Scusate ma la mia inevitabile hansificazione mi ha fatto postare tardi. Ero sicuro di aver aperto il 3d 10gg fa but here we are
Cloudflare Democratizes Spoof-Proof Security; Makes Hardware Security Keys More Accessible Than Ever for Millions of Customers Because it's Good for the Internet
Allora, loggate cloudflare, cliccate su "zero trust" (sulla sinistra in basso), dovreste vedere questo banner:
Con il push di apple google e le altre big per integrazione fido/webauthn negli smartphones diciamo che le yubikey potrebbero diventare obsolete prima del previsto.
Così a naso direi i maggiori siti probabilmente entro 1-2 anni lo supporteranno quindi stando larghi direi 3-4 anni sarà lo standard e addio password e addio yubikey
Pensavo fosse chiaro che questo thread fosse per chi le yubikey le usa, sa dove usarle e soprattutto perchè.
Più che altro ho aperto il thread proprio per chi ha bisogno di chiavi di riserva senza pagarle un fottio, oppure per chi ha una piccola azienda/team e vuole sfruttare l'occasione.
Appunto per quello se già i tuoi sistemi supportano yubikey perché non iniziare a usare le implementazioni iOS/Android (non so se quest ultima è già disponibile)
-le chiavi hardware costano molto meno (20$ each in media) e sono multipiattaforma, si possono avere 2 chiavi backup a meno di 50 sesterzi
-se perdi l'iphone fra una foto su instagram e una flexata su ngi è un casino prima che ritorni operativo, con le chiavi hardware, disassoci una e usi le altre tranquillamente
-ci sono dei luoghi (alcuni datacenter ad esempio, ma non solo) dove bisogna lasciare i dispositivi elettronici all'ingresso
sarei curioso, in questo contesto di sostituire una Yubikey perche' uno smartphone e' meno sicuro? ... perche' da quel che ne so e' esattamente l'opposto
Sul costo minore e' vero, sul multipiattaforma anche gli smartphone lo saranno (o forse gia' lo sono) con questa alleanza google/microsoft/apple etc
Nella realta' e' molto molto piu' facile perdere una yubikey che uno smartphone. Ho lavorato fino a poco tempo fa nel settore ed eravamo in contatto con qualche azienda big che ha esattamente questo problema con la loro workforce e stanno cercando di trovare alternative alle yubikey. Uno smartphone e' un dispositivo personale e ne hai molta piu' cura di una chiavetta qualsiasi che tieni in borsa.
Penso sia un use case molto specifico e di nicchia. Personalmente mi riferivo all'uso piu' esteso che riguarda l'autenticazione del 99% delle persone vs siti web o app.
Ho visto il tuo multiquote e già mi stavo preparando mentalmente a un wot infinito pieno di link e papers inclusi siti onion che comunque non avresti mai letto, poi invece mi sono soffermato sulla tua frase quotata e mi è passata la voglia onestamente
Poi, "azienda big" che cerca alternativa alle yubikey sicuramente non opterebbe mai per gli smartphones, a meno che non si tratti di un azienda di big idioti.
Poi tutto il resto che hai scritto, mmh, non ho voglia di argomentare sorry, diciamo che we agree to disagree
una delle piu' grosse aziende farmaceutiche del mondo non che voglia dire chissa' che cosa, alla fine gli idioti ci sono ovunque, pero' ecco non penso siano proprio gli ultimi arrivati. hanno appunto grossi problemi con le yubikey con la loro workforce specialmente da quando e' iniziata la pandemia e ci sono piu' persone che vengono onboardate da remoto. come loro abbiamo avuto contatto con qualche grossa banca in situazioni simili quindi sembra essere un pattern diffuso, non il delirio di qualche dipartimento di sicurezza della azienda pippo.
Dipende cosa intendi per auth da smartphone, SMS per fare 2FA sono totalmente d'accordo, ma non e' l'oggetto di questa discussione.
Si stava parlando di usare una chiavetta yubikey o uno smartphone nel contesto Fido/WebAuthN e in tale contesto, non puoi sostenere che smartphone sia meno sicuro. Da un punto di vista tecnico secondo il white paper FIDO non cambia nulla sono considerati entrambi dei roaming authenticator dove eventualmente cambia solo il mezzo di trasmissione (USB vs BLE vs NFC)
Il fatto e' che fino ad oggi non esisteva nessun modo di usare uno smartphone iOS/Android come FIDO roaming authenticator perche' da developer non puoi sviluppare una app e decidere di mandare i dati che vuoi via USB/BLE (non considero NFC xke nessun desktop/laptop ha un lettore rendendolo di fatto un protocollo inutile in questo contesto di autenticazione)
Con questa alleanza tra le big ora stanno integrando questa funzionalita' a livello di sistema e multipiattaforma, per questo e' una grossa rivoluzione secondo me e per il 99% delle persone (inclusi i dipdendenti delle aziende) rendera' obsolete le yubikey.
A parita' di sicurezza da un punto di vista tecnico, uno smartphone ritenuto un oggetto molto personale di cui tutti ci prendiamo cura vincera' sempre vs una chiavettina di dimensioni minuscole che puoi facilmente perdere.
