¿Cuáles son las principales debilidades de los generadores de OTP basados en software como el DigiPass de Vasco para dispositivos móviles?
Esta pregunta tiene más sentido cuando la inviertes. Lo que quiere decir que la principal debilidad de los generadores de OTP basados en software es la misma que la fuerza de los dispositivos OTP basados en hardware.
Específicamente, los dispositivos basados en software se pueden clonar si se puede recuperar la clave secreta. Los dispositivos de hardware idealmente implementan medidas de seguridad física para dificultar la extracción de los datos secretos. Idealmente, el material clave nunca abandona el chip asociado, y las medidas de seguridad adicionales (por ejemplo, la carcasa de resina epoxi alrededor de la electrónica) inhiben los intentos de extraer información utilizando sondas de hardware.
A la inversa, los dispositivos basados en software almacenan el material clave igual que cualquier otra información almacenada: en la memoria física de propósito general. Esto significa que la clave es tan segura como el sistema en el que se ejecuta. Cualquier tipo de explotación basada en software podría aprovecharse para extraer la clave secreta y luego clonar el generador OTP. Y, en particular, es posible que el propietario del dispositivo nunca sepa que la clave ha sido clonada, ya que el original continuará funcionando y que el atacante no tenga que acceder físicamente al dispositivo.
Además, cuanto más se utilicen estos dispositivos (por ejemplo, cuantas más aplicaciones instales en tu teléfono), mayor será la superficie de ataque potencial y mayor será la oportunidad de explotación. Los tokens de hardware, por otro lado, son dispositivos de un solo propósito, lo que hace que la probabilidad de ataque o explotación sea muy baja.
Una especie de pregunta vaga, pero fuera de mi cabeza:
Dejar la protección de la clave / semilla en el dispositivo móvil significa que es posible extraer la clave en varias plataformas, a diferencia de los dispositivos de hardware dedicados con almacenamiento protegido
Si pierde su teléfono, pierde su clave
Un generador para contraseñas de un solo uso es un sistema que, como entero, contiene un maestro secreto a partir del cual se generan las contraseñas de un solo uso. Los detalles varían según el algoritmo OTP específico, pero se aplica el concepto genérico: hay algunos datos secretos almacenados en el sistema, y esos datos son un objetivo muy valioso para el atacante.
El sistema consta de algunos programas (la implementación del algoritmo) y algunos hardware (en los que se ejecuta el software). Cuando utiliza un "generador de OTP basado en software" en su teléfono inteligente, en realidad está diciendo que la parte de hardware del sistema es, de hecho, su teléfono inteligente. Esto implica que se incluye algún software adicional en el perímetro de seguridad: es decir, el sistema operativo del teléfono y todas sus aplicaciones. Los teléfonos inteligentes son computadoras complejas y tienden a ser pirateados, especialmente porque son, en esencia, dispositivos con capacidad de red.
En comparación con el almacenamiento de una contraseña muchas veces (un secreto de autenticación fijo) en el teléfono (que es exactamente lo que sucede cuando tiene una cookie segura de larga duración en su navegador web), un generador de OTP basado en software móvil lo protege (hasta cierto punto) contra las deficiencias del protocolo en el que utiliza la OTP; pero no más allá.
Lea otras preguntas en las etiquetas one-time-password