Ja jsem mel s Yubikey dva problemy: prvni z nich je, ze pokud bych chtel mit jeden token, musim mit centralizovany server, a autentizace je pak nepouzitelna pro systemovou administraci v pripadech, kdy se treba chci prihlasit na "polofunkcni" stroj, kteremu zrovna nefunguje neco v siti, a neni mozna komunikace s autentizacnim serverem. To bych fakt musel mit jeden token pro kazdy server (krat pocet spravcu) a navic bych se nedostal na servery ze ssh klienta z mobilu. Druhy problem se tyka meho domaciho pocitace, ktery je multiseat, a zatim jsem nevymyslel zpusob, jak nastavit, ke kteremu sedadlu se ma pripojit prave zapojena klavesnice (ten token). Skutecne klavesnice mam v xorg.conf mapovane staticky.
Mě se moc líbí myšlenka použitá v Yubikey - token se pro počítač tváří jako klávesnice, jednorázové heslo vypustí jako sérii stisků kláves, takže heslo může být hodně dlouhé a uživatel nemusí nic přepisovat.
Má to trochu mouchy (preferoval bych asymetrickou šifru místo AES), ale jinak je to výborná věcička. Podrobněji jsem o tom psal zde: http://www.pepak.net/bezpecnost/yubikey-v2-0/
ČLÁNKY DO MAILU