web-dev-qa-db-fra.com

Quel est le but de yubikey

Je fais des informations sur Yubikey (par exemple Qu'est-ce qu'une clé YUBI et comment fonctionne-t-il ? ) et trouvé les informations à incomplètes. C'est ma compréhension, que lorsque l'utilisateur est invité à répondre à un mot de passe, tout ce qu'ils ont à faire est de brancher le YUBIKEY dans un port USB et appuyez sur son bouton, puis appuyez automatiquement un mot de passe dans le champ Texte actif.

Point 1)
[.____] Selon Journal Linux

Chaque fois que vous appuyez sur le bouton de l'appareil, il génère un mot de passe unique et l'envoie à la machine hôte comme si vous l'aviez entré sur un clavier.

Donc, si c'est un mot de passe différent à chaque fois, quel est bon cela fait?

Point 2)
[.____] Est-ce plus sûr que d'utiliser une clé USB avec un fichier de clé dessus?

Point 3)
Du Yubico Il n'est pas possible de sauvegarder le périphérique, donc si vous le perdiez ou si vous le perdiez, vous avez des problèmes (dans ce sens, un fichier clé régulier est bien meilleur).

Point 4)
[.____] J'ai Lire qu'il n'est pas susceptible de copier des logiciels malveillants, mais je ne crois pas cela. Si cela agit comme un clavier, qu'est-ce qui arrête un keyLogger d'intercepter les coups de frappe?

Point 5)
[.____] Youbikey est Open Source . Cela compte-t-il car il s'agit principalement d'un périphérique matériel?

Point 6)
[.____] Si cela entrait simplement un mot de passe, comment est-ce différent de simplement avoir un autre mot de passe écrit ou mémorisé?

security-theateryubikey
11
Celeritas

Un peu de fond quant à ce que Youbikey est le premier: YUBIKEYYYE est une variation d'un type de périphérique commun appelé mot de passe un générateur de mot de passe . Fondamentalement, un mini-ordinateur qui génère un flux de mots de passe essentiellement illimitée, généralement une par minute à partir d'un algorithme déterministe intégré à l'appareil. L'astuce est que le mot de passe suivant est prévisible si vous connaissez une valeur "graine" secrète et sans surveillance si vous ne le savez pas.

De cette façon, un ordinateur d'authentification qui sait que la graine secrète peut confirmer que vous avez le YUBIKEY physiquement sous la main, car uniquement le YUBIKEY et le serveur d'authentification1 peut générer le mot de passe unique requis à une minute spécifique à temps.

Donc:

  • point un. Tant que le serveur d'authentification sait ce que le mot de passe devrait générer, avoir un mot de passe différent chaque fois que quelqu'un empêche une personne d'espionner sur votre épaule et de voler votre mot de passe - comme chaque mot de passe devient inutile une minute plus tard. Essentiellement la clé est quelque chose que vous avez plutôt que quelque chose que vous savez2.
  • point deux. pour authentification - oui. Pour les raisons décrites ci-dessus. Pour cryptage - non. Comme vous voulez réellement vous rappeler et réutiliser la clé, vous avez crypté le fichier. En théorie, une clé USB de 32 Go remplie de données véritablement aléatoires pourrait être qualifiée de source d'entropie à volonté d'authentification et de cryptage, mais USBS ne sont normalement pas si difficiles à dupliquer ou à manipuler.
  • Point 3. En théorie Si vous connaissez la clé secrète, vous pouvez dupliquer le YUBIKEY, mais une fois qu'un YUBIKEY est configuré, l'idée est que vous ne pouvez pas le dupliquer car il doit être quelque chose que seule une personne autorisée possède. Bien sûr, étant donné que YUBIKEYS est destiné à une authentification au lieu de cryptage, de nouveaux (avec de nouvelles graines) peuvent être réédités pour un utilisateur qui a perdu leur ancien.
  • Point 4. Selon la vue d'ensemble, capturer les mots de passe est inutile car les mathématiques derrière le générateur de numéros de pseudo-pseudotage interne permettent de prédire des mots de passe futurs extrêmement difficiles - comme dans les gouvernements vous donnent des millions de dollars si vous réussissez, si vous réussissez, difficile.
  • point 5. Vous voulez qu'il soit open source. Les défauts cryptographiques les plus courants ne sont pas dans les algorithmes mathématiques, mais la mise en œuvre globale. Vous voulez savoir que tout expert en sécurité sur la planète peut extraire une copie du système et l'examiner pour les défauts comme besoin.
  • point 6. Selon la discussion antérieure.

1. En fonction de la configuration, car il existe de nombreuses autres façons d'utiliser la conception YUBIKEY.
2. Bien que je pense que YUBIKEY est une norme ouverte, vous pouvez donc mémoriser la graine secrète vous-même si vous le souhaitez vraiment pour une raison quelconque.

12
LateralFractal

Cela fonctionne de la même manière que la technologie de mot de passe ponctuelle symétrique (OTP).

Point 1 - Il ne s'agit pas de remplacer votre mot de passe, mais aussi un deuxième facteur d'authentification. Sans possession du YUBIKEY, vous ne pouvez pas générer le code nécessaire pour authentifier à un système.

Point 2 - Eh bien, il génère des mots de passe uniques afin qu'il soit plus sécurisé qu'un fichier CERT pouvant être copié et utilisé ultérieurement ailleurs.

Point 3 - Vrai, mais parfois défaillant fermé est préféré. Cela dépend simplement de ce que vous espérez que ce système vous fournira.

Point 4 - Cela peut intercepter les coups de frappe, mais ils seraient bons pour une seule utilisation. Je ne sais pas si un compromis du système pourrait toutefois dériver toutes les données secrètes du Yubikey, cependant. Pouvez-vous fournir un peu plus de détails sur ce que vous avez lu à ce sujet? J'ai remarqué sur leur site, ils mentionnent que ce n'est pas un moyen d'être infecté, car vous ne pouvez pas écrire de fichiers comme un lecteur USB.

Point 5 - Pas vraiment, sauf que vous puissiez être raisonnablement sûr qu'il n'y a pas une sorte de backdoor dedans. Ces types d'outils ont une clé de maîtrise ou quelque chose de similaire qui ne correspond évidemment pas quelque chose que vous voulez comme un utilisateur final.

2
theterribletrivium