CertiVox ha diseñado un sistema con el objetivo de "eliminar las contraseñas".
Esencialmente, el sistema autentica a los usuarios con dos factores de autenticación: un PIN de 4 dígitos y un token almacenados en el almacenamiento HTML5 del navegador. También existe la opción de autenticarse con un teléfono móvil ingresando un código de acceso que se muestra en la pantalla de su computadora en el sitio web con el que está intentando autenticarse. Creo que esto también requiere que el token de almacenamiento HTML5 esté presente. Supongo que algún tipo de llamada entre dominios permitirá que JavaScript obtenga lo que necesita para validar el token almacenado en el origen del servidor de autenticación en ambos casos.
No hay una base de datos de contraseñas, ya que el sistema utiliza la criptografía y la prueba de cero conocimientos para autenticarlo con el servicio en el que está iniciando sesión. Las claves se dividen entre su servidor maestro y su propio servidor alojado (en el caso de SSO M-PIN).
CertiVox es la misma compañía que ejecutó PrivateSky, que era derribado a finales de 2013 . Hay una pregunta relacionada con PrivateSky aquí ( ¿Cómo puede PrivateSky no ver su ¿Datos? ) y parece tener similitudes en la forma en que funciona con M-PIN. Consulte Brian de la respuesta de CertiVox aquí .
En la primera impresión, me recuerda lo que SQRL intenta lograr. Las publicaciones relacionadas con SQRL están aquí:
- ¿Podría el SQRL realmente ser tan seguro como dicen? ?
- ¿Cómo ocurre el ataque MITM (Man in the middle) con respecto a SQRL
Una página que abarca M-PIN en profundidad aquí .
Mis pensamientos son:
- El escenario MITM no es posible como lo es con SQRL porque MITM no tendrá el token en su navegador.
- A medida que el token se almacena en el navegador, este se convierte en el objetivo principal de cualquier atacante.
- La entrada del PIN en el navegador es susceptible de navegar por los hombros, aunque es inútil sin el token del navegador.
- Un ataque de phishing podría recuperar el PIN, una vez más inútil sin el token del navegador.
¿Son correctas mis suposiciones anteriores? ¿Existe alguna otra debilidad o ventaja sobre el uso de LastPass Enterprise (por ejemplo, usar contraseñas generadas al 100% con entropía de 128 bits y Yubikey 2FA para el inicio de sesión de LastPass)?