¿Qué tan segura es una aplicación de contraseña que almacena la contraseña y el secreto de dos factores en un solo lugar?

5

Tomemos, por ejemplo, 1Password, que ahora puede almacenar su contraseña y una contraseña secreta en un solo lugar (su bóveda de 1Password).

Sé que ya no es realmente un factor doble, pero ¿cuánto mejor es en comparación con la autenticación de un solo factor?

Para ser más claros, digamos que tengo una cuenta de Dropbox con la autenticación de dos factores habilitada, y almaceno mi contraseña de Dropbox y el secreto de OTP en 1Password; por lo tanto, ambos son accesibles por un factor, mi contraseña maestra de 1Password. Suponiendo que tengo una contraseña maestra fuerte y mi contraseña de Dropbox es sólida y no se repite en ninguna parte, ¿hay alguna seguridad que pueda obtener al usar dos factores para Dropbox?

    
pregunta kolossal7 03.02.2015 - 12:51
fuente

2 respuestas

4

Sí, hay una leve ganancia de seguridad al tener habilitada la autenticación de dos factores (2FA) en un sitio, incluso cuando almacena el código de generación / restablecimiento de 2FA en su administrador de contraseñas. En una situación en la que el atacante puede controlar sus pulsaciones de teclado o las credenciales que está enviando al sitio web pero no puede descargar su base de datos de contraseñas, no podría iniciar sesión en su cuenta con 2FA habilitado porque no podrían determinar su cuenta. código de inicialización / reinicio. No es un escenario común, pero un script kiddy puede obtener el software keylogger sin tener la habilidad técnica para encontrar y robar su base de datos de contraseñas. Un ataque de intermediario también recopilaría sus credenciales sin tener acceso a su base de datos de contraseñas.

Una mejor solución sería mantener sus códigos de generación / restablecimiento de 2FA en una base de datos de contraseñas separada, bloqueada con una contraseña guardada en la principal y almacenada en una ubicación separada. Entonces, incluso alguien con su base de datos de contraseñas y su clave maestra no podrá acceder a sus cuentas protegidas con 2FA, y podrá recuperar sus cuentas si pierde su teléfono celular (u otro dispositivo 2FA).

    
respondido por el Aron Foster 23.04.2015 - 00:17
fuente
1

Estoy de acuerdo con la respuesta de Aron, pero agregaré que tener los códigos OTP en el El administrador de contraseñas derrota el espíritu de autenticación multifactor que es complementar algo que usted sabe - una contraseña-- con algo que tener - generalmente su teléfono.

El uso de 2FA para acceder al administrador de contraseñas puede ser suficiente protección, pero tenga en cuenta que cuando almacena el generador de OTP junto a la contraseña, Ya no es un verdadero segundo factor. Ambos son ahora un solo factor. de algo que sabes que puede comprimirse potencialmente al mismo Tiempo en el administrador de contraseñas.

Puede haber situaciones en las que tener el generador de OTP en la contraseña El gerente es la opción peor de las peores. Considerar un proveedor utilizado por su empresa que no ofrece cuentas por usuario, por lo que Los miembros del equipo tienen que compartir un único inicio de sesión. El servicio podría no permitir múltiples dispositivos 2FA o puede que no sea factible configurar todos los 2FA Dispositivos para miembros del equipo que puedan necesitar el inicio de sesión. Dada esa situación, Compartiendo la contraseña y el generador de OTP a través de una gestión de contraseñas. La solución podría ser la opción peor de las peores, cuando se combina con 2FA para el Servicio de gestión de contraseñas. Esto sería mejor que la alternativa. de deshabilitar 2FA del sitio de destino para que se pueda compartir el inicio de sesión.

    
respondido por el Mark Stosberg 12.02.2016 - 02:32
fuente

Lea otras preguntas en las etiquetas