我有一张 YubiKey 智能卡,用于对多个个人在线账户进行质询响应身份验证。对于在线账户,双重身份验证的好处显而易见:只有同时拥有我的密码和实体密钥的人才能登录我的账户。智能卡比基于短信的质询更好,因为仅凭我的电话号码不足以访问账户(显然电话号码在这方面是一个薄弱环节)。
macOS Sierra 支持使用智能卡密钥登录 Mac(Yubico 文档)。我不会远程连接到我的个人 Mac 笔记本电脑,而是使用 macOS 内置防火墙仅允许某些程序接受传入连接。我注意到,解锁屏幕、安装软件和更改首选项等身份验证挑战将使用密钥。我更喜欢使用留在笔记本电脑 USB 端口中的 nub 式 Yubikey,这意味着任何可以物理访问笔记本电脑的人都有密钥。
在启用了防火墙的个人笔记本电脑上使用带有 macOS Sierra 的 YubiKey PAM 有什么好处吗?这是否提供了额外的保护层来抵御远程攻击,还是即使没有它,我也同样受到保护(或同样容易受到攻击)?如果智能卡留在插槽中,PIV 身份验证是否仅在远程登录可用或身份验证是远程管理的情况下才有用?
答案1
我个人认为本地身份验证的唯一好处是它在抵御恶意软件方面更安全(恶意软件无法再欺骗 root 密码提示)。
一方面,“物理访问”是相当重要的部分。智能卡令牌无法复制(就像有人可以复制 ~/.ssh/id_rsa 而不留下任何痕迹一样),即使有物理访问,如果不花费大量时间和资源,也无法克隆它。一般来说,它只能从 USB 端口“借用”,这一点非常明显。
另一方面,如果所有的计算机被盗(或者有人可以坐下来使用它),如果它还用于 Web 身份验证,我绝对不会将这样的密钥永久地插入计算机中 - 尤其是当同一台计算机的所有常规密码都存储在 Web 浏览器中时。(这就像在银行卡上写下您的 PIN 码一样。)