¿Qué tan seguro es CertiVox M-PIN?

5

CertiVox ha diseñado un sistema con el objetivo de "eliminar las contraseñas".

Esencialmente, el sistema autentica a los usuarios con dos factores de autenticación: un PIN de 4 dígitos y un token almacenados en el almacenamiento HTML5 del navegador. También existe la opción de autenticarse con un teléfono móvil ingresando un código de acceso que se muestra en la pantalla de su computadora en el sitio web con el que está intentando autenticarse. Creo que esto también requiere que el token de almacenamiento HTML5 esté presente. Supongo que algún tipo de llamada entre dominios permitirá que JavaScript obtenga lo que necesita para validar el token almacenado en el origen del servidor de autenticación en ambos casos.

No hay una base de datos de contraseñas, ya que el sistema utiliza la criptografía y la prueba de cero conocimientos para autenticarlo con el servicio en el que está iniciando sesión. Las claves se dividen entre su servidor maestro y su propio servidor alojado (en el caso de SSO M-PIN).

CertiVox es la misma compañía que ejecutó PrivateSky, que era derribado a finales de 2013 . Hay una pregunta relacionada con PrivateSky aquí ( ¿Cómo puede PrivateSky no ver su ¿Datos? ) y parece tener similitudes en la forma en que funciona con M-PIN. Consulte Brian de la respuesta de CertiVox aquí .

En la primera impresión, me recuerda lo que SQRL intenta lograr. Las publicaciones relacionadas con SQRL están aquí:

Una página que abarca M-PIN en profundidad aquí .

Mis pensamientos son:

  • El escenario MITM no es posible como lo es con SQRL porque MITM no tendrá el token en su navegador.
  • A medida que el token se almacena en el navegador, este se convierte en el objetivo principal de cualquier atacante.
  • La entrada del PIN en el navegador es susceptible de navegar por los hombros, aunque es inútil sin el token del navegador.
  • Un ataque de phishing podría recuperar el PIN, una vez más inútil sin el token del navegador.

¿Son correctas mis suposiciones anteriores? ¿Existe alguna otra debilidad o ventaja sobre el uso de LastPass Enterprise (por ejemplo, usar contraseñas generadas al 100% con entropía de 128 bits y Yubikey 2FA para el inicio de sesión de LastPass)?

    
pregunta SilverlightFox 29.05.2015 - 12:42
fuente

1 respuesta

3

este es Brian de CertiVox.

Responderé sus preguntas línea por línea:

  

El escenario MITM no es posible como lo es con SQRL porque el   MITM no tendrá el token en su navegador.

Usted tiene razón, el escenario MITM no es posible ya que M-Pin es un protocolo de respuesta de desafío de prueba de conocimiento cero. Un atacante MITM solo vería grandes números volando. Lo peor que podría hacer un atacante es modificar el desafío o la respuesta, en cuyo caso la autenticación fallaría.

  

A medida que el token se almacena en el navegador, este se convierte en el objetivo principal para cualquier atacante.

Eso es cierto. Sin embargo, recomendamos a nuestros clientes que utilicen el encabezado HTTP de POLÍTICA DE SEGURIDAD DE CONTENIDO, ya que el PinPad M-Pin funciona sin problemas con esta configuración activada. Esto protege contra casi todos los posibles ataques XSS conocidos. Los ataques sin conexión al LocalStorage son posibles solo si el navegador (computadora) está infectado con un malware. No existe una solución de autenticación de un solo dispositivo que pueda resolver ese problema, que yo sepa. Además, tenemos una aplicación móvil M-Pin (HTML5, iOS y Android) que mantiene su token en su móvil en lugar de su navegador, como mencionó. Esto habilita el modo "Autentificador global" para que pueda usarlo para iniciar sesión de forma remota en las sesiones de escritorio. Al agregar la compatibilidad con TEE, el token no solo se encuentra en su dispositivo móvil, sino en el hardware seguro dentro de su dispositivo móvil.

Sin embargo, creo que podría estar perdiendo el punto de M-Pin; Como usted dice, el objetivo del atacante (el individuo) es ahora la única manera de comprometer sus credenciales de autenticación.

El gran problema en el ciclo de noticias en este momento es que los atacantes están robando las contraseñas de todos los archivos de credenciales o la base de datos de contraseñas dentro de grandes sistemas empresariales, fuera del servidor, no del cliente.

Ese es el problema real que soluciona M-PIN.

Un servidor M-Pin no almacena credenciales de autenticación, nunca. No importa si sal y los hash 30 rondas. Si se encuentra en una industria regulada, está obligado a informar al mundo que ha sido hackeado y aconsejar a los usuarios que cambien sus contraseñas. Esto puede llevar a una pérdida de confianza entre los clientes. Ver Yahoo, eBay, Evernote, LinkedIn, etc. etc.

Entonces, si usted es una empresa o está ejecutando una aplicación móvil o una aplicación web, la implementación de M-Pin como su plataforma de autenticación elimina ese vector de amenaza y ese riesgo de daños a la reputación.

  

La entrada del PIN en el navegador es susceptible de navegar por los hombros, aunque es inútil sin el token del navegador.

Exactamente. En comparación con la contraseña solamente, obviamente elimina ese riesgo.

Así que tienes razón, la navegación por los hombros es inútil sin el token como medio de ataque.

Además, en la nueva versión 3.4 (que se encuentra en la etapa de prueba), hemos implementado la compatibilidad con entradas de teclado que le ayudarán a escribir el número de PIN sin preocuparse de que alguien lo vea en su monitor.

  

Un ataque de phishing podría recuperar el PIN, una vez más inútil sin el token del navegador.

Esa es en realidad una de las poderosas fortalezas de M-Pin. Cualquier sitio web falso puede pedirle a un usuario que ingrese información privada. En el caso de M-Pin, esa información solo puede ser el PIN. Ese PIN es completamente inútil sin el token y sin el ID de M-Pin (que es diferente para cada navegador registrado). Además, el sitio falso no puede conocer la identidad del usuario, se muestra en el PinPad cuando se solicita el número de PIN.

En comparación con LastPass, intentan ayudar a administrar las contraseñas. CertiVox M-Pin está destinado a eliminarlos por completo. Nuestra propuesta de valor 'M-Pin Core' no está dirigida al individuo (como LastPass), la nuestra está dirigida a desarrolladores y / o CISO / profesionales de seguridad que están implementando grandes aplicaciones a escala de Internet y desean eliminar los riesgos que surgen utilizando autenticación basada en contraseña.

Nuestro servidor 'M-Pin SSO' está dirigido a empresas que desean federar la autenticación fuerte de M-Pin a las aplicaciones habilitadas para SAML / RADIUS interna o externamente.

Espero que ayude.

Saludos, Brian

    
respondido por el Brian Spector 30.05.2015 - 06:41
fuente

Lea otras preguntas en las etiquetas