Un serveur malveillant pourrait-il compromettre un YUBIKEY OTP et l'utiliser pour vous connecter à d'autres serveurs?
Disons que j'utilise mon Yubikey OTP pour vous connecter à plusieurs serveurs, et il devient compromis. Je vais vous connecter à ce serveur compromis et entrez mon OTP. De toute évidence, une fois que ce mot de passe est vérifié, il ne peut pas être réutilisé, mais dont le serveur doit le vérifier? Les logiciels malveillants pouvaient se reproduire en essayant de se connecter à un autre serveur avec ce YUBIKEY OTP, etc. et donc un sur plusieurs serveurs. Est-ce possible, ou je manque quelque chose?
Oui, si le serveur compromis ne validait pas l'OTP dans le but de vous attendre, il peut l'utiliser pour tenter de se connecter à d'autres services qui fonctionnent avec le même YUBIKEY. Ce serait un homme à l'attaque intermédiaire avec la particularité que "l'homme au milieu" se trouve être l'un de vos serveurs (le serveur compromis). Le schéma OTP YUBIKEY ne protège pas contre de telles attaques.
Cela suppose que le serveur compromis n'est pas un serveur de validation YUBIKEY. Si tel est le cas, vous devez supposer que l'attaquant peut générer des OTPS de tout numéro de séquence. En d'autres termes, l'attaquant possède pratiquement une copie de la Yubikey. En effet, les serveurs de validation connaissent le secret qui est stocké sur Yubikey si la clé est enregistrée avec elles.