¿Es tokenless (específicamente SMS) 2FA un compromiso de seguridad sobre los tokens OTP?

21

He estado investigando los diversos pros / contras de la autenticación de dos factores basada en tokenless token (particularmente basada en SMS) y tradicional (piense en RSA SecurID). Después de investigar un poco, creo que entiendo mejor las dos opciones en lo que respecta a la facilidad de uso, el costo, etc., pero tengo problemas para encontrar un buen análisis independiente en profundidad de la seguridad de cada solución.

Como lo entiendo hasta ahora, 2FA sin token es más barato y más fácil de implementar. También aprecio que algunas personas tienen menos probabilidades de olvidar su móvil que de olvidar su token OTP. Las desventajas incluyen el hecho de que se requiere cierto nivel de recepción de SMS, aunque los proveedores han producido soluciones para solucionar esto, incluido el envío del siguiente código inmediatamente después de que se usa el último, los códigos de "uso diario" y el envío de múltiples códigos en cada SMS. ¿Tengo razón al pensar que estas "soluciones" son en realidad un poco un compromiso de seguridad? Si es así, ¿cuánto de un compromiso son, de manera realista? También he escuchado a algunos decir que pasar por el proceso de recibir los SMS cada vez puede ser una molestia para los usuarios regulares, ya que los tokens tradicionales son más prácticos. ¿Alguien ha encontrado que este sea el caso?

Las ventajas de los tokens OTP tradicionales incluyen el hecho de que no se requiere la recepción del teléfono, y son prácticos para los usuarios regulares. ¿Recomendaría implementar tokens tradicionales para los empleados que viajan internacionalmente (debido a problemas de recepción móvil)?

Dado que 2FA sin tokens es más barato y más fácil de implementar, pensarías que los tokens tradicionales pasarán de moda mucho más rápido que ellos. Si tuviera que creer en el material de marketing de compañías como SecureEnvoy, los días de los tokens OTP tradicionales están contados. Sin embargo, tengo la impresión de que este no es el caso. Esto me lleva a pensar que muchas empresas se apegan a los tokens físicos tradicionales porque creen que son más seguras que las 2FA sin fichas. ¿Es este el caso, o se debe a algún otro factor? ¿Las soluciones tradicionales, como RSA SecurID, solo se comercializan en la posición de mercado que han establecido en el pasado, o aún existe un caso para las fichas físicas?

En la primera inspección, los tokens blandos parecen proporcionar algunos de los beneficios de los tokens basados en SMS, sin el requisito de recepción de SMS. Si los usuarios tienen teléfonos inteligentes, ¿sería esa una mejor opción? ¿Es fácil implementar tokens blandos a través de SMS para usuarios de teléfonos inteligentes, o hay otros factores a considerar?

Soy consciente de que realmente he hecho algunas preguntas relacionadas, así que, solo para resumir, mis preguntas son:

a) ¿El 2FA sin token (en particular, basado en SMS) es un compromiso de seguridad sobre los tokens tradicionales?

b) ¿Los tokens físicos siguen siendo populares solo porque se han probado y probado, con compañías como RSA que cotizan en la reputación que han establecido, o aún existe un caso objetivo para apegarse a los tokens físicos?

c) ¿Se ha encontrado que las personas basadas en SMS 2FA no son prácticas para los usuarios normales y se encuentran implementando tokens físicos para esos usuarios?

d) ¿Las soluciones como los códigos de "uso diario" y los códigos múltiples en un solo SMS son un compromiso de seguridad en comparación con el valor predeterminado de códigos únicos que se envían y almacenan en un SMS?

e) Para los usuarios de teléfonos inteligentes, ¿es una tarea fácil de implementar tokens en lugar de confiar en 2FA basado en SMS?

f) ¿Puede alguien dirigirme a alguna literatura apropiada que debería leer para realmente tener una idea de algunos de los problemas anteriores?

Las preguntas están muy relacionadas, así que las he mantenido todas juntas. Déjeme saber si cree que debería separar lo anterior en preguntas separadas de StackExchange.

    
pregunta dbr 06.05.2012 - 16:06
fuente

6 respuestas

16

a) ¿El 2FA sin token (en particular, basado en SMS) es un compromiso de seguridad sobre los tokens tradicionales?

Sí, SMS es mejor que solo una contraseña, pero la más débil de las formas de 2FA.

Los principales riesgos de seguridad son:

  • Redirección de números
  • teléfono robado
  • Transacción realizada en el teléfono. Este es uno de los principales, con el crecimiento de teléfonos inteligentes y tabletas capaces de recibir mensajes de tipo iMessage

También como has dicho las consideraciones operativas:

  • cobertura de SMS. Las opciones que indicó, como enviar dos códigos o un código de día, reducen la seguridad de la contraseña de un solo uso, ya que es válida por un período mucho más largo y, por lo tanto, ofrecen una mayor ventana para el compromiso
  • Costo de enviar el SMS, especialmente si necesita enviarlo internacionalmente
  • Requerir batería

Dicho esto, sigue siendo el más conveniente para los usuarios porque:

  • La mayoría de las personas tienen un teléfono capaz de enviar SMS y lo llevan con ellos siempre.

