Nostr Web Client

Yubikeyって固有の番号が振られていると思うけど、あれをどうにかして記録しておいて新品と偽ってメルカリ等で流す事で、それを使っている人のアカウントをどうにかして乗っ取ることは可能なのかな

Please Login to reply.

どうにかしてが2回入ってしまった

村長で試してみては？(やめい)

うっ好奇心が情報倫理を上回ってしまう…(やりません

「どうにかして」の部分がメルカリで売る値段より高く付きそう

しかし、相手の情報が盗めるんですよ…？しかもかなり重要な情報が

マジレスしてしまうと、自分が昨日調べた限りでは、デバイス固有の鍵を使っているのは FIDO U2F だけなので、Twitter や Google の 2FA の部分だけは読み取れることになると思います。

なるほど、理解できてきました

もう少し調べてみます

固有番号や鍵は取り出せないです、が、Yubikey認証(FIDOではなく古い独自規格の方)は鍵を自分で上書きすることはできるので、それを使うと起き得ますね。

なるほど、流石にちゃんとしてますね

独自規格はyubikey 4以前の話ですかね、今は殆ど問題にならなさそう

いや今でも付いてますよ。OTPって書いてるのがそれのはず。

機能としてはあるが多くのサービスは殆どFIDO/FIDO2が利用できるので問題にならない、という認識でした。がOTPは確かに使いますね

まあ、問題にはほとんどならないですね、おそらく

Yubikeyの固有番号、USBに差し込んでタッチできれば自動的にキーボード入力されてしまうのでメモ帳とかに書き出しできます。

NFC対応だとタッチで固有番号を読み取れてしまうので、、、、いろいろと注意が必要かも。