web-dev-qa-db-ja.com

複数の資格情報のセットで単一のU2F / FIDOキーを使用することに関連するリスクはありますか?

私は最近、FIDO U2Fキー(別名、ユビキー)を取得しました。私は現在、さまざまなサービスでのみ使用していますが、これは何らかのセキュリティリスクになる可能性がありますか?

たとえば、U2Fキーを使用して、怪しげな、および/または安全でない、および/または悪意のあるWebサイトで認証すると、どういうわけか私のU2Fキーが危険にさらされる可能性がありますか?

6
Jules

いいえ、あなたは安全です

悪意のあるコンピュータ内に入力した場合でも、キーが侵害されることはありません。クレジットカードと同じセキュリティを使用します。スマートカードを意味します。このスマートカードには、物理​​的にスマートカードを開かない限り公開されない秘密キーが含まれています。これが、スマートカード付きのクレジットカードが磁気ストライプ付きのクレジットカードよりもはるかに優れている理由です。ストライプをスキャンするだけでコピーできますが、スマートカードを使用するだけではコピーできません。

どのように機能しますか?

これは基本的にチャレンジ/レスポンスメカニズムです。スマートカードには秘密キーがあり、この秘密キーを知っているのはこのエンティティだけです。認証すると、チャレンジを受けます。通常、乱数またはそのようなもの。次に、USBの金色の記号を押すと、チャレンジがスマートカードに送信され、スマートカードが秘密キーを使用して暗号化してから、暗号化されたチャレンジを返します。次に、この暗号化されたチャレンジは、USBに格納されている秘密鍵と一致するすべての公開鍵を含むサーバーに送り返されます。次に、サーバーは暗号化されたチャレンジを適切な公開鍵で復号化し、チャレンジと一致することを確認します。

フィッシングについて

U2Fのフィッシング対策は一流のようです。この素晴らしい答えを見てください:

FIDO U2Fトークンはどの程度安全ですか

それでも、侵害されたコンピュータに注意してください

USBキーが危険にさらされない場合でも、危険にさらされたコンピューターを使用する場合、ユーザーとしての脆弱性は依然として存在します。侵入先のコンピュータでは、目にするものを信頼することはできません。すべてに問題がないように見えても、ブラウザのURL、証明書など。何も信用できません。ログインページを表示することもできますが、実際にはそのログイン情報を使用して、そのサイトのパスワードを変更します。

結論

あなたのUSBキーは安全です。あなたは別の話です。ある時点で、ウイルスに感染したマシンでそれを使用するのを防ぐことができるのはあなただけです。

8
Gudradain