Para 2FA, ¿es un método mejor (más seguro) que otro?

2

Hay una variedad de opciones disponibles para 2FA: LastPass, por ejemplo, ofrece todas las siguientes opciones:

  • Autentificador LastPass
  • Autenticación de seguridad Duo
  • Google Authenticator
  • Autenticación multifactorial de Yubikey
  • RSA SecurID
  • Autenticación multifactor de sésamo

... y así sucesivamente. También he oído hablar de otras opciones de 2FA: SMS, SmartCard, TOTP (no estoy seguro de qué es exactamente eso), etc.

Por lo que puedo decir, parece que la distinción principal es entre soluciones basadas en hardware (por ejemplo, Yubikey) y soluciones basadas en software (por ejemplo, las diversas aplicaciones de teléfonos inteligentes "Autentificantes").

Desde una POV de seguridad de la información, ¿alguna de estas opciones ofrece un mayor nivel de seguridad? Dicho de otra manera, para el usuario promedio, ¿cuál es la forma más segura de 2FA disponible?

    
pregunta tonysdg 15.06.2016 - 19:28
fuente

2 respuestas

4

En términos generales, todos estos productos de seguridad son lo suficientemente sólidos para los usuarios finales ocasionales. Cuando se trata de usuarios finales, la mayoría de las vulnerabilidades provienen de la forma en que la persona las usa, no de la debilidad del método en sí. Por ejemplo, ¿deja su tarjeta RSA SecureID donde sus hijos pueden acceder fácilmente a ella? Si usa una aplicación de generación de código, ¿su teléfono tiene un bloqueo de contraseña seguro?

Como lo mencionó @SteffenUllrich, si obtiene spyware en su dispositivo móvil con acceso de root, lo cual es más común de lo que podría esperar (consulte StageFright y descargas drive-by ), entonces su SMS, correo electrónico y quizás incluso los métodos basados en aplicaciones podrían verse comprometidos.

Creo que si tiene cuidado con la forma en que lo usa y tiene buenas prácticas de seguridad en sus dispositivos, entonces cualquiera de estos métodos está bien para el usuario final promedio preocupado por el drive-by (es decir, no dirigido) crackeo de contraseñas de fugas de base de datos. Si quieres ir más allá y sacrificar algo de comodidad, supongo que el pedido será SMS/email < app/OTP/TOTP < hardware token .

Ahora, si no es un usuario final "promedio", sino un objetivo de alto valor en el que los actores del estado nación están tratando de penetrar, entonces todo cambia. Por ejemplo, si se ha hecho enemigos con la NSA del gobierno de los EE. UU., Pueden rastrear cualquier código que se le envíe por SMS o correo electrónico, y es probable que puedan detectar los paquetes de la primera instalación de la aplicación Google Authenticator (o, ya sabe , simplemente pregunte a Google por el código). En este caso, los tokens de hardware realmente son rey porque están completamente "fuera de banda" (es decir, nada sensible cruza internet).

Solo para completar, aquí hay una copia de la etiqueta wiki de (que escribí).

Puedes dividir los métodos 2FA en tres categorías amplias:

  1. Algo que sepa : información, como una contraseña, el apellido de soltera de su madre o una clave pública almacenada en un archivo de claves.

  2. Algo que tiene : generalmente un objeto físico como el teléfono que puede recibir SMS en su número, o un token de contraseña única (OTP) o una tarjeta inteligente habilitada para clave pública / Memoria USB:

  1. Algo que eres : también conocido como "biométrico", como huellas digitales, iris, voz, ritmo de escritura, etc.

La razón para dividir los métodos de autenticación en estas categorías es que cada una requiere un tipo de robo muy diferente para que un hacker lo adquiera.

Si se le solicita que proporcione una prueba de identidad de más de uno de los catogorías anteriores, entonces es correctamente "Autenticación de dos factores" o "Autenticación de múltiples factores". Si proporciona varios elementos de la misma categoría , se denomina "Autenticación de varios pasos", que obviamente es más débil que el factor múltiple.

    
respondido por el Mike Ounsworth 15.06.2016 - 19:57
fuente
1

Cuando piense en la autenticación de dos factores o en la autenticación de múltiples factores, debe mirar el segundo factor, en caso de posesión.

  • El factor de posesión debe ser único
  • Debe darse cuenta, cuando fue robado / comprometido
  • Debe poder revocar esto y volver a inscribirse. (malo para biometría)

Dispositivos de autenticación

Puedes diferenciar dispositivos de autenticación como

hardware < - > software

que se puede sembrar < - > no se puede sembrar

Los dispositivos de hardware almacenarán la clave secreta, que de hecho en la encarnación del factor de posesión en el hardware. La clave secreta no puede ser "robada" sin que usted se dé cuenta.

Pero también tienes que cuidar el proceso de distribución. El hardware no disponible vendrá con un archivo semilla en un disco. Si el proveedor conserva una copia de las semillas, los tokens de hardware pueden verse comprometidos, sin que usted lo sepa.

Los tokens separables son una excelente manera de evitar esto. Pero tenga en cuenta: un autenticador de Google también es un token "se puede sembrar". Tú mismo estás generando la clave secreta. Pero el almacenamiento de esta clave secreta no es tan bueno, ya que estamos tratando con un token de software ...

Backend de autenticación

También necesitas echar un vistazo al backend de autenticación. Debe decidir si está bien con un servicio alojado. Así que necesitas confiar en el proveedor. Si está ejecutando en las instalaciones, puede elegir entre soluciones de código cerrado y de código abierto. Elige este, con el que te sientas más seguro.

Descargo de responsabilidad : estoy involucrado con privacyIDEA , que es un código abierto en una solución de autenticación local que admite todos los token mencionados tipos anteriores.

Línea inferior

Quería señalar que es difícil definir una clasificación de nivel de seguridad. Como la seguridad es ... ... multidimensional y depende de muchos factores a tener en cuenta.

Si decides una determinada tecnología o solución. Escriba sus pensamientos y el proceso de toma de decisiones, para que sepa qué efectos secundarios o inconvenientes está dispuesto a tomar. La seguridad nunca es del 100%. Y siempre es bueno saber las limitaciones o las limitaciones del sistema que está utilizando.

    
respondido por el cornelinux 15.06.2016 - 23:30
fuente

Lea otras preguntas en las etiquetas