¿Cuáles son las implicaciones de privacidad de usar Yubico OTP con YubiCloud?

Question

¿Cuáles son las implicaciones de privacidad de usar Yubico OTP con YubiCloud?

#1 de cornelinux (3 votos)

2

Estoy considerando la compra de dispositivos Yubikey (hecho por Yubico ) para agregar autenticación de dos factores cuando mis usuarios ssh a nuestros diversos servidores. Pensé que configuraría el dispositivo para usar Yubico OTP con YubiCloud (a través de la yubico-pam PAM módulo).

¿Cuáles son las implicaciones de privacidad de hacer esto? ¿Sabrá Yubico qué usuarios están iniciando sesión en qué servidores y cuándo? El valor OTP incluye un identificador estático y el servidor consultaría a YubiCloud en el instante en que el usuario presiona el botón, por lo que parece que Yubico podría rastrear a los usuarios al iniciar sesión en varios servidores.

¿Hay algo que pueda hacer para minimizar las filtraciones de privacidad? Por ejemplo, ¿puedo configurar mis servidores ssh para probar primero un servidor de validación local y volver a YubiCloud si servidor de validación local no está disponible? (Me gustaría configurar algún tipo de sincronización con YubiCloud para evitar los ataques de repetición de OTP, pero no sé si eso es posible y la sincronización podría anular las ganancias de privacidad de ejecutar mi propio servidor de validación).

privacy ssh one-time-password multi-factor yubikey

pregunta Richard Hansen 28.02.2016 - 08:16

fuente

1 respuesta

Lea otras preguntas en las etiquetas privacy ssh one-time-password multi-factor yubikey

¿La vulnerabilidad de glibc getaddrinfo afecta a los sistemas Windows? ¿Cómo realizar un escaneo inactivo contra un objetivo utilizando Nmap con una lista de zombies? [cerrado]

score 3 · Accepted Answer

Yubico no sabrá qué usuarios han iniciado sesión. El yubikey solo envía un número de serie dentro del valor otp. Utilizan este número de serie para asignar la clave AES.

Así que no es anónimo sino seudónimo. Si alguna vez asignan el identificador / número de serie al usuario, lo saben.

Pero (modo de sombrero de papel de aluminio) Yubico puede saber qué número de serie le vendieron. Así que yubico sabe, que alguien de su empresa está iniciando sesión. También pueden saberlo a través de la dirección IP que lo solicita. Entonces podrían decidir decir sí o no, no dependiendo de la presencia real del yubikey, sino dependiendo de si el FBI quiere iniciar sesión o no ;-) (final del modo de sombrero de papel de aluminio)

Si se preocupa por esto, puede usar privacyIDEA ejecutándose en sus instalaciones para validar todos sus dispositivos OTP ( en modo HA ).

PAM es una pila poderosa. Puede configurar todo lo que desee. Por lo tanto, podría configurar una instancia de autenticación local y acceder al servicio en la nube. Pero como se mencionó anteriormente, también puede configurar su servicio local en HA.