¿Está utilizando el secreto 2FA en la misma máquina que las credenciales, eliminando un factor de 2FA?

2

En otras palabras: está guardando o usando el secreto de autenticación de dos factores (2FA) en la misma máquina para generar contraseñas de un solo uso (OTP), rompiendo el concepto de autenticación de dos factores (2FA) ya que todo se hace en uno máquina.

KeePass tiene algunos complementos que facilitan esto:

  1. enlace
  2. enlace

También hay toneladas de complemento del navegador que facilitan esto, que parece aún más inseguro. en mi opinión, e incluso hay una versión HTML5 .

    
pregunta Bob Ortiz 24.06.2016 - 12:30
fuente

3 respuestas

3

Sí. El concepto de dos factores es autenticar utilizando cualquier combinación de los siguientes métodos

  • Algo que sabes (contraseña)
  • Algo que tienes (token OTP con secreto)
  • Algo que eres: huella digital, retina, escaneo de palma, etc. ...

Si los esconde bajo la tercera contraseña (o incluso sin contraseña), está debilitando todo el concepto. Si el atacante puede pasar por esta contraseña única, obtuvo acceso completo (eso no sucedería con 2FA adecuado).

Pero la gente es perezosa y, por lo tanto, existen estos complementos. La necesidad de usar 2FA también puede estar activada por alguna política de seguridad y los usuarios pueden no ver el beneficio de ello.

    
respondido por el Jakuje 24.06.2016 - 13:01
fuente
1

Cuando está utilizando OTP basado en HOTP o TOTP localmente, necesita almacenar la semilla en algún lugar. Así que almacena la semilla en esta máquina local.

Ahora depende de tus amenazas.

Esto puede muy bien protegerlo contra los surfistas de hombro o tal vez los keyloggers. Pero no te protegerá contra los ataques locales. Pero la pregunta es, si no tienes un problema mayor, si alguien puede realizar un ataque local.

Si tratas de usar OTP para el cifrado, esto es solo una sorpresa. Estás cifrando cosas para protegerte de ataques locales. Cifras tu disco duro, porque quieres evitar que un ladrón entre en tus datos. Estás usando keepass, porque quieres evitar que un ladrón que está agarrando el archivo para acceder a este archivo.

¿Cómo funciona el cifrado? Tiene una clave AES simétrica que está cifrada con su frase de contraseña o que se genera o su frase de contraseña. Todos elegirían el primero, para poder cambiar la frase de contraseña. La amenaza es el robo físico de su archivo. ... protegido por su frase de contraseña.

Así como lo señaló @Jakuje: ¿Cómo debería ayudarlo la OTP? Necesitas guardar la semilla. ¿Cómo protegerías la semilla contra un ladrón con acceso local? Encripta ¿Cómo? ¿Con una frase de contraseña? = > solo un factor.

Sin embargo, podría crear un escenario más complejo con HOTP (¡no con TOTP!) y cifrar la semilla con el valor OTP next . Luego, el próximo valor de OTP descifrará la semilla, la próxima vez que quiera acceder a sus datos. Luego debe volver a cifrar la semilla con el siguiente valor OTP. Pero recomendaría muchas medidas de seguridad, ya que muchas prensas en blanco le darán un valor de OTP, que ya no descifra la semilla ...

    
respondido por el cornelinux 24.06.2016 - 17:55
fuente
1

Si rompe la autenticación 2FA o no, depende de la implementación. Las implementaciones que especifique eliminan el "2factor" de 2FA y lo reducen a un solo factor (la semilla se convierte en una segunda "contraseña" para su cuenta). Lo mismo se aplica al uso de un token de software en un Android / iPhone a menos que el token use específicamente el almacén de claves de Android seguro vinculado al hardware.

Sin embargo, hay implementaciones donde el almacenamiento de la semilla es realmente seguro. Un ejemplo sería almacenar la clave en un TPM (Módulo de plataforma confiable) de tal manera que los códigos solo se pueden generar, la semilla nunca se puede recuperar del TPM.

Otro ejemplo es un Yubikey Nano insertado permanentemente en un puerto USB. Un tercer ejemplo es un chip de seguridad integrado en ciertos procesadores Intel, que se puede usar para 2FA: enlace

Cuando el token se almacena de forma segura, no anula el 2FA, ya que, en ese caso, su máquina está unida al servicio en cuestión, por ejemplo, incluso si su máquina se ve comprometida, el 2FA no está comprometido permanentemente. solo temporalmente comprometido (por ejemplo, el atacante aún puede usar su máquina para generar códigos, pero no obtener la información suficiente para generar códigos sin su máquina). Si se recupera del compromiso de la máquina, esto significa que puede continuar usando 2FA incluso si la semilla no se cambia.

    
respondido por el sebastian nielsen 26.06.2016 - 03:52
fuente

Lea otras preguntas en las etiquetas