Quels sont les avantages de l’autorisation PIV pour un ordinateur portable Mac personnel?

J'ai une carte à puce YubiKey pour l'authentification challenge-réponse avec plusieurs comptes personnels en ligne. Avec les comptes en ligne, les avantages de l'authentification à deux facteurs sont simples: seule une personne possédant à la fois mon mot de passe et ma clé physique peut se connecter à mes comptes. Les cartes à puce sont meilleures que les défis basés sur les SMS car l'accès à mon numéro de téléphone n'est pas suffisant (et les numéros de téléphone sont apparemment un maillon faible à cet égard).

macOS Sierra prend en charge l’utilisation de clés de carte à puce pour la connexion à un Mac ( Yubico docs ). Je ne me connecte pas à distance à mon ordinateur portable Mac personnel et j'utilise le pare-feu intégré de MacOS pour autoriser uniquement certains programmes à accepter les connexions entrantes. Je remarque que les défis d’authentification pour le déverrouillage de l’écran, l’installation de logiciels et la modification des préférences utilisent la clé. Je préfère utiliser le Yubikey de style miniature qui reste dans le port USB de mon ordinateur portable, ce qui signifie que toute personne ayant un accès physique à l'ordinateur portable dispose de la clé.

Y a-t-il des avantages à utiliser YubiKey PAM avec macOS Sierra sur un ordinateur portable personnel avec le pare-feu activé? Cela fournit-il une couche supplémentaire de protection contre les attaques à distance, ou suis-je également couvert (ou également vulnérable) sans elle? Avec la carte à puce laissée dans l'emplacement, l'authentification PIV est-elle utile uniquement si la connexion à distance est disponible ou si l'auth est gérée à distance?

Le seul avantage que je constate personnellement pour l'authentification locale est qu'il est un peu plus sécurisé contre les logiciels malveillants (qui ne peut plus usurper les invites de mot de passe root).

D'une part, "l'accès physique" est une partie assez importante. Un jeton de carte à puce ne peut pas être copié (comme quelqu'un pourrait copier ~ / .ssh / id_rsa sans laisser de trace), et même avec un accès physique, il ne peut pas être cloné sans beaucoup de temps et de ressources. En général, il ne peut être emprunté que sur votre port USB, ce qui est très visible.

D'autre part, cela n'aidera pas si le entier l'ordinateur est volé (ou si quelqu'un peut simplement s'asseoir et l'utiliser), et je ne laisserais certainement pas une telle clé insérée de manière permanente dans l'ordinateur si elle est également utilisée pour l'authentification Web - surtout si le même ordinateur a tous les mots de passe habituels stockés dans le navigateur web. (C'est comme écrire votre NIP sur la carte bancaire elle-même.)