Recientemente obtuve una clave FIDO U2F (AKA a Yubikey). Actualmente solo lo uso en una gama de servicios, pero ¿podría ser un riesgo de seguridad de alguna manera?
Por ejemplo, si uso mi clave U2F para autenticarme en un sitio web malintencionado y / o inseguro y / o malicioso, ¿podría mi clave U2F estar comprometida de alguna manera?
No, estás a salvo
Incluso si lo ingresaste dentro de una computadora maliciosa, tu clave no pudo ser comprometida. Utiliza la misma seguridad que una tarjeta de crédito; es decir, una tarjeta inteligente. Esta tarjeta inteligente contiene una clave privada que no se revela a menos que abra físicamente la tarjeta inteligente. Esta es la razón por la que las tarjetas de crédito con una tarjeta inteligente son mucho mejores que las tarjetas de crédito con una banda magnética. La banda se puede copiar con solo escanearla, mientras que es imposible copiar la tarjeta inteligente con solo usarla.
¿Cómo funciona?
Es básicamente un mecanismo de desafío-respuesta. La tarjeta inteligente tiene una clave privada y es la única entidad que conoce esta clave privada. Cuando te autenticas, recibes un desafío; Por lo general, un número aleatorio o algo así. Luego, cuando presiona el símbolo dorado en su usb, el desafío se envía a la tarjeta inteligente que lo cifra con su clave privada y luego devuelve el desafío cifrado. Este desafío cifrado se envía luego al servidor, que contiene todas las claves públicas que coinciden con las claves privadas que están almacenadas en el usb. Luego, el servidor descifra el desafío cifrado con la clave pública correcta y verifica que coincida con el desafío.
Acerca del phishing
La protección contra phishing en U2F es de primera categoría, parece. Vea esta excelente respuesta:
¿Qué tan seguros son los tokens FIDO U2F
Aún así, ten cuidado con las computadoras comprometidas
Incluso si su clave usb no puede verse comprometida, usted, como usuario, aún es vulnerable si usa una computadora comprometida. En una computadora comprometida, no puedes confiar en nada de lo que veas. Incluso si todo se ve bien, url en el navegador, certificado, etc. No puedes confiar en nada. Podría presentarle una página de inicio de sesión pero, de hecho, utilizaría esa información de inicio de sesión para cambiar su contraseña para ese sitio.
Conclusión
Su llave usb es segura. Tú eres otra historia. En algún momento, usted es el único que puede evitar que lo utilice en una máquina infectada con virus.