Mtgox
為什麼 Mt Gox 不允許直接從 Yubikey.com 購買的 YubiKey?
我有幾個 Yubikey 並且想在 MtGox 中使用一個或多個……但是似乎我只能使用從 Mt Gox 在他們的網站上購買的密鑰。
- 為什麼 Mt Gox 選擇以這種方式實施安全性?
- 假設我正在基於 Yubikey 創建自己的安全網站。我會選擇實現這樣的“封閉”系統(並且不允許其他 Yubikey)的條件是什麼?
我要求 Mt Gox 支持這個問題,他們告訴我的只是:
您好,感謝您的電子郵件。請注意,yubikeys 必須在我們的系統中預先配置,所以很遺憾,無法添加在外面購買的 yubikeys。謝謝, MtGox.com 團隊
…所以我希望能更好地理解為什麼做出這個選擇。
yubikey 的屬性:
- 一個 yubikey 包含一個秘密的對稱密鑰。
- 了解此密鑰可以模擬該 yubikey。
- 伺服器需要知道該密鑰。
- >
YubiKey AES 密鑰資訊永遠無法從 YubiKey 設備中提取——只能對其進行程式
因此,Mt.Gox 堅持將密鑰發送給您確保了幾個重要屬性:
- 您不想使用相同的密鑰對其他網站進行身份驗證,這將允許這些網站侵入您的 Mt.Gox 帳戶
- 您無需通過可能不安全的電腦將密鑰發送到 Mt.Gox 伺服器
- 除了 Mt.Gox 沒有人知道儲存在您的 yubikey 中的密鑰
因此,對 yubikey 進行預程式並僅在將密鑰程式到設備中後將它們發送給您可以排除幾種可能的威脅,因此似乎是合理的風險管理。