Contraseñas de un solo uso con teléfonos móviles [cerrado]

Navega tus respuestas
3

Es seguro asumir que la mayoría de los usuarios que acceden a Internet también poseen teléfonos móviles. Entonces, podemos aprovechar esto y liberar a los usuarios de recordar cualquier contraseña.

En lugar de registrar usuarios en el sitio web, el sitio puede registrar sus teléfonos móviles. Gmail está utilizando el número de teléfono móvil como la autenticación opcional de segundo factor.

¿Se podría diseñar e implementar cualquiera de estos esquemas en los que el usuario siempre inicie sesión con contraseñas de un solo uso y no tenga que recordar ninguna contraseña para ninguno de los sitios web? Si se pierde el teléfono móvil, entonces todas las cuentas están comprometidas. Para contrarrestar que el teléfono móvil tendrá una contraseña maestra o una contraseña biométrica. Además de ahorrar a los usuarios la carga de cumplir con las diferentes políticas de contraseña de cada sitio, estos esquemas también evitarán los ataques sin conexión ya que no hay contraseñas almacenadas en el servidor.

¿Se pueden diseñar esquemas o protocolos rentables para que los usuarios no tengan que recordar ninguna contraseña?

    
pregunta Curious 17.09.2014 - 07:19
fuente

2 respuestas

3

Usar el teléfono móvil como único factor de autenticación sería muy malo.

  

gmail usa el número de teléfono móvil como la autenticación opcional de segundo factor

La parte de importación aquí es "segundo factor". Parece que está proponiendo usar el móvil como un único factor de autenticación. Eso sería muy malo porque el teléfono móvil no es seguro. Si su dispositivo se ve comprometido, el atacante también tendrá acceso a su página web.

Como en una computadora normal, hay muchas formas de atacar un teléfono. Piensa en una explotación remota o en una aplicación malvada. Si pierdes tu teléfono aún peor. Si no cifró completamente el dispositivo, su pantalla de bloqueo no lo protegería. Incluso con el cifrado, el atacante podría forzar la contraseña.

De todos modos, usar el teléfono móvil como segundo factor es una buena idea, pero no puede reemplazar una contraseña.

Por cierto: las contraseñas biométricas son malas porque en su mayoría puedes copiarlas muy fácilmente y tienes grandes problemas para cambiarlas.

Actualizar en respuesta al comentario: Administrador de contraseñas versus contraseña única a través del teléfono móvil

Los teléfonos móviles y los administradores de contraseñas son muy diferentes. Uno de ellos es en su mayoría un dispositivo protegido que es muy probable que se pierda, mientras que el otro es un archivo cifrado en un dispositivo.

Podría interceptar la contraseña de un solo uso mientras se envía al dispositivo (SMS no está cifrado). HTTPS podría estar roto. Los números de teléfono pueden ser secuestrados y enrutados a otros dispositivos. Deberá autenticar su teléfono en el sitio web.

Suponga que lo ha hecho y ha cifrado completamente sus teléfonos con una contraseña segura. Ahora es como un administrador de contraseñas? No La mayoría de los teléfonos están encendidos incluso si se pierden, por lo que puede recupera la clave de cifrado de la RAM .

    
respondido por el PiTheNumber 17.09.2014 - 09:53
fuente
0

Dispositivos como Yubi Key han estado tratando de lograr esto. El problema subyacente es que es un factor único y, si se pierde, expone un riesgo importante para el usuario.

La concordancia con la biometría también es un campo prometedor, pero la tecnología aún no está lista. Cualquier cosa que mida para medir la biometría puede cambiar con el tiempo porque un cuerpo cambia con el tiempo. Hubo un brazalete prototipo que medía los patrones de latidos de tu corazón y ajustaba sus métricas a los cambios sutiles en tu corazón con el tiempo. Era prometedor, pero seguía siendo un prototipo.

Matar la contraseña ha sido un objetivo durante mucho, mucho tiempo. Necesitamos mantener la discusión.

    
respondido por el schroeder 17.09.2014 - 16:34
fuente

Lea otras preguntas en las etiquetas

Las solicitudes impares a health_check.js aparecen en Fiddler Evitar que los usuarios abusen de la función de correo electrónico de la aplicación web