¿Me protegerá 2FA si hay una violación de la contraseña?

Question

¿Me protegerá 2FA si hay una violación de la contraseña?

#1 de paj28 (3 votos)

4

En pocas palabras, no me preocupa especialmente que un atacante robe mi contraseña cuando inicio sesión en un sitio web. No suelo iniciar sesión en redes que no son de confianza, y cuando lo hago, me esfuerzo en verificar dos veces los certificados SSL. Nunca guardo mis contraseñas en mi computadora. Siempre me desconecto de los sitios web de mi computadora portátil, que es la única computadora que sale de mi casa. Y así sucesivamente.

Por lo tanto, la única forma real en que puedo ver a un atacante que obtiene acceso a una cuenta en línea es:

Bruto forzando mi contraseña a través de una página de inicio de sesión.
Obtener acceso a una base de datos de contraseñas desde el sitio web seleccionado.

En el primer caso, entiendo cómo 2FA me protegerá. ¿Pero me protegerá en este último caso? Del mismo modo, ¿qué pasa con la autenticación de clave pública (no 2FA, pero no hay una contraseña para filtrar)?

web-application passwords authentication

pregunta Micheal Johnson 27.03.2017 - 10:06

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application passwords authentication

¿Cómo se actualiza una botnet? ¿Conoce algún software de rastreador / araña que pueda acceder a un sitio ASP.NET?

score 3 · Answer 1

Depende de qué fue violado exactamente

Si la infracción es solo los nombres de usuario y las contraseñas, 2FA sí lo protege en este caso.

Sin embargo, si el atacante puede extraer contraseñas, ¿quién sabe qué más pueden extraer? Las contraseñas de un solo uso se basan en una clave secreta compartida entre el cliente y el servidor. Si la infracción le permite a un atacante extraer las claves secretas, pueden generar OTP falsas, por lo que 2FA no te protege.

Es una buena práctica codificar las contraseñas antes de almacenarlas en una base de datos, lo que proporciona cierta protección en caso de una infracción. No es posible codificar la clave secreta para una OTP: el servidor necesita la clave secreta original para verificar la OTP enviada. Debido a esto, es una buena práctica tener un microservicio dedicado para la verificación de OTP. Si la aplicación principal está comprometida, es de esperar que el microservicio no lo esté.

Autenticación de clave pública

En este caso, el servidor solo tiene la clave pública. Una violación del servidor no puede revelar la clave privada. En el caso de una violación de la base de datos de solo lectura, un atacante no puede iniciar sesión como usted. Sin embargo, si hubo una violación de lectura y escritura, un atacante podría sobrescribir su clave pública con la suya propia y proceder a hacerse pasar por usted.