LINUX.ORG.RU

Вопрос по Yubikey

 , ,


0

2

Привет, форумчане.

А это правда что если злоумышленник считает NFC метку ключа то такой ключ будет скомпрометирован?

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?



Последнее исправление: user13 (всего исправлений: 4)

Это если только на ключе приклеена бумажка с паролями и логинами. Ключ – это ж только один из факторов, которые надо знать/иметь, чтобы залогиниться.

Я думаю, что просто не надо ключ хранить там же где и пароль, ну или давать человеку, который знает пароль и логин. В идеале это должно быть три человека. Один знает логин, второй – только пароль, а третий – не выпускает yubikey из рук.

avsej
()

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?

Это физическое хранилище защищенных ключей. Если у вас его угнали то, (внезапно) их скомпрометировали

PPP328 ★★★★★
()
Ответ на: комментарий от PPP328

Кстати, на коробке написан sn, nfc по умолчанию включен, то есть ключь можно еще не купленый скомпрометировать, далее номера заказов, личность устанавливается легко… ну вот пожалуйста.

при том что некотоыре вешают на ключь всё и отказываются от пароля вообще

user13
() автор топика
Последнее исправление: user13 (всего исправлений: 1)
Ответ на: комментарий от user13

У тебя не просто утверждение не верно, у тебя вся картина мира не верна. Ключ в магазине никто не считывал, но только лишь потому, что ключи вообще не считывают.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Так, я сужу чисто по практическим аспектам, зачем существуют эмуляторы убикеев?

То есть ключ можно скопировать, что для этого нужно сделать?

Если это возможно, значит есть ничтожная вероятность что его уже скопировали еще в магазине.

user13
() автор топика
Последнее исправление: user13 (всего исправлений: 2)
Ответ на: комментарий от user13

Суть всех Hardware Tokenов (Sim кары, Чипы банковских карт и кучи других смарт карт), в том что их нельзя скопировать, без адового реверса физического устройства, а криптографические операции выполняются внутри, в не зависимости интерфейса передачи данных, через медные дорожки или nfc.

sparks ★★★★
()
Ответ на: комментарий от user13

Плевать какой ключ вы купили и кто его считывал до этого. Первое что нужно сделать после покупки - зашить в него новые ключи.

PPP328 ★★★★★
()
Последнее исправление: PPP328 (всего исправлений: 2)

Если ты про OTP, то он при каждом касании (в смысле меняется раз в минуту) новый - злоумышленник должен знать исходный ключ, который никто не отдаст

Если ты про PGP/GPG ключи, то там еще сложнее - ты можешь скопировать приватный ключ на устройство, но не сможешь его достать. Плюс есть возможность хранить там исключительно subkey (не знаю как это по-русски), который без ключа на локальной машине бессмысленен и им не воспользоваться в случае кражи самого юбика.

adn ★★★★
()
Последнее исправление: adn (всего исправлений: 1)

А это правда что если злоумышленник считает NFC метку ключа то такой ключ будет скомпрометирован?

нет

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?

тоже нет

ivlad ★★★★★
()

А это правда что если злоумышленник считает NFC метку ключа то такой ключ будет скомпрометирован?

Нет.

Ну или вставит его в комп и получить вот эту кракозябру которую ключ генерит когда его касаешся?

Эта кракозябла меняется. Она одноразовая (ОTP).

Вся суть юбика в том, что секретный ключ внутри и его оттуда просто так не вынуть. И все операции с ключом он проделывает сам и ключ наружу не отдает.

no-dashi-v2 ★★★
()