¿Hay sistemas de autenticación de dos factores + dos factores en uso?

3

Mi banco, Google, etc. usan sistemas de dos factores donde me envían una contraseña de un solo uso a través de medios fuera de banda. p.ej. SMS o una aplicación en mi teléfono móvil o un generador de token RSA independiente.

Esto parece bueno, excepto que es vulnerable a un sitio de intento de phishing / color rojo que me permite ingresar al OTP & luego úselo sobre la marcha para obtener acceso.

Me preguntaba si sería más seguro que la página de inicio de sesión original también mostrara un PIN inverso corto, dependiente del tiempo, que luego podría coincidir con un PIN similar en mi dispositivo fuera del canal antes de ingresar al verdadero PIN en el sitio web. ¿Sería esa una buena manera de verificar que el sitio que solicita el token es auténtico?

¿Esto es ingenuo? ¿O mejoraría las cosas? Si es así, ¿ya lo están haciendo los sitios / protocolos?

PS. Creo que los mandos seguros como FIDO U2F, etc. se encargan de esto. Pero estoy pensando en una forma de asegurar un sistema de aplicación de SMS / Android heredado que genere el segundo factor.

    
pregunta curious_cat 27.05.2015 - 06:44
fuente

4 respuestas

4
  

Esto parece bueno, excepto que es vulnerable a un sitio de intento de phishing / color rojo que me permite ingresar al OTP & luego úselo sobre la marcha para obtener acceso.

Esto es lo que el certificado x.509 / TLS debe evitar. Si:

  1. confía en las matemáticas subyacentes del certificado x.509 y TLS,
  2. tanto el servidor como el cliente han implementado TLS correctamente,
  3. la máquina cliente confía en la CA del servidor (es decir, el certificado raíz de la CA está en el almacén de confianza del cliente),
  4. confía en el proceso de verificación de CA de su proveedor del navegador (o ha auditado el almacén de confianza) y confía en el proceso de emisión de certificados de CA,
  5. confía en su navegador para validar el certificado, como verificar el CN / vencimiento del certificado, la lista de revocaciones, etc.,
  6. confía en que el servidor haya implementado precauciones para controlar el uso incorrecto de su clave privada,
  7. cree que el nombre de dominio pertenece a la organización con la que desea comunicarse,
  8. el servidor pasa el protocolo de enlace TLS,

entonces puedes estar seguro de que el servidor en el otro extremo es quien crees que es.

En cualquier caso, si la máquina que ejecuta el cliente desde el que se está conectando está comprometida, de todos modos estará atornillado ya que ingresará sus credenciales y OTP utilizando la máquina.

    
respondido por el Lie Ryan 27.05.2015 - 14:42
fuente
2

La "cuenta de Microsoft" es probablemente lo más cercana a la autenticación de factor de banda 2 fuera de la banda.

Cómo funciona es cuando inicias sesión en un sitio (con una cuenta de MS) que requiere autenticación de dos factores, inicias la aplicación en tu teléfono y luego concedes el acceso.

No hay entrada de pines o códigos. Está completamente fuera de banda. (suponiendo que esté utilizando la red de proveedores de su celular)

Si hubiera una solicitud pendiente, se mostraría a continuación en la lista de solicitudes que necesitan aprobación.

    
respondido por el k1DBLITZ 27.05.2015 - 15:15
fuente
1

Sí, hay funciones OTP de desafío / respuesta disponibles en las "fichas" de autenticación móvil y de hardware.

He desarrollado muchos componentes de cliente y servidor para habilitar eso en los últimos años, en nombre de mi empleador, que es un gran jugador en ese mercado. Vea las especificaciones de la OCRA, para más detalles.

Solo una cosa más: ni siquiera esto protege de ataques MITM o de un navegador / dispositivo comprometido, aunque la captura simple de los valores del segundo factor que intentan reutilizarse en otra interacción es inútil.

    
respondido por el Monoman 27.05.2015 - 14:32
fuente
1

La autenticidad de un sitio siempre es algo que los usuarios finales estarán en riesgo de poder verificar. En condiciones ideales, el usuario final es siempre el enlace más débil. Podemos luchar contra eso hasta cierto punto, pero existen limitaciones para mejorar el diseño y la capacitación de los usuarios.

Es por esto que tenemos Certificados SSL de Validación Extendida , que le dan el nombre del nombre de la organización junto a la ubicación Bar, en verde claro. Esta es la razón por la que los navegadores ya no dan el favicon del sitio en la barra de ubicación (el favicon podría ser un padlock ). Esta es la razón por la que muchas corporaciones en realidad phish a sus propios empleados para capacitarlos para cuando (¡no si!) Suceda de verdad.

Todo el punto detrás de la fuera de la banda contraseña de un solo uso es que es más difícil de replicar. Un SMS ideal diría dónde cree que está, tal vez al decir que nunca antes ha usado ese sistema. Esto le diría a un usuario instruido que podría ser un proxy y podría indicar un ataque del Hombre en el medio .

Muchos bancos le darán algo similar a su PIN inverso propuesto. Le mostrarán una imagen que seleccionó junto con una frase que les dio. Cualquier ataque de phishing tendría que consultar a los servidores del banco para obtener esa información, y el equipo de seguridad del banco podría notarlo y tomar medidas. Esto también sería cierto para un proxy. Los datos son poder y no todos los estadísticos trabajan en publicidad.

Creo que certificados de cliente SSL son una buena opción para salir de este atasco, aunque se necesita más trabajo en la implementación (iirc, cualquier sitio puede solicitarlo, por lo que se puede usar para rastrearlo; debe poder asignarlo a un certificado de servidor correspondiente). / p>     

respondido por el Adam Katz 02.06.2015 - 07:13
fuente

Lea otras preguntas en las etiquetas