Secondo me hai detto molte cose inesatte in tutti i tuoi reply, (mods mi sto trattenendo fortissimo visto? ) mentre certe erano addirittura semplicemente false.
Sai come succede questo? Reggiti forte eh
Accade, che quando una persona come te è brava nel suo campo specifico(credo e spero, leggendoti in passato non mi sei sembrato un junior sicuramente), la sua self-confidence gli faccia commettere questi scivoloni, perchè magari tu tutto il giorno studi e ti aggiorni (spero per te) nella tua nicchia specifica avendo giustamente conoscenze marginali dell'ambiente che ti circonda. Questo è uno sbaglio a mio avviso, perchè crea poi le condizioni ideali di mettere in pericolo la propria infrastruttura.
Peggio ancora poi (come si evince dai tui reply), si creano vere e proprie echo-chambers dove brillanti dipendenti e managers col suv si fanno i boccacicci a vicenda mettendo sempre la cybersecurity in secondo piano, come se fosse (al momento) una branca dell'informatica che nelle sue best practices potesse essere semplificata stile utonto apple fag (non è così al momento, ma lo sarà come giustamente fai notare, purtroppo)
Il problema, come giustamente traspare dai tuoi post, è che la cybersecurity è brutta/noiosa/nontrendy, ma purtroppo ci vuole effort ad usare best practices in ogni momento, posso capire sia frustrante.
E hai ragione, perchè moltissimi la pensano come te purtroppo, e molte volte la pigrizia dei dipendenti oppure proprio l'infrastruttura disegnata male, creano le condizioni per degli attacchi.
Come facevi notare prima, caso strano le aziende che non volevano le chiavette erano farmaceutica e bancaria, proprio fra quelle categorie di aziende che diciamocelo, non mettono sempre la sicurezza informatica al primo posto.
I telefoni, android o ios che siano, sono molto più vulnerabili quando già compromessi, e i fattori di rischio sono esponenziali. Le chiavette hanno la maggior parte delle vulnerabilità in locale, raramente da remoto (in qualche paper che ho letto yubikey addirittura è la meno vulnerabile.)
I telefoni si perdono, smettono di funzionare, te li rubano/vieni rapinato, tua moglie te lo spacca in faccia, tuo figlio te lo prende a martellate, mentre cammini facendo la recensione dell'ultimo starbucks aperto ti sfugge dalle mani e si rompe in mille pezzi, etc etc
Infatti non capisco perchè secondo te avere le auth nel telefono sarebbe un punto di forza, anzi, a parer mio il contrario.
Detto questo, sui dispositivi mobili la tecnologia è abbastanza acerba e proprio per la natura del dispositivo stesso, vulnerabile a moltissimi attacchi anche a livello kernel; la chiavetta invece ha un uso e un uso e basta.
Io non so quale sia la tua funzione specifica nella tua azienda, ma nella mia, e nella mia cerchia di amici/excolleghi tutti senior nelle loro aziende nel ramo InfoSec (ovviamente), nessuno, e dico nessuno, ha mai pensato di usare un dispositivo mobile per delle infrastrutture critiche. (al momento, in futuro chissà, ma al 99% si andrà per una semplificazione/meno sbatta come tutto insomma)
Secondo me avrebbe totalmente senso quello che dicevi tu solo se fai il pair con una chiavetta (iphone + chiavetta), ma usare solo un dispositivo mobile è un gran puttanata, e non lo dico solo io fortunatamente.
Sai chi fa spesso sti discorsi da noi? Gli sviluppatori, i designer, e qualche sistemista, chi si occupa di marketing, categorie che hanno infarinature di cybersecurity ma si ferman li appunto, il minimo indispensabile per fare il proprio lavoro.
Altro punto, se perdi una chiavetta è difficilissimo che venga ricondotta a te, il telefono invece...
Adesso mi hai fatto fare il wot e ti puppi i papers più le references
TL;DR
la tecnologia su mobile è acerba e insidiosa, se proprio devi, abbinaci una chiavetta, usare solo il (1) telefono per autenticarsi è una puttanata, se lo perdi/si rompe/ti rapinano etc sei fottuto per ore se non giorni; con le chiavette invece disassoci quella persa e usi le altre di backup(20$), a meno che tu non abbia 4 iphone di backup, bella pe te in quel caso.
Io capisco che sei un apple fan, ma non è la soluzione a tutto per fortuna.
baci&abbracci
P.s. se vuoi altri papers te li linko, a patto che tu li legga e li comprenda soprattutto, altrimenti stiamo qui a sbucciare le banane
P.p.s la sicurezza non esiste, ma almeno con un pochino di effort in più si possono mitigare molti rischi
Apprezzo il tempo che hai speso per il reply, ma non capisco che ti costa lasciar fuori tutte le puttanate di contorno dove è chiaro che vedi il mondo diviso in “quelli come te” e “gli altri” e tanti altri ovvi bias che hai, quindi potevi semplicemente spendere 1/10 del tempo e fare reply solo ai vari punti.
Sono fuori dal cel domani con calma rileggo tutto e ti rispondo
non che voglia dire chissa' che cosa, alla fine gli idioti ci sono ovunque, pero' ecco non penso siano proprio gli ultimi arrivati.