¿Se puede usar * solo * autenticación U2F?

5

Utilizar una clave de autenticación U2F USB para iniciar sesión en servicios como Google parece una buena idea. Sin embargo, estos servicios a menudo le permiten registrar un método de copia de seguridad de dos factores (2FA), que puede utilizar en caso de que pierda su dispositivo físico U2F.

El hecho de que solo pueda usar un 'método de copia de seguridad' para iniciar sesión en estos servicios parece anular el punto de tener la clave U2F en primer lugar. Si la seguridad es tan fuerte como el enlace más débil, un pirata informático con acceso por contraseña a una cuenta puede simplemente pasar por alto el dispositivo U2F alegando que la clave desapareció, usando (por ejemplo) SMS.

Por otro lado, es posible que las personas no quieran arriesgar todo el acceso de su cuenta web a un solo dispositivo USB. Si se adjunta a sus llaves, existe la posibilidad de que se pierda, quede fuera de la lluvia, etc. Idealmente, sería posible comprar dos dispositivos U2F registrados con el mismo "secreto". Al no permitir ningún otro método 2FA, en el caso de que el dispositivo U2F se perdiera, tendría una copia de seguridad almacenada de forma segura en el hogar.

Pregunta : es posible duplicar dispositivos U2F y configurar servicios en línea (como Google) a solo permitir U2F, sin ningún otro método de copia de seguridad ? Obviamente, si un usuario comprara dos dispositivos U2F y perdiera ambos , el usuario quedaría irreversiblemente bloqueado de sus cuentas en línea, pero esto sería un riesgo de que el usuario firmara a sabiendas hasta. Realmente no puedo ver el punto de cambiar a dispositivos U2F a menos que esta sea una opción.

    
pregunta CaptainProg 16.12.2017 - 23:22
fuente

3 respuestas

1

Google ofrece ahora protección avanzada, que hace lo que usted quiere (con dos claves de seguridad).

    
respondido por el Ricky 02.08.2018 - 11:16
fuente
2

Si el servicio que está utilizando admite varios dispositivos U2F diferentes, puede agregar más de uno al servicio. En el caso de Google creo que son compatibles con más de un dispositivo vinculado. Para deshabilitar los códigos de seguridad de respaldo, simplemente puede usarlos todos.

No puede duplicar su dispositivo U2F, pero puede haber fabricantes que vendan pares. Por diseño, el dispositivo U2F debe ser de solo escritura, es decir, solo devolver las respuestas a los desafíos, no el secreto almacenado. Permitir que se lea el secreto (para crear un duplicado después de la creación) puede suponer un riesgo para la seguridad, ya que alguien que obtenga su dispositivo U2F puede crear un duplicado sin su conocimiento.

    
respondido por el Jotunacorn 19.12.2017 - 14:51
fuente
1

Respuesta corta: algunos sitios le permiten desactivar la opción de copia de seguridad si usa un dispositivo U2F, pero hacerlo es bajo su propio riesgo.

Respuesta larga: la comodidad y la seguridad a menudo están reñidas entre sí. Usted tiene razón, tener una solución de inicio de sesión de respaldo anula el propósito de tener la clave U2F, ya que técnicamente usted podría usar su método alternativo para evitarlo. Cualquier cuenta es tan segura como su autenticación de respaldo. Si no hay reserva alternativa , entonces está seguro. También estás sin recurso si pierdes tu dispositivo U2F. Que yo sepa, no se crean dos dispositivos U2F con la misma clave privada, o al menos no deberían crearse. Si tuviera dos dispositivos U2F duplicados, esto también sería una debilidad en su seguridad. Debe tenerse en cuenta que una aplicación TOTP es un respaldo relativamente seguro, siempre que el dispositivo que está utilizando esté bien protegido.

    
respondido por el John 20.12.2017 - 18:59
fuente

Lea otras preguntas en las etiquetas