¿U2F evita el phishing de las contraseñas?

2

U2F se promociona como un nuevo estándar de autenticación de 2 factores que incluye defensa contra ataques de phishing. Como lo entiendo, esto funciona registrando el dispositivo con cada servicio, creando así un par de llaves único. Si un sitio de suplantación de identidad simula ser alguien, fallará esa comprobación criptográfica y el llavero no se activará

Pero como lo entiendo, el sitio de phishing aún puede ser capaz de robar la contraseña del usuario. Nada impide que el usuario ingrese inadvertidamente su contraseña en un sitio malicioso (aunque la contraseña única no es suficiente para descifrar la cuenta). ¿Es eso correcto?

    
pregunta David Grinberg 15.11.2018 - 22:47
fuente

2 respuestas

5

No, y no están diciendo que pueden evitar el phishing de las contraseñas. Están diciendo que el phishing solo con la contraseña no le dará acceso al atacante a su cuenta.

Puede ingresar su contraseña de Gmail en su pregunta anterior y U2F no lo impedirá. De la misma manera, un sitio de phishing puede reunir credenciales y U2F no participa en ningún momento.

El objetivo es que para ingresar con éxito a la cuenta, se necesita la contraseña y el dispositivo U2F. La contraseña aún está comprometida, pero la cuenta está protegida contra cualquier persona que no tenga también el llavero físico.

    
respondido por el schroeder 15.11.2018 - 22:55
fuente
0

No, U2F no evita en absoluto el phishing de ningún tipo (contraseña o de otro tipo). La resistencia al phishing y U2F son 2 preocupaciones completamente separadas.

El primero es humano (aprende cómo identificar y evitar el phishing) y el segundo es técnico (hacer que un producto sea más resistente en los casos de compromiso de contraseña).

Esencialmente, U2F le brinda una capa de seguridad adicional si lo roban con éxito. En ese escenario, tener un segundo método de autenticación que no se puede compartir digitalmente hace que, si usted está secuestrado y su nombre de usuario / contraseña / etc. están completamente comprometidos, el atacante aún no puede acceder al recurso protegido. Por lo tanto, en ese sentido, ciertamente está destinado a brindar resistencia contra los efectos del phishing exitoso.

Sin embargo, el phishing es un ataque de ingeniería social. La única forma de prevenirlo es fortalecer sus controles humanos ('administrativos'), para que las personas puedan evitar dar información a fuentes no confiables. U2F no tiene ningún impacto aquí (aparte de hacer que los humanos piensen más en la seguridad).

    
respondido por el securityOrange 16.11.2018 - 21:41
fuente

Lea otras preguntas en las etiquetas