¿Qué podría hacer MitM'ed U2F?

3

Google ahora ha liberado sus claves "Titan" para la tienda general (aunque a través de una lista de espera). Cuando anunciaron por primera vez su producto, Yubico, su principal competidor, denunció el uso de Bluetooth:

  

La oferta de Google incluye una clave compatible con Bluetooth (BLE). Si bien Yubico inició previamente el desarrollo de una clave de seguridad BLE y contribuyó al trabajo de los estándares BLE U2F, decidimos no lanzar el producto ya que no cumple con nuestros estándares de seguridad, facilidad de uso y durabilidad. BLE no proporciona los niveles de garantía de seguridad de NFC y USB, y requiere baterías y un emparejamiento que ofrezcan una experiencia de usuario pobre.

Esta aspersión se produjo algún tiempo después de las revelaciones de una falla en la pila de Bluetooth, a saber, la vulnerabilidad de Blueborne.

Sin embargo, si U2F se basa en la criptografía de clave pública, ¿importa si alguien puede ver cada parte del intercambio de datos? Pensé que eso era parte del punto de U2F.

  • No me preocupa que un ISP malvado intercepte mis conexiones HTTPS; ¿Debo preocuparme por un espectador malvado cuando uso U2F sobre Bluetooth?

  • Si no, ¿le preocupa a Yubico el compromiso del propio dispositivo U2F, o simplemente lanzan miedo, incertidumbre y duda (A.K.A. "FUD") al producto de un competidor?

pregunta Michael 30.08.2018 - 20:07
fuente

1 respuesta

3

Si se rompe la seguridad de transporte entre el agente de usuario y el autenticador, hay algunos problemas (debatably menores):

  • El AppID se revela cuando inicia sesión en un sitio (este suele ser el dominio del sitio)
  • Si el atacante está cerca y conoce su contraseña, podría enviar la firma del token del desafío del sitio web ante usted (según la implementación del servidor, esto también puede requerir que conozca la cookie de su sesión, lo que parece poco probable)
  • Un atacante podría enviar sus propios desafíos a su token, que si se cronometra correctamente (es decir, justo antes de que usted presente su propio desafío) podría permitirle iniciar sesión (suponiendo que sepa que conoce su contraseña)
respondido por el AndrolGenhald 30.08.2018 - 21:31
fuente

Lea otras preguntas en las etiquetas