Opciones de autenticación de token fuera de banda multifactorial adecuadas según las recomendaciones 800-63B del NIST (publicadas en junio de 2017)

5

En nuestro proyecto de aplicación web estamos obligados a establecer la autenticación MF con una combinación de token secreto (contraseña) memorizado y token Out of Bound. Anteriormente, estábamos planeando implementar SMS para el mecanismo de entrega de token. Pero la recomendación reciente de NIST lo coloca en la categoría RESTRINGIDA, por lo que parece arriesgado en este momento por dos razones:

  1. Como se encuentra en la categoría RESTRINGIDO, se deben realizar múltiples actividades de soporte (como análisis de riesgos, métodos para situaciones como la portabilidad del número de teléfono, cambio de dispositivo, etc.) para cumplir con éxito con cualquier estándar que adapte este marco. El NIST dice "El uso de la PSTN para la verificación fuera de banda está RESTRINGIDO como se describe en esta sección y en la Sección 5.2.10 ..."
  2. Incluso si lo implementamos con precauciones, NIST puede marcarlo como "prohibido" en un futuro cercano (también lo han mencionado en papel). Entonces, en ese caso, se requeriría un cambio completo en el método y la implementación. Lo que definitivamente causará re-trabajo.

Así que mi problema gira en torno a estas dos preguntas:

  1. ¿Qué se puede usar como alternativa?
  2. El token OOB generalmente se supone que funciona en una banda diferente. Si utilizamos algo que funciona en un navegador web como GAuth, ¿estaría bien? En la primera impresión, todo (la aplicación web y la aplicación de token de autenticación) parece estar funcionando en la misma banda.

El token RSA es definitivamente una solución, pero no es posible para nosotros proporcionar token a miles de usuarios.

La aplicación de autenticación (TOTP) también parece ser una solución, pero ¿es la única? Y si es así, ¿qué se debe cuidar para mantener y justificar la cláusula OOB?

Por favor, avíseme si hay alguna interpretación diferente de las recomendaciones del NIST o algún otro aspecto?

    
pregunta Sum 08.11.2017 - 09:14
fuente

1 respuesta

0

SMS como segundo factor ya no se considera seguro debido a la facilidad de suplantación de identidad e intercepción de SMS.

Para la MFA más segura, debe utilizar un dispositivo que esté separado de cualquier servicio al que esté accediendo. ¡Esto es cada vez más difícil en un mundo donde las personas usan teléfonos para todo!

Hasta hace poco, muchas agencias de seguridad del gobierno no le permitían usar tokens de software de ningún tipo, lo que también descartaba cualquier aplicación en un teléfono. Las mejoras significativas en la seguridad de los teléfonos inteligentes (al menos en algunas plataformas) han visto cambios recientes en la postura y las aplicaciones de autenticador ahora se usan comúnmente.

También se usan otros autenticadores únicos fuera de banda, incluidos el correo electrónico y el teléfono. Por supuesto, cada uno tiene sus propios problemas y, en mi opinión, la aplicación de autenticación sigue siendo la mejor opción porque al menos tiende a ser más evidente si el dispositivo se pierde o es robado.

La única advertencia que agregaría es para dispositivos Android. Android no debe considerarse un dispositivo seguro sin una elección cuidadosa del hardware y la adición de herramientas de seguridad para fortalecer el sistema operativo.

    
respondido por el Julian Knight 12.11.2017 - 16:39
fuente

Lea otras preguntas en las etiquetas