Каковы преимущества PIV auth для персонального ноутбука Mac?

У меня есть смарт-карта YubiKey для аутентификации challenge-response с несколькими личными онлайн-учетными записями. С онлайн-учетными записями преимущества двухфакторной аутентификации просты: только кто-то с моим паролем и моим физическим ключом может войти в мои учетные записи. Смарт-карты лучше, чем проблемы на основе SMS, потому что доступ к моему номеру телефона недостаточно для доступа (и, по-видимому, телефонные номера являются слабым звеном в этом отношении).

macOS Sierra поддерживает использование ключей смарт-карт для входа на Mac (Yubico docs). Я не подключаюсь к моему персональному ноутбуку Mac удаленно, и я использую встроенный брандмауэр macOS, чтобы разрешить только определенным программам принимать входящие соединения. Я заметил, что проблемы с авторизацией для таких вещей, как разблокировка экрана, установка программного обеспечения и изменение настроек, будут использовать ключ. Я предпочитаю использовать nub-стиль Yubikey, который остается в USB-порту моего ноутбука, что означает, что любой человек с физическим доступом к ноутбуку имеет ключевой.

есть ли какие-либо преимущества использования YubiKey PAM с macOS Sierra на персональном ноутбуке с включенным брандмауэром? Обеспечивает ли это дополнительный уровень защиты от удаленных атак или я одинаково защищен (или одинаково уязвим) без него? С Смарт-Картой, оставленной в слоте, является ли PIV auth только полезным, если удаленный вход доступен или auth управляется удаленно?

23
задан Dan Sanderson
13.01.2023 9:53 Количество просмотров материала 3650
Распечатать страницу

1 ответ

единственное преимущество, которое я лично вижу для локальной аутентификации, заключается в том, что он несколько более защищен от вредоносных программ (которые больше не могут подделывать подсказки пароля root).

с одной стороны, "физический доступ" является довольно важной частью. Невозможно скопировать маркер смарт-карты (как можно скопировать~/.ssh / id_rsa не оставляя следов), и даже при физическом доступе его нельзя клонировать без совсем немного времени и ресурсов. В общем, он может быть "заимствован" только из вашего USB-порта, что очень заметно.

с другой стороны, это не поможет, если весь компьютер украден (или если кто – то может просто сесть и использовать его), и я определенно не оставил бы такой ключ навсегда вставленным в компьютер, если он также используется для веб-аутентификации-особенно если на том же компьютере есть все обычные пароли, хранящиеся в веб-браузере. (Это похоже на запись вашего PIN-кода на самой банковской карте.)

2
отвечен grawity 2023-01-14 17:41

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх