Вопрос по Yubikey

Это если только на ключе приклеена бумажка с паролями и логинами. Ключ – это ж только один из факторов, которые надо знать/иметь, чтобы залогиниться.

Я думаю, что просто не надо ключ хранить там же где и пароль, ну или давать человеку, который знает пароль и логин. В идеале это должно быть три человека. Один знает логин, второй – только пароль, а третий – не выпускает yubikey из рук.

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?

Это физическое хранилище защищенных ключей. Если у вас его угнали то, (внезапно) их скомпрометировали

получить вот эту кракозябру которую ключ генерит когда его касаешся?

Это, кстати, отключается. В 99% случаев, если у вас не винда - то это только мешает.

Кстати, на коробке написан sn, nfc по умолчанию включен, то есть ключь можно еще не купленый скомпрометировать, далее номера заказов, личность устанавливается легко… ну вот пожалуйста.

при том что некотоыре вешают на ключь всё и отказываются от пароля вообще

Нет, что за бред ты написал? Какая метка?

Yubikey в режиме GPG — не какая-то метка, он на устройстве шифрует и дешифрует, а ключ не отдаёт.

Yubikey в режиме OTP выдаёт одноразовый пароль.

Ну скомпрометируй, давай. Что ты несёшь? Ключ можно бу брать вообще без проблем, если там железо не переделано.

А пин на что?

Блин, то есть моё утверждение не верно?

Я про ключ из магазина, то есть его точно никто не считывал, если считать что упаковка идеальна?

У тебя не просто утверждение не верно, у тебя вся картина мира не верна. Ключ в магазине никто не считывал, но только лишь потому, что ключи вообще не считывают.

Так, я сужу чисто по практическим аспектам, зачем существуют эмуляторы убикеев?

То есть ключ можно скопировать, что для этого нужно сделать?

Если это возможно, значит есть ничтожная вероятность что его уже скопировали еще в магазине.

зачем существуют эмуляторы убикеев? => То есть ключь можно скопировать

Как ты пришёл к таким гениальным мыслям? Вывод неверный.

Ну для меня любая цифровая инфа копируется, можно попробовать объяснить хотя бы в 10 словах, could you be so kind

У аппаратных ключей нет команд read и copy. А возможность их «захачить» максимально осложняется аппаратными же методами.

Суть всех Hardware Tokenов (Sim кары, Чипы банковских карт и кучи других смарт карт), в том что их нельзя скопировать, без адового реверса физического устройства, а криптографические операции выполняются внутри, в не зависимости интерфейса передачи данных, через медные дорожки или nfc.

Плевать какой ключ вы купили и кто его считывал до этого. Первое что нужно сделать после покупки - зашить в него новые ключи.

Если ты про OTP, то он при каждом касании (в смысле меняется раз в минуту) новый - злоумышленник должен знать исходный ключ, который никто не отдаст

Если ты про PGP/GPG ключи, то там еще сложнее - ты можешь скопировать приватный ключ на устройство, но не сможешь его достать. Плюс есть возможность хранить там исключительно subkey (не знаю как это по-русски), который без ключа на локальной машине бессмысленен и им не воспользоваться в случае кражи самого юбика.

А это правда что если злоумышленник считает NFC метку ключа то такой ключ будет скомпрометирован?

нет

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?

тоже нет

А это правда что если злоумышленник считает NFC метку ключа то такой ключ будет скомпрометирован?

Нет.

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?

Эта кракозябла меняется. Она одноразовая (ОTP).

Вся суть юбика в том, что секретный ключ внутри и его оттуда просто так не вынуть. И все операции с ключом он проделывает сам и ключ наружу не отдает.