1
Hardware / Re:YubiKey, smart card a podobné - základní informace
« kdy: 18. 05. 2020, 23:57:32 »
V pripade YubiKey, smart card (PKCS#11 / PIV atd. obecne) se jedna o tzv. hardwarovy klic. Jeho vyhoda spociva v nemoznosti poridit si kopii klice. Tuto garanci v pripade USB neziskavate.
Zde jsou dva typicke pripady, kdy je rozdil mezi HW a SW klicem videt:
1) Zamestnanec/administrator pristupuje na servery napr. pomoci SSH, klice ma YubiKey vs. na USB.
V pripade ukonceni pracovniho pomeru odevzda YubiKey a tim mate jistotu, ze jiz nema pristup ke klici. V pripade USB flashky si mohl poridit kopii a tato jistota neexistuje
2) Neverite uplne celemu softwarovemu vybaveni vaseho PC a presto chcete pristupovat ke chranenemu zdroji. V pripade YubiKey mate jistotu, ze zadny malware vam klic z YubiKey nezcizi a nikam neodesle, USB flashka tuto jistotu neposkytuje
Disclaimers:
Priklady jsou ilustrativni a nejsou (kompletnim) popisem reality.
Popis je samozrejme mirne zjednoduseni, Security Officer (SO) si diky svym opravnenim muze klic odzalohovat napr. pro pripad ztraky klicenky.
Softwarovy klic muze byt chranen heslem - pak je ale treba chapat, ze sila klice neni urcena jeho bitovou delkou ale silou hesla, ktere ho chrani.
Zde jsou dva typicke pripady, kdy je rozdil mezi HW a SW klicem videt:
1) Zamestnanec/administrator pristupuje na servery napr. pomoci SSH, klice ma YubiKey vs. na USB.
V pripade ukonceni pracovniho pomeru odevzda YubiKey a tim mate jistotu, ze jiz nema pristup ke klici. V pripade USB flashky si mohl poridit kopii a tato jistota neexistuje
2) Neverite uplne celemu softwarovemu vybaveni vaseho PC a presto chcete pristupovat ke chranenemu zdroji. V pripade YubiKey mate jistotu, ze zadny malware vam klic z YubiKey nezcizi a nikam neodesle, USB flashka tuto jistotu neposkytuje
Disclaimers:
Priklady jsou ilustrativni a nejsou (kompletnim) popisem reality.
Popis je samozrejme mirne zjednoduseni, Security Officer (SO) si diky svym opravnenim muze klic odzalohovat napr. pro pripad ztraky klicenky.
Softwarovy klic muze byt chranen heslem - pak je ale treba chapat, ze sila klice neni urcena jeho bitovou delkou ale silou hesla, ktere ho chrani.