Generación de contraseña determinística usando Yubikey

0

Me gusta LastPass pero tenerlo como complemento del navegador significa que un atacante podría robar todas mis contraseñas a la vez. Tiene mucho sentido usar un dispositivo de hardware para almacenar mis contraseñas, como lo hace yubikey. Pero luego perderlo sería un problema.

La mejor manera sería utilizar yubikey para generar de manera determinista una contraseña para cada sitio, dada la URL del sitio, mi nombre de usuario y alguna otra información, de modo que pueda cambiar las contraseñas de un sitio específico si es necesario.

Sé que yubikey tiene algún tipo de respuesta de desafío, pero no se puede realizar una copia de seguridad como una curva de gpg abierta.

Me gustaría saber si existen soluciones para este problema que hacen lo que dije pero que usan RSA con yubikey / otros, y cuáles son las posibles fallas . Por ejemplo, mi contraseña en cada sitio sería algo así:

hash(rsa_signature(url, username, nonce))[0,n]

es decir, mi contraseña serían los primeros n caracteres del hash de la firma de los url , username y nonce concatenados juntos. El hash sería bueno para anonimarme, por lo que mi firma no se puede probar con mi clave pública. Dicho servicio solo tendría que realizar un seguimiento de nonce y n para cada url y username .

He leído algunas publicaciones sobre esto, así que no las marque como duplicadas:

¿Es esta idea para un administrador de contraseñas seguro? Si es así, ¿por qué nadie lo usa? , no para dispositivos de hardware, por lo que keyloggin es un problema. No en mi esquema.

Gestores de contraseñas: base de datos cifrada vs estrategia de hashing - no hay mención sobre nonce

    
pregunta Lucas Zanella 21.04.2018 - 17:34
fuente

1 respuesta

1

El primer problema es que, si pierde el dispositivo con la fuente, no puede recuperarse de todos modos. No tiene sentido que sea determinista si agrega un nonce no determinista.

El segundo problema es que pueden iniciar sesión en el sitio capturando la contraseña de todos modos. Sólo una ligera modificación en el keylogger. Siempre es el mismo. Es por eso que se está utilizando la respuesta de desafío.

En mi humilde opinión, la mejor solución sería utilizar la respuesta de desafío y agregar dos yubikeys u otros tokens, uno para uso normal y otro como respaldo en caso de que se pierda el principal.

    
respondido por el Peter Harmann 21.04.2018 - 18:40
fuente

Lea otras preguntas en las etiquetas