¿Vulnerabilidades a pesar de FIDO U2F?

Navega tus respuestas
2

FIDO U2F parece mucho más seguro que las contraseñas de un solo uso (OTP), especialmente TOTP, debido a la arquitectura de desafío-respuesta. ¿De qué manera un usuario U2F sigue siendo vulnerable?

Supongo que si la computadora de un usuario está comprometida o si el usuario pierde su dongle U2F, todas las apuestas están desactivadas, ¿verdad? ¿Pero el phishing ya no funciona? (No soy un pirata informático aspirante, solo un tipo que trata de entender una tecnología).

EDITAR: Hay una pregunta relacionada sobre U2F vinculada en los comentarios. Esa pregunta pregunta qué tan seguro es U2F. Me estoy preguntando específicamente acerca de las vulnerabilidades no corregidas por U2F.

Gracias.

    
pregunta Jeff 01.09.2015 - 01:45
fuente

3 respuestas

6

En mi opinión, a U2F le falta una cosa en este momento: La privacidad de tu clave secreta.

Cada dispositivo viene con su propia clave secreta. Una clave específica del sitio se deriva de esta clave secreta para responder al desafío al iniciar sesión en un sitio. Esto es para mantenerlo en el anonimato y registrarse y autenticarse fácilmente en un sitio.

Pero! Cada dispositivo U2F que se vende hoy en día viene con una clave secreta inicial no modificable. Por lo tanto, debe confiar en los proveedores, que crearon esta clave secreta.

¡Me gustaría tener un dispositivo U2F, donde el usuario pueda crear su propia clave secreta! Mientras esto no esté disponible, este es el mayor inconveniente. Mi opinión.

Editar el 25 de febrero de 2017

Esto fue cierto para los dispositivos Yubikeys y Plugup y muchas otras unidades fabricadas a partir de estos. De hecho, en la actualidad hay dispositivos / proveedores que pretenden realmente crear y no derivar los pares clave para el registro. (Todavía no he probado y verificado esto.

    
respondido por el cornelinux 01.09.2015 - 22:47
fuente
3
  

Supongo que si la computadora de un usuario está comprometida o si el usuario pierde su dongle U2F, todas las apuestas están desactivadas, ¿verdad? ¿Pero el phishing ya no funciona?

La documentación sobre la que estoy haciendo declaraciones sobre esto proviene del documento Protocol Design + User Flows en enlace

El malware en una máquina puede generar mensajes de origen falsos y adquirir respuestas resultantes del dispositivo. El antimalware está específicamente etiquetado como fuera del alcance del diseño U2F.

Al igual que con cualquier dispositivo de 2 factores en la categoría de algo que tienes, perder el control del dispositivo es una señal de que se debe deshabilitar.

Ahora, con estas advertencias en mente, el phishing está protegido porque el software que solicita pasa un identificador de origen al dispositivo U2F. Eso significa que g00gle.com no puede adquirir sus credenciales de segundo factor para google.com porque hizo clic en un enlace en su correo electrónico.

    
respondido por el Jeff Ferland 02.09.2015 - 01:02
fuente
-2

En general, se requiere la autenticación de 2 factores en aplicaciones muy sensibles como las transacciones militares y altamente sensibles. Tenga en cuenta que muchas aplicaciones de banca en casa ya no usan el factor 2.

2 factor versus TOTP es una compensación de riesgo de amenaza contra el costo de la contramedida.

BTW: la mayoría de las respuestas a sus preguntas están aquí enlace

Como dicen Se recomienda que los usuarios registren al menos dos dispositivos U2F con cada proveedor de servicios, que opcionalmente también puede proporcionar al usuario un código de respaldo en caso de que un dispositivo U2F esté fuera de lugar. >

Así que ahora tienes 2 dongles a $ 18 / pop. No es una solución para el consumidor a esos precios.

HTH

    
respondido por el Danny Lieberman 01.09.2015 - 12:10
fuente

Lea otras preguntas en las etiquetas

Contraseña inalámbrica disponible en texto sin formato ¿Es seguro usar mi contraseña personal como mi contraseña en las cuentas relacionadas con el trabajo?