¿Me protegerá 2FA en una red potencialmente insegura?

2

Cada vez que navego a un sitio de Google en la red de mi biblioteca, aparece esta pantalla:

Supongoqueestoesasíparaquepuedan"proteger" a los niños (cualquier persona con una tarjeta de la biblioteca que tenga menos de 13 años) de videos inseguros como el modo de seguridad se puede anular si inicia sesión en su cuenta . Pero, no sé que es la única razón por la que lo están haciendo y la red puede (en teoría) verse comprometida. Si inicio sesión en mi cuenta de Google, la biblioteca podría realizar un ataque MITM, aunque la página sea SSL. Podrían ver mi contraseña, pero ¿podrían seguir accediendo a mi cuenta si tuviera 2FA?

    
pregunta Jon 18.03.2015 - 23:58
fuente

3 respuestas

2

Aunque generalmente estoy de acuerdo con @schroeder, un punto de diferencia es que, sin 2FA, una vez que su contraseña se captura en este escenario MITM, el atacante tiene acceso sin restricciones a su cuenta. Sin embargo, con 2FA, incluso si MITM tu contraseña y tu contraseña de un solo uso, este acceso solo les permitirá ver tu tráfico mientras están interceptando tu sesión activamente (ya que es un token de una sola vez / basado en el tiempo, el código 2FA no se puede usar para iniciar sesión nuevamente desde otra máquina que controle el atacante). Por lo tanto, incluso en entornos totalmente inseguros, siempre es mejor usar 2FA que no usarlo. En otras palabras, la biblioteca podría, potencialmente, ver tu sesión en curso mientras estás allí, pero en el futuro no podrían iniciar sesión en tu cuenta cuando no estés allí.

    
respondido por el JJC 19.03.2015 - 01:33
fuente
2

2FA no lo protegería cuando se encuentre en una situación MITM. Imagine este escenario: la página de inicio de sesión de Google es falsa, y todo lo que ingresa es capturado por el MITM. Usted suministra sus credenciales, luego el sitio falso lo pasa a Google. Google desafía al MITM por el código 2FA, pero le pasa esa solicitud. Usted suministra el código de acceso, y ahora el MITM lo pasa. El MITM ahora está correctamente autenticado y se pasa 2FA. Ahora tienen control sobre su cuenta: podrían dejar de permitirle acceder a la sesión y hacerse cargo, o ver su sesión en secreto.

2FA está destinado principalmente a protegerlo de actores malintencionados que intentan imponer una fuerza bruta en su cuenta o usar una contraseña capturada.

    
respondido por el schroeder 19.03.2015 - 00:10
fuente
0

2FA está destinado a ayudar solo en el inicio de sesión inicial. Usted depende del cifrado de extremo a extremo para salvaguardar las transmisiones. Posiblemente, podría obligar al usuario a reinputar los tokens disponibles para restablecer la confianza percibida entre usted y el punto final, pero a medida que la gente lo hace, escribir la contraseña varias veces no es una gran comodidad por la que cualquiera querría pasar. Realmente recomiendo que veas la evolución de los inicios de sesión de contraseñas desde ncsa mosaic days hasta hoy, donde internet explorer ha sido puesto en pasto.

    
respondido por el munchkin 19.03.2015 - 05:55
fuente

Lea otras preguntas en las etiquetas