¿Asegurar datos de 2 factores de aplicaciones que se encuentran en el mismo dispositivo?

Question

¿Asegurar datos de 2 factores de aplicaciones que se encuentran en el mismo dispositivo?

#1 de mikky (1 votos)

3

Varias aplicaciones como GMail, Coinbase, Yahoo y otras requieren el uso del dispositivo móvil para acceder a los datos dentro de la aplicación.

Por ejemplo

Gmail requiere TOTP en Google Authenticator (generalmente ubicado en el mismo teléfono)
Yahoo envía un mensaje SMS (al mismo teléfono)
Coinbase usa Authy usa una aplicación (generalmente ubicada en el mismo teléfono)
Microsoft Azure / O365 (similar a Authy) usa una aplicación (generalmente ubicada en el mismo teléfono)

Cualquier compromiso del teléfono, o más específicamente las comunicaciones entre procesos entre aplicaciones, podrían permitirle a una entidad deshonesta acceder a mis datos protegidos.

Pregunta

¿Qué enfoque es generalmente más seguro? (aplicación, vs SMS, etc.)
¿Es un riesgo que PhoneFactor (Azure, 0365) tenga un botón de aprobación dentro de la aplicación que permita el acceso, o es un intercambio justo entre la facilidad de uso y la seguridad?
¿Alguien puede explicar el riesgo de que una aplicación de estilo OTP (mencionada arriba) comprometa los secretos?

Supongo que el riesgo es mayor para los iPhones Jailbroken y los Roroid androids.

appsec multi-factor mobile sms

pregunta random65537 10.03.2015 - 00:11

fuente

1 respuesta

Lea otras preguntas en las etiquetas appsec multi-factor mobile sms

¿Cómo se conecta wifi sense a cualquier red? ¿Eligiendo token sobre sesión o viceversa?

score 1 · Answer 1

SMS o aplicación:

El acceso al estilo de la aplicación es más seguro en las dos plataformas principales, ya que los datos de la aplicación se encuentran en un espacio aislado, mientras que el proveedor de SMS es accesible al público desde todas las aplicaciones. Android es un poco más seguro que iOS ya que le da al usuario una lista de privilegios que una aplicación está usando, por lo que le da una pista al usuario para que sea más cauteloso cuando la aplicación solicita acceso por SMS (o, si usa CyanogenMod, puede incluso estar protegido de SMS por Privacy Manager).

Por otro lado, si el dispositivo está en peligro, el sandbox no te ayudará mucho a menos que el sandbox esté encriptado. Creo que iOS hace esto pero no estoy seguro, tendrías que preguntarle eso a iGeek. Una brecha en la caja de arena aclara la diferencia entre sms u otra aplicación, ya que la aplicación sms es solo otra aplicación. Algunas aplicaciones OTP cifran sus secretos con un PIN y algunos dispositivos tienen algún tipo de circuito TPM que podría ser aprovechado.

Compromiso secreto de la OTP:

Si se filtran sus secretos de OTP, la OTP ya no se puede considerar segura. Usted debe negociar nuevos secretos lo antes posible. Es igual a que tu token OTP de hardware sea robado.