Q til InfoSec-nissene - Yubikey nano

Heisann,

Jeg er i ferd med å innføre U2F policy for kontoer med privilegert tilgang. I utgangspunktet ser jeg på nøkkelringvarianten, men vurderer også nano som sitter i maskinen permanent. Jeg forstår at det ansees som trygt; for å lykkes med et angrep må man ha anledning til å rappe nano-brikken eller få tilgang på maskinen, og i noen tilfelle kjenne passordet. Det er da et krevende, målrettet angrep utenfra, eller intern trussel, som for meg fremstår med liten sannsynlighet (skala: svært liten, liten, middels, høy og svært høy).

Jeg sitter litt alene på jobben med slike analyser, så jeg hadde satt pris på om noen hjelpe med å validere eller motargumentere.

For de som ikke vet hva U2F dreier seg om:
https://en.wikipedia.org/wiki/Universal_2nd_Factor

I de fleste tilfeller så vil jeg tro at dine tanker vil medføre riktighet.

Sånn jeg tenker så må man blant annet se ut ifra hvilken organisasjon det er snakk om, altså hvor man skal legge listen. Det er da forskjell på private, offentlige og militære krav. Hvor verdifull er din organisasjon mtp hvor mye arbeid en potensiell angriper er villig til å legge inn i å komme på innsiden.
Hvem er brukeren? Er det en brukertype som kan finne på å bruke samme passord på flere steder? Er de oppmerksom på nye trender innenfor phishing angrep? Vil de bare logge inn fra en maskin?

Ut ifra hva du sier så er nok nano en grei løsning, men om de skal logge inn fra andre klienter så vil vel gjerne en på nøkkelringen være mer formålstjenlig. Eventuelt gjennomføre en behovsanalyse sammen med brukeren for å se hva som er best for dem.

Skal man ha andre klienter, har du sett på løsninger som feks Duo som lar brukere benytte app på mobilen?

Ikke mitt spesialfelt dette, men det funker fint for meg på endel systemer jeg bruker.

Takk til begge. U2F er i utgangspunktet sekundær faktor, især om det er nøkkelringvarianten. Vi har noe ala Duo via Okta, primær 2faktor er ment å være Okta Verify Push notifikasjon til telefonen. Jeg tenker at dersom en har nano U2F vil de bruke det som primær faktor fra primær laptop. Vi vil være i stand til å deautorisere U2F tokenet så snart vi får beskjed.

Uansett, jeg har tenkt videre rundt dette, og funnet vi ikke kan skille mellom nano og nøkkelring U2F, så en policy rundt dette vil være "soft". Det ser jeg ikke vi vil være i stand til å revidere i praksis.

Samlet sett ser jeg det som en håndterbar risiko.

Takk. De vil ha to sekundærfaktorer å velge imellom - App med Push og U2f, så det skal dekke de fleste behov mellom forskjellige enheter.

jeg vil si vi er en verdifull organisasjon med svært begrensede ressurser, med forskjellige eksterne "interessenter". Første utrulling treffer den nære sirkelen, så de er tålelig oppmerksom på digitale trusler. Ved global skalering må listen må ligge et sted hvor det er godt nok og bærekraftig mht ressursbelastning.

Virker som om du har kontroll da i hvert fall! Kudos for å ta fokus på sikkerhet og gjøre et stykke refleksjon rundt det! Det er altfor få som gjør det i dagens samfunn. Alle er sårbare, om du så bare driver som frisør så er du fremdeles avhengig av datasystemene.