Este es un compendio de métodos de autenticación. Espero que alguien complete este mapa y lo evalúe apropiadamente para no rechazar.
La mayor parte de mi conocimiento sobre seguridad se basa en iOS, pero los comentarios en otras plataformas son bienvenidos.
Autenticación solo local
La diferencia clave es que los ataques remotos (SSH / RDP / HTTP 401 no autorizados) no son posibles incluso si el usuario remoto tiene toda la información correcta. El beneficio aquí es que si la persona tiene el control físico del dispositivo, entonces el dispositivo en sí mismo actúa como "algo que tienen", y pueden aplicarse reglas de seguridad menos estrictas.
Además, a veces esta credencial de autenticación no se puede convertir directamente en un token de autorización.
Dependiendo de si el material de la clave privada está asegurado con hardware (próxima sección), puede aumentar los privilegios al acceder a un almacenamiento seguro en el dispositivo. No estoy seguro si vale la pena notar esta distinción ya que no he observado la autenticación de red que aprovecha esta función de seguridad.
Windows
- Windows Hello como reconocimiento facial
- Windows Hello como entrada de pin
- Windows Hello como imagen desbloqueada
- Windows Hello como huella digital
Android
- desbloqueo de patrón
- Desbloqueo de pin
- huella digital
iOS
- huella digital
- código PIN
Apple Watch
- Código PIN
- detección de la muñeca
Seguridad del hardware
Aquí es donde las claves privadas no son transferibles y / o el algoritmo de validación está protegido por hardware. La extracción de la clave privada puede proporcionar indicaciones físicas de entrada ilegal, y puede poner en riesgo que el propio dispositivo de autenticación no funcione.
Ninguno de estos modos se puede utilizar en la red.
Estos modos de autenticación se basan en los métodos de autenticación locales anteriores.
Parte 2 protegida por hardware
No estoy seguro de cómo clasificar las tarjetas inteligentes, ya que en RDP es posible autenticarse en una máquina remota a través de otra máquina. Necesito realizar un análisis más detallado de cómo funciona un "proxy" privado de tarjeta inteligente en contraste con otras soluciones "proxy" que, en teoría, podrían usarse en la sección anterior
Software protegido a través del sistema operativo
Aquí es donde el sistema operativo proporciona una medida de seguridad. Los dispositivos con jailbreak o rooteados pueden comprometer las garantías de seguridad disponibles de otra manera.
Estos pueden ser condicionalmente transferibles fuera del ecosistema confiable (algunos más fácilmente que otros).
iOS
- Almacenamiento privado por aplicación
- Grupos de aplicación
- sincronización de iCloud del almacenamiento privado
- mensajes SMS (iMessage no tiene enlaces de terceros; Android sí)
- Política del mismo origen basada en el navegador (tokens de portador, cookies de recuerdo, SOP, almacenamiento local HTML)
- contraseña sincronizada de la aplicación al sitio web de Safari a través de iCloud
Windows
-
¿Dispositivos basados en TPM ?
- Autentificación LiveID / Passport
- Política del mismo origen basada en navegador
- Almacenamiento en caché de contraseña local basado en navegador (Chrome, IE, FireFox)
Chrome
- Sincronización de contraseñas de Chrome con passwords.google.com '
Android
- Las contraseñas de SMS / códigos de una sola vez podrían ser interceptados por aplicaciones de terceros
Software Secured / Password managers
En muchos casos, un administrador de contraseñas proporciona "un lugar adicional para buscar" estos tokens transferibles / de portador, y no proporciona el mismo nivel de integridad que brindan los secretos de seguridad del hardware, y no tiene garantías de nivel de SO .
- HOTP / TOTP en software, como Google Authenticator (guarda la clave en algún lugar) y los códigos de autorización de Facebook (dependiendo de dónde la aplicación almacena la clave, y si el dispositivo está Jailbroken / rooted)
- Lastpass, Avast, 1Password puede almacenar la base de datos de contraseñas en DropBox, lo que hace que sea muy fácil para una aplicación de Dropbox de terceros obtener acceso al archivo y forzar las credenciales. (Los tokens de OAuth de clientes de terceros a menudo solicitan acceso completo, no de ámbito)
Backups
Las copias de seguridad pueden estar encriptadas débilmente en una computadora comprometida, u otro dispositivo que luego se puede usar para tomar todos los tokens del portador, o no "solo local"