¿Asegurar contraseñas individuales en el administrador de contraseñas con U2F?

1

Dado que U2F implementado por ejemplo por YubiKey no tiene estado, me pregunto si algún administrador de contraseñas admite el cifrado de cada contraseña individual almacenada en una colección de contraseñas usando U2F.

Esto ayudaría contra el problema común de que abrir el administrador de contraseñas ya es un gran riesgo para la seguridad (piense que CTRL + A, CTRL + C para copiar todas las entradas) e impida revelar sus contraseñas completas solo porque un atacante haya registrado un desafío / Comunicación de respuesta para una sola tecla.

Fondo:

  • U2F no es un estándar de cifrado, sino un estándar de autenticación y utiliza claves públicas / privadas para la autenticación de los desafíos del servidor.
  • En función de su uso de firmas de clave pública / privada, a pesar de que debería ser posible para un administrador de contraseñas mantener "identificadores" para cada contraseña almacenada, que después de ser firmada por el dispositivo U2F produce la clave de cifrado real.
  • Consulte aquí para un posible uso de u2f para cifrado de texto simple . No creo que sea la forma correcta de usar el asa como sal, pero la idea general está ahí.
pregunta Christopher Oezbek 11.03.2017 - 23:12
fuente

1 respuesta

2

U2F no se puede utilizar para cifrar nada. A los dispositivos U2F solo se les puede pedir dos cosas:

  • Inscribir una nueva identidad (Crear un nuevo par de claves)
  • Autentíquese utilizando una identidad existente. (Firme el desafío del servidor hash con otra información)

Así que no creo que tu pregunta tenga sentido, pero quizás puedas dar más detalles.

    
respondido por el FredericMARTIN 14.03.2017 - 16:15
fuente

Lea otras preguntas en las etiquetas