cada OTP es un identificador público estático de la clave.

Como servicios como LastPass usa el identificador estático para cifrar su bóveda de contraseñas para uso sin conexión, ¿es una buena opción para que LastPass use el identificador público ya que Yubico trata esto como conocimiento público?

    
pregunta SilverlightFox 06.01.2015 - 16:56
fuente

3 respuestas

3

No, esto es inseguro ya que la identidad pública no se considera un secreto. Esto está respaldado por el hecho de que Yubico envía el identificador a través de HTTP. Si se sabe que esto se usa para una cuenta de LastPass, un MITM podría capturar la clave de cifrado adicional sin conexión que utiliza LastPass.

Aunque existe la posibilidad de que se haya filtrado a través de Internet, ya que la contraseña maestra también es necesaria para desbloquear la bóveda local de contraseñas, el riesgo es bajo.

El YubiKey Personalization Tool se puede utilizar para configurar una nueva identidad pública en caso de que se haya filtrado.

    
respondido por el SilverlightFox 06.01.2015 - 16:56
fuente
1

El identificador público de YubiKey es solo una parte. La clave se genera también a través del hash de su contraseña maestra (más correo electrónico) todo combinado. Incluso si el atacante conoce el identificador público de YubiKey (y su correo electrónico), ¿y qué? La contraseña sigue siendo secreta. Esa es la parte más importante.

Agregar el identificador público al hash no debilita la seguridad del último paso.

    
respondido por el user12480 18.11.2015 - 23:26
fuente
0

Para el mejor procedimiento 2FA en este contexto, la parte importante aquí es mantener la opción "Permitir acceso sin conexión" DESACTIVADA . Con esta opción desactivada, LastPass no le enviará la bóveda que contiene las contraseñas cifradas (o tal vez no le envíe la clave para descifrar, no recuerdo cuál) a menos que el YubiOTP se valide contra los servidores de Yubico como nuevo / OTP no utilizada previamente.

Si habilitas esta opción, solo estás usando la parte de prefijo estático de YubiOTP como una segunda contraseña invariable, que es un segundo factor pobre en el mejor de los casos.

enlace

    
respondido por el bhoar 19.11.2015 - 21:05
fuente

Lea otras preguntas en las etiquetas