¿Qué consideraciones de seguridad debo hacer al elegir una aplicación TOTP?

3

Una empresa ahora requiere que yo use Authy o Google Authenticator. Supuestamente, estos son más seguros que recibir un mensaje de texto, pero sigo viendo a la gente quejarse de lo peligrosos que son. Por ejemplo, este artículo dice que tanto Authy como GA son menos seguros que U2F para seguridad . Pero unos pocos años, Authy estaba de moda.

Si está obligado a usar uno de estos dos, ¿qué es más seguro y por qué?

* Sí, estoy buscando otra compañía para usar.

    
pregunta StopSigningMeOut 01.06.2017 - 15:55
fuente

3 respuestas

4

La mayoría de las aplicaciones HOTP / TOTP son esencialmente las mismas; los algoritmos están documentados públicamente, por lo que la mayoría de los usuarios simplemente ven pequeñas diferencias en la interfaz de usuario. Sin embargo, hay algunos aspectos de seguridad que podría considerar al elegir uno:

  • ¿Es de código abierto? Google Authenticator, por ejemplo, solía ser, pero ya no lo es (lo que IIRC inspiró directamente en FreeOTP de RedHat). Sin embargo, es poco probable que Google haya introducido un código para robar los tokens de los usuarios; también te pierdes los otros beneficios del código abierto, como poder buscar errores en el origen directamente.
  • ¿Los secretos están respaldados en un lugar externo? Hace poco fallecí mi teléfono de forma inesperada, lo que significaba que tenía que restablecer mis códigos 2fa en varios servicios (mientras no tenía acceso a mi número de teléfono para SMS o teléfono). llamadas, el método de copia de seguridad más común). Este fue un dolor enorme . No es sorprendente que a muchos usuarios les gustaría usar un servicio que almacene los secretos subyacentes en algún lugar externo, para que puedan seguir usándolos en caso de un cambio de dispositivo. Sin embargo, esto conlleva un riesgo inherente: ese factor ya no es "algo que tienes", sino acceso a tu cuenta, que a menudo es otro "algo que sabes". Puedes argumentar que los códigos ya no son un segundo factor. Authy (opcionalmente) cae en esta categoría.

Más allá de eso, tienes consideraciones como "¿Se integra esto muy bien en mis herramientas existentes?" que son consideraciones de UX muy reales, pero no afectan a la seguridad más que en la forma en que convencen a los usuarios para que usen (o no usen) MFA.

    
respondido por el Xiong Chiamiov 01.06.2017 - 17:46
fuente
0

Google Authenticator es ampliamente utilizado y compatible con muchas aplicaciones para admitir el uso de la autenticación multifactor. Se está utilizando más ampliamente que Authy, posiblemente debido a la asociación de marca "Google". Creo que el autenticador GA ofrece un nivel adecuado de seguridad y facilidad de uso para la mayoría de los casos en que se utiliza. Si esto cumple con su nivel de apetito de riesgo aceptable, solo lo sabrá.

    
respondido por el ISMSDEV 01.06.2017 - 16:12
fuente
0

Google Authenticator, Authy y cualquier 'aplicación de seguridad' son tan buenas como la seguridad que emplea el usuario subyacente en el dispositivo subyacente. Si no adopta buenos principios de seguridad en su teléfono, o cualquier medio que esté utilizando para intercambiar claves 2F, la aplicación puede ser muy inútil. El factor humano es uno de los elementos más importantes de la buena ciberseguridad. En términos de lo que es mejor, personalmente me gustaría ir a Google porque tienen sus propios equipos de investigación de seguridad privada y una gran cantidad de errores para sus programas y aplicaciones.

    
respondido por el Rice 01.06.2017 - 17:32
fuente

Lea otras preguntas en las etiquetas