También tiene un beneficio de seguridad en eso:

  • es mucho más probable que los usuarios noten que falta un teléfono en lugar de un token faltante
  • si el archivo semilla y / o el algoritmo se ven comprometidos (por ejemplo, el calzo RSA) es mucho más fácil reemplazar una flota de tokens blandos o cambiar el archivo y el algoritmo de semillas OTP de SMS en lugar de una flota de tokens duros

b) ¿Los tokens físicos siguen siendo populares solo porque se han probado y probado, con compañías como RSA que cotizan en la reputación que han establecido, o aún existe un caso objetivo para apegarse a los tokens físicos?

Hay un caso objetivo ya que proporcionan un ajuste dependiendo de su modelo de amenaza.

Por supuesto que también hay resistencia al cambio. Las grandes empresas que han implementado infraestructura de token duro, han implementado tokens, han entrenado a sus usuarios para que construyan un caso de negocios para el proyecto, no solo porque los SMS o tokens blandos son más baratos y más convenientes. Aunque con la brecha de RSA, por ejemplo, conozco varias compañías que aprovecharon la oportunidad para cambiar a tokens blandos.

c) ¿Se ha encontrado que las personas basadas en SMS 2FA no son prácticas para los usuarios normales y se encuentran implementando tokens físicos para esos usuarios?

Las únicas veces que he escuchado esto son:

  • Una población suficientemente grande de usuarios no tiene teléfonos o teléfonos con capacidad de tokens y la compañía no puede ser vista para discriminar
  • Los usuarios ya están entrenados en el uso de tokens duros
  • Los usuarios ya tienen un token duro y es más fácil de reutilizar que implementar y entrenar para SMS
  • Los usuarios internacionales y el costo de los sms o la dificultad para enviar sms locales son prohibitivos

d) ¿Las soluciones como los códigos de "uso diario" y los códigos múltiples en un solo SMS son un compromiso de seguridad en comparación con el valor predeterminado de códigos únicos que se envían y almacenan en un SMS?

Sí, ya que reducen la seguridad de la contraseña de un solo uso, ya que es válida por un período mucho más largo y, por lo tanto, proporciona una mayor ventana para el compromiso

e) Para los usuarios de teléfonos inteligentes, ¿es una tarea fácil de implementar tokens en lugar de confiar en 2FA basado en SMS?

No necesariamente. Todavía se necesita un modelo de amenaza, un token de software aún se puede comprometer más fácilmente que un token de hardware. Los teléfonos inteligentes son computadoras, todavía pueden obtener malware, las aplicaciones pueden obtener acceso a su semilla o OTP y transmitirlo a otra parte.

También las consideraciones operativas mencionadas anteriormente. Si se trata de un entorno de minería, es un token duro que necesita una batería nueva cada pocos años y es más resistente a la suciedad, a la variación de la temperatura, ¿los líquidos van a ser mejores?

f) ¿Puede alguien dirigirme a alguna literatura apropiada que debería leer para realmente tener una idea de algunos de los problemas anteriores?

Oldie pero un goodie: enlace

    
respondido por el Rakkhi 07.05.2012 - 08:14
fuente
9

a) ¿El 2FA sin token (en particular, basado en SMS) es un compromiso de seguridad sobre los tokens tradicionales?

Se podría decir que los SMS y los teléfonos móviles son menos seguros como medio. Las compañías como RSA a menudo señalan las debilidades, pero recuerde que RSA obviamente está sesgada. Por supuesto, la propia RSA nos ha demostrado que las soluciones basadas en token también son vulnerables al compromiso.

Hay argumentos para que los tokens basados en SMS sean más seguros. Como mencioné, un token de hardware tiene un algoritmo fijo que puede potencialmente comprometerse y reproducirse sin que el usuario lo sepa. Sin embargo, un token de SMS no tiene que seguir ningún algoritmo predecible; El código puede ser completamente aleatorio. Además, los tokens de SMS pueden tener algunos beneficios cuando se trata de repudio (o no repudio) porque se rastrea la ubicación física de un teléfono móvil y uno podría regresar y correlacionar eso con un inicio de sesión particular.

Otra cosa es que un código SMS también podría ser efectivo para prevenir un MITM o, al menos, requerir que sea tan elaborado que eliminaría la viabilidad de la mayoría de estos ataques (una cosa interesante sería un código SMS combinado con un token de software para poder autenticar tanto el servidor como el cliente).

b) ¿Los tokens físicos siguen siendo populares solo porque se han probado y probado, con compañías como RSA que cotizan en la reputación que han establecido, o aún existe un caso objetivo para apegarse a los tokens físicos?

