Boa noite,
Eu usei o Password manager da kaspersky, e simplesmente detestei! Soluções por software, não me convenceram de todo. Entretanto tenho andado envolvido com a comunidade que está a desenvolver o Mooltipass, neste momento a testar o MooltiPass Mini, que entre outras coisas já permite ser utilizado como dispositivo dedicado de U2F. Existe um "fork" do firmware, para o utilizar com dupla-funcionalidade (cofre de passwords e dispositivo U2F), mas não faz parte do que será a release oficial do dispositivo. O utilizador deverá escolher ou uma ou outra. De qualquer das formas, colmata a "maior" falha das YubiKey, que é a falta de um pin. Pior ainda se for a versão com NFC, que é mais insegura, mas isso são "outros quinhentos".
Já testei uma outra chave U2F, além das da Yubikey e fiquei dentro dos possíveis satisfeito. Apesar do preço, foi tolerante a todos os abusos a que a submeti, infelizmente tinha o velho problema da falta de um pin, fora isso é fiável e segura.
Sei que existem desenvolvimentos de outros dispositivos U2F, com uso de device + pin e device + smartcard, e os preços, tanto quanto estou a par, não são assim tão "proibitivos", algo na casa dos 30usd.
O Google Authenticator ficou com uma chave corrompida ? A chave não deveria ser read-only ? Como se corrompe uma chave que é apenas de leitura ? Coisa estranha!!
Um à parte: Em teoria é possivel fazer devices U2F de baixo custo, baseados em controladores ATtiny, e garantidamente é possivel, baseados em ATmega. Talvez fosse um projecto comunitário engraçado, fazer um baseado num circuito "inexpensive".
Cordiais cumprimentos,
Apocsantos
↧