Contraseñas únicas seguras y TOTP 2FA

Navega tus respuestas
3

Por lo tanto, uso un administrador de contraseñas para generar una contraseña única (segura) para todos y cada uno de los sitios para los que tengo un nombre de usuario / contraseña.

Para los que lo permiten, también habilito TOTP (contraseña de un solo uso basada en el tiempo) 2TF.

Esto me hizo pensar.

Teóricamente, la única forma en que alguien obtendría su contraseña (excluyendo los ataques MTM) sería que la tabla de contraseñas del sitio que estoy usando se filtre, en cuyo momento también se filtraría la semilla TOTP.

Entonces, ¿contra qué se debe proteger TOTP exactamente? ¿Está pensado como una protección contra: MTM, registrador de claves, visor por encima del hombro?

    
pregunta John 18.10.2017 - 08:21
fuente

1 respuesta

2

La autenticación de dos factores no puede protegerlo de una infracción del sitio. Si alguien obtiene acceso a la base de datos de contraseña del sitio, es probable que también tenga acceso a cualquier información confidencial en ese sitio.

La autenticación de dos factores lo protege de que otra persona obtenga su contraseña. Si ve esto como imposible 2FA es innecesario. Con la mayoría de los sistemas TOTP, esto depende de que posea un dispositivo con la clave correspondiente instalada, así como la contraseña para iniciar sesión. A menudo, este dispositivo es independiente del dispositivo utilizado para acceder al servicio (es decir, un teléfono inteligente para el generador de token y un computadora portátil para el servicio) que también ofrece cierta protección (su sesión aún puede ser secuestrada) si el dispositivo que inicia sesión o su administrador de contraseñas se ve comprometido.

El principal riesgo para ti es probablemente el administrador de contraseñas. Las vulnerabilidades ocurren en estos. Esto se vuelve el doble de importante si las contraseñas se almacenan en línea, ya que son visibles para las máquinas que no controla.

    
respondido por el Hector 18.10.2017 - 09:54
fuente

Lea otras preguntas en las etiquetas

¿Por qué las descargas de actualizaciones de Mac se redirigen a HTTP simple? [duplicar] ¿Hay programas de fuerza bruta que usan letras de otros idiomas? ¿Arábica? ¿Griego?