
<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">What yubikey are you talking about? I have a password protecting my<br>ssh key but the yubikeys I've used (including the FIPS version) spit<br>out a string of characters when you touch them. No pin.<br></blockquote><div><br></div><div>PIV enabled ones have pins if you are using that functionality.  </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 23, 2020 at 8:51 PM William Herrin <<a href="mailto:bill@herrin.us">bill@herrin.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Mar 23, 2020 at 5:16 PM Warren Kumari <<a href="mailto:warren@kumari.net" target="_blank">warren@kumari.net</a>> wrote:<br>

> Well, yes and no. With a Yubiikey the attacker  has to be local to<br>

> physically touch the button[0] - with just an SSH key, anyone who gets<br>

> access to the machine can take my key and use it. This puts it in the<br>

> "something you have" (not something you are) camp.<br>

<br>

Hi Warren,<br>

<br>

They're both "something you have" factors. The yubi key proves<br>

possession better than the ssh key just like a long password proves<br>

what-you-know better than a 4-digit PIN. But the ssh key and the yubi<br>

key are still part of the same authentication factor.<br>

<br>

<br>

> Not really -- if an attacker steals my laptop, they don't have the<br>

> yubikey (unless I store it in the USB port).<br>

<br>

You make a habit of removing your yubi key from the laptop when nature<br>

calls? No you don't.<br>

<br>

<br>

> If they *do* steal both,<br>

> they can bruteforce the SSH passphrase, but after 5 tries of guessing<br>

> the Yubikey PIN it self-destructs.<br>

<br>

What yubikey are you talking about? I have a password protecting my<br>

ssh key but the yubikeys I've used (including the FIPS version) spit<br>

out a string of characters when you touch them. No pin.<br>

<br>

Regards,<br>

Bill Herrin<br>

<br>

<br>

-- <br>

William Herrin<br>

<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>

<a href="https://bill.herrin.us/" rel="noreferrer" target="_blank">https://bill.herrin.us/</a><br>

</blockquote></div>