Los tokens físicos tienen la ventaja de poder producir un código independiente de cualquier canal electrónico que pueda ser fisgonado o comprometido. También tienen la capacidad de estandarizarse en toda la empresa, no requieren un dispositivo que pueda fallar o una batería que se agote con frecuencia, puede ser impermeable y más resistente en general. Algunos tokens, como el Yubikey, deben estar conectados a un puerto USB que verifique la existencia real del token (pero también requiere una conexión a Internet para autorizar). Los tokens físicos también se pueden combinar con tarjetas de proximidad para el acceso físico. Y, por supuesto, los tokens físicos, como las tarjetas inteligentes, pueden contener certificados PKI que se pueden usar para otros fines de encriptación o autenticación. Así que sí hay beneficios para ellos.

e) Para los usuarios de teléfonos inteligentes, ¿es una tarea fácil de implementar tokens en lugar de confiar en 2FA basado en SMS?

En general, no creo que pueda argumentar que cualquiera de estas técnicas es significativamente más fuerte o más débil que cualquier otra desde un punto de vista de seguridad (todas tienen sus fortalezas y debilidades). De cualquier manera, cualquier token combinado con una contraseña de usuario aumentará en gran medida la seguridad.

Por otro lado, puede haber una gran diferencia en precio, capacidad de administración y gastos generales de soporte entre las diferentes tecnologías.

Si haces algo como HOTP o TOTP puedes usar tokens blandos, tokens físicos o incluso tokens basados en la web si es necesario. Utilizo el autenticador de google en mi teléfono y tengo seis tokens diferentes de diferentes lugares. Es gratis y soporta los estándares HOTP y TOTP. Pero también utilizo un Yubikey para algunas cuentas, el token DIGIKEY para iniciar sesión en PayPal y SMS para iniciar sesión en Facebook.

    
respondido por el Mark Burnett 07.05.2012 - 08:11
fuente
1

OMI, el nivel de seguridad de la autenticación basada en SMS es mucho más alto que con los tokens tradicionales en algunos escenarios importantes. Es decir, es seguro en el caso común de una PC infectada con troyanos para banca en línea, mientras que la mayoría de los tokens tradicionales fallan por completo en esta situación.

La diferencia es que el teléfono muestra la cantidad de dinero y la cuenta de destino, mientras que el troyano puede reutilizar el número producido por un token tradicional. Por ejemplo, podría mostrar "Transferir 100 $ a Alice" pero usa el token para "Transferir 1000 $ a Eve".

    
respondido por el CodesInChaos 07.05.2012 - 14:52
fuente
1

Estoy de acuerdo con Rahkki y Mark arriba. La clave a tener en cuenta es que SMS no es un token de software que incluye algún tipo de cifrado que usted controla. SMS es básicamente correo electrónico y es tan seguro. Los transportistas no están incentivados para asegurar las cuentas de sus usuarios, utilizar el cifrado, etc., etc. por qué-usar-sms-para-autenticación-es-una-mala-idea "> enlace

    
respondido por el nowen 05.09.2012 - 18:26
fuente
1

Por qué SMS 2FA es mejor y probablemente más seguro que su contraparte de token.

  1. No necesita un servidor con su propia debilidad de seguridad para instalar el software para Token 2FA.

  2. Tiene un dispositivo separado que proporciona 2FA donde puede aislarlo en la red. ¿Alguna vez has visto a alguien instalar software para Token 2FA en el mismo servidor donde están instalados LDAP y RADIUS?

  3. La mayoría de las personas tiene un teléfono móvil.

    1. Una persona normalmente valora su teléfono más que el token.

    2. Cuando una persona pierde su teléfono, inmediatamente hace un informe policial.

    3. Como un Token es más pequeño que el teléfono, la probabilidad de perderlo sin darse cuenta de inmediato es alta.

  4. Por lo que entiendo, RSA se ha comprometido en 2011.

No hay seguridad 100%. Tienes que estar un paso por delante del hacker o él está un paso por delante de ti. La seguridad no es solo si el producto que está utilizando es de un proveedor gigante, acreditado y probado. No los hace Dios en seguridad.

    
respondido por el Dandy 29.06.2012 - 10:41
fuente
0

Bien, aquí están mis respuestas a tus preguntas.

(a) Un gran NO. No hay compromiso de seguridad en 2FA sin token (basado en SMS o de otro tipo). La autenticación del factor Tokenless 2 es igual de segura si no más que cualquier 2FA basado en Token.

(b) Creo que los tokens físicos todavía están en uso porque las compañías los eligieron inicialmente y ahora es un inconveniente cambiar a un 2FA sin token. Pero las empresas que están implementando 2FA por primera vez están eligiendo 2FA sin token en lugar de 2FA tradicional.

(c) No, de hecho es al revés. Más personas optan por autenticación de dos factores .

(d) Puede haber algún riesgo involucrado en los códigos de "" uso diario "y múltiples códigos en un SMS, pero no es muy significativo.

(e) Los tokens de software tienen sus propias amenazas, como virus informáticos y ataques de software.

(f) Puedes leer la página wiki en 2FA. enlace

    
respondido por el William Carter 16.01.2013 - 13:27
fuente

Lea otras preguntas en las etiquetas