LUKS с аутентификацией USB-ключа, насколько это безопасно?

Я думаю о создании шифрования LUKS с помощью USB-ключа вместо фразы для разблокировки моего жесткого диска.

Однако некоторые люди говорили мне, что использование USB-ключа для аутентификации менее безопасно, чем парольная фраза. Мой вопрос: насколько он менее безопасен? И я думаю о сценарии, когда я использую указанный USB-ключ только на своих собственных устройствах, и в этом случае мой USB-ключ никогда не украден.

Я знаю, что могу пойти еще дальше и настроить двухфакторную аутентификацию, но это не то, о чем я прошу.

One Solution collect form web for “LUKS с аутентификацией USB-ключа, насколько это безопасно?”

Это зависит от вашей точки зрения. Это более безопасно, поскольку ключевые файлы обычно являются действительно случайными, в то время как фразы имеют тенденцию быть короткими и слабыми.

Затем снова парольная фраза сама по себе занимает около 5 долларов, чтобы сломаться, используя ключ кейлоггера или модифицированный загрузчик / initramfs или позорный ключ для дешифрования XKCD . То же самое верно для keyfiles, если это только тот файл на USB-накопителе, а bootloader / initramfs не защищен на жестком диске.

С другой стороны, USB-ключ дает кому-либо доступ – если вы оставите его включенным, а не переносите его на человека в любое время. Любой человек может быстро и легко скопировать без присмотра USB-накопитель …

Я делаю … ключ USB, который содержит загрузчик, ядро, initramfs с ключами, закодированными LUKS, для которых требуется доступ к кодовой фразе. Поэтому вам нужно как ключ, так и кодовую фразу для разблокировки. Не уверен, что вы можете назвать это двухфакторной аутентификацией – речь идет о пределе того, что я хотел сделать, сохраняя при этом все практическое. (Загрузочный USB-накопитель также полезен для хранения дюжины LiveCD).

Какова ваша модель угрозы, вы даже подумали об этом?

Если вы позволите мне переехать в ваш дом, вы хотите, чтобы я мог получить доступ к вашим данным с минимальными усилиями?

Если вы завтра умерли, вы хотите, чтобы ваши родственники могли расшифровать ваши вещи?

С USB-ключом, который не принимает кодовую фразу, было бы возможно – и желательно, чтобы эти семейные фотографии только у вас есть копия …

У меня есть сервер, который расшифровывает себя при загрузке [с использованием отпечатков аппаратных средств, таких как cpu, ram, mac address, …], никакого взаимодействия на всех необходимых … модель угрозы здесь заключается в том, что кто-то может удалить диск и поместить его в другой ящик клиента, или что-то вроде этого.

  • Внешний диск не отображается в / dev /
  • Включение USB-накопителей только на определенном USB-порту или для учетной записи пользователя
  • Не удается увидеть USB-устройства на гостевой Windows
  • Есть ли атрибут udev / что-то, определяющее, является ли устройство USB-накопителем или нет?
  • Не удалось установить USB-накопитель, но компьютер видит, что он есть. PNY (MIPS Lemote)
  • Как найти скрытый раздел USB в Linux
  • Права доступа к автоматическим каталогам внутри / медиа
  • VMWare медленнее на внешнем USB-диске
  • Внешний привод не распознается
  • Медленная скорость передачи - копирование с hdd на usb hdd
  • синхронизировать или асинхронно для массового дублирования USB?
  • Linux и Unix - лучшая ОС в мире.