非アクティブな期間の後にYubiKeyを「ロック」する方法はありますか?
2FAなどに使用するラップトップに YubiKey 5c nano を取り付けています。これは非常に機能し、目立たないのですが、小さなフォームファクターは本質的に常にラップトップに接続したままにしておくことを奨励しているようですキーの2要素の性質を弱める...または事実上、私のラップトップを2番目の要素にする。
Yubico Authenticatorを設定してYubikeyをパスワードで保護しているので、私のラップトップが盗まれた場合、Yubikeyはパスワードなしでは使用できません。しかし、パスワードが入力されると、ユビキーは電源を抜く(またはマシンをシャットダウンする)まで使用でき、旅行前にユビキーを抜くことを忘れるのではないかと心配しています。
Yubikeyを「ロック」して、一定の非アクティブ期間の後、またはCLIインターフェイスを介してパスワードを要求する方法はありますか?私はMac OS Xを使用していて、シェルスクリプトを書くことができますが、コミュニティにとってはOSに依存しない回答の方が役立つでしょう。
@ジョセフのポイントを理解して、私はまだ心配していました...
実際に、Yubico Authenticator GUIを終了するには、OATHアプレットを再起動するときにパスワードを設定する必要があることがわかりました。 ykman oath codeは実行するたびにパスワードを要求するため、OATHアプリケーションのパスワードをメモリに保存しているようです。
このため、毎分実行され、GUIでアイドル時間をチェックしてkillall yubioath-desktop 2> /dev/nullを実行する小さなcronジョブを作成するのは非常に簡単で、アイドル時間は構成された値よりも大きいです。
これは私が探していたものを提供します。
あなたは脅威モデルを誤解しています。ノートパソコンを2番目の要素にしても、2FAはまったく弱まりません。攻撃者は、ラップトップのユーザーアカウントのロックを解除するためのパスワードを知っていること(要素1)と、YubiKeyが含まれているラップトップを物理的に所有していること(要素2)の両方を必要とします。