¿Un dongle de autenticación de dos factores (OTP) que siempre se inserta en el MacBook agrega un beneficio de seguridad?

2

Creo que para obtener un Yubikey y leer que Keepass con OTP no tiene sentido No. La seguridad sigue siendo la misma + sobrecarga cognitiva extra .

Intento almacenar todos los datos de forma local y uso raramente los servicios basados en la nube.

Si tengo un SecOp muy malo y mantengo el dongle siempre enchufado en el MacBook (o en la misma mesa) , ¿ese dongle agrega un beneficio de seguridad?

Mi modelo de hilo son ataques remotos. Si hay un beneficio de seguridad, ¿qué configuración de Yubikey necesito implementar para beneficiarme de una seguridad mejorada?

    
pregunta Ivanov 28.05.2018 - 11:15
fuente

4 respuestas

3

Sí, agrega un beneficio de seguridad para ataques remotos. Simplemente asuma que escribe su contraseña en una ventana de chat en lugar de en el cuadro de contraseña de un sitio web. Con 2FA, nadie en el chat puede iniciar sesión en su cuenta, incluso cuando su YubiKey está conectada a su Macbook.

Puede que corra un poco más de riesgo cuando Yubikey escriba su TOPT en el mismo chat, pero con un poco de suerte caducará antes de que alguien se dé cuenta de qué es y dónde iniciar sesión. Y la filtración de un TOTP no filtra la clave maestra necesaria para generar la siguiente.

    
respondido por el allo 28.05.2018 - 14:37
fuente
2

¿Qué agrega Yubikey

El Yubikey actúa como un entorno seguro, donde se puede almacenar el secreto OTP. Como el Yubikey siempre está conectado, si fuerza el toque de los códigos (predeterminado para los códigos de Yubikey y una opción para los códigos TOTP), un atacante solo podrá iniciar sesión en los servicios al mismo tiempo que lo hace, lo que significa que un inicio de sesión fallará. como los códigos OTP deben ser de un solo uso.

    
respondido por el jrtapsell 28.05.2018 - 14:30
fuente
2

Algunas respuestas tienen un pequeño detalle incorrecto:

  • El Yubikey no sigue per se el algoritmo TOTP como se define en RFC6238. El yubikey viene con un algoritmo OTP basado en AES. Puede inicializar el yubikey para seguir el algoritmo HOTP (RFC4226) (basado en eventos). Esto se debe a que TOTP necesita el tiempo, un reloj que el yubikey no tiene. Sin embargo, puede hacer una respuesta de desafío con el yubikey y esto facilita un software de cliente adicional que haga TOTP.

Pero el Yubikey 4 también es una tarjeta inteligente completa. Por lo tanto, puede crear un par de claves asimétricas en el yubikey. Puede utilizar esta funcionalidad de tarjeta inteligente para proteger (cifrar) los datos de la manera correcta. El software cifraría la clave de encriptación de datos simétrica con la clave pública, que se generó en el yubikey. Usted (o un atacante) solo podría descifrar la clave de cifrado de los datos y, por lo tanto, los datos utilizando la clave privada, que se creó en el yubikey y que no se puede exportar desde el yubikey. Esta es la forma más sensata de implementar una protección de cifrado 2FA con tecnología de punta.

No sé, si keepass admite tarjetas inteligentes / PGP / PKCS11.

    
respondido por el cornelinux 10.06.2018 - 09:17
fuente
0

No, el atacante debe tener acceso físico al dispositivo para poder utilizar las funciones de Yubikey. Por lo tanto, se recomienda utilizar el Yubikey como 2FA incluso para eliminar las amenazas en las proximidades.

    
respondido por el Adrian Baginski 28.05.2018 - 11:30
fuente

Lea otras preguntas en las etiquetas