Mi oficina cambió de usar los tokens de la clave RSA SecurID del hardware antiguo a los tokens del software RSA SecurID y la mayoría de los usuarios los tienen instalados en las mismas máquinas que usan para acceder a la VPN.
Le pregunté a nuestra gente de seguridad (lo cual respeto) y me dijeron que estaba bien. La autenticación de dos factores consiste en el "Algo que tienes" en la PC y el "Algo que sabes", tu contraseña para ingresar en la PC y el PIN para el token de software.
Me parece que tener ambos en el mismo dispositivo se reduce a una contraseña de dos partes. Escriba su nombre de usuario y contraseña (algunos pasos en el medio) y su PIN. Tener una sola contraseña, incluso si está en varias partes con el software RSA en el medio, es una autenticación de factor único.
Para ser justos, los discos están cifrados, por lo que los malos no pueden entrar fácilmente en el sistema, por lo que estamos bastante seguros, pero todos piensan que están a salvo. Esa es la idea detrás de hacer las cosas difíciles para los malos. ¿Cuál es el punto de pasar por los movimientos de dos factores sin implementarlo correctamente?
He mirado y mirado en la web y lo único que puedo encontrar es el sitio web de RSA donde dicen que todo está bien con su producto, que es lo que esperaría que dijeran.
Apreciaría algunos argumentos convincentes que cualquiera puede hacer, de una manera u otra. Si pudieras proporcionar un enlace a algo sólido que pueda agitar en sus caras y decir "¡ALLÍ! ¡Te lo dije!" eso seria genial. Si tienes algo sólido para mostrarme que estoy ladrando el árbol equivocado, también estaré encantado de aceptar eso.
Debo agregar que la forma en que funciona el software RSA es que escribo mi PIN "12345678" y responde con su valor codificado "31415926" que cambia cada minuto. Si escribo algo, excepto mi PIN, actuará exactamente igual pero el código que proporcione no permitirá la autenticación. Si tengo un registrador de claves en mi sistema, registrará el PIN como ingresado y los malos podrán ingresar a la VPN, siempre que tengan acceso a mi sistema . Si fueran a clonar mi máquina y no aplicaran el trabajo que SensePost aplicó en su prueba , podrían acceder La VPN si tuvieran el PIN. RSA sostiene que todo está lleno en su respuesta .
La buena noticia es que los discos en nuestras máquinas realmente están cifrados, lo comprobé. La mala noticia es que no tenemos que ingresar una contraseña para iniciar, por lo que la clave de cifrado se almacena en un disco cifrado. El sitio web de Sophos SafeGuard dice que la clave "se divide en diferentes partes y se almacena en el ... kernel". Esto suena como "seguridad a través de la oscuridad" para mí. Si un adversario determinado registrara mis pulsaciones y robara mi máquina, tendría acceso a nuestra VPN.