HOTP / similar: ¿qué hay de las copias de seguridad estándar de los dispositivos móviles?

Navega tus respuestas
2

Estaba considerando agregar HOTP como una opción a mi sitio web (junto con elementos como los tokens de SMSed una vez que ya tengo). Pero estaba considerando un problema que HOTP tiene inherentemente:

Las cosas como el iPhone generalmente tienen una copia de seguridad junto con todos los datos de la aplicación. Eso significaría, digamos que estoy usando Authy para generar mis tokens OTP, las claves secretas desde Authy también se incluirían en dichas copias de seguridad. Bueno, todo el propósito de la OTP es que la información en la computadora no sea suficiente para ingresar en una cuenta y usted necesite ese segundo factor en caso de que algo como el malware llegue a la computadora (si lo entendí correctamente). Pero esta copia de seguridad significa que, si tengo acceso a su computadora, puedo obtener su contraseña a través de modales convencionales, como un registrador de teclas, pero también puedo buscar en las copias de seguridad de su teléfono móvil la clave secreta de HOTP y sin su teléfono, iniciar sesión correctamente.

Entonces, ¿qué impide que las personas hagan eso y por qué debería ofrecer también HOTP o es mejor para mí seguir usando solo tokens de SMS?

    
pregunta Jesse W 29.12.2013 - 04:52
fuente

2 respuestas

2

Algunos teléfonos envían mensajes SMS a una computadora en tiempo real cuando están cerca (Samsung tiene una pequeña cosa para sus teléfonos Android que hace esto, o lo hizo), y si el teléfono está conectado a una computadora y admite comandos de módem Hayes, esos También puede leer mensajes de texto en tiempo real.

Realmente, lo que te ofrecen las OTP es la protección contra las personas que adivinan contraseñas, aunque a veces también son útiles con las robadas. Dicho esto, TOTP sería mejor para esto, ya que es efímero y, por lo tanto, las posibilidades de hacerlo bien no aumentan como lo hacen los intentos. El HOTP realmente no es mucho mejor que una contraseña que consiste en la clave y el contador (en mi opinión), excepto que efectivamente viene con su propio desafío para la capacidad de reproducción.

Si necesitas estar seguro contra las personas que roban los tokens de las copias de seguridad del teléfono o lo que sea, realmente deberías emitir tokens de hardware.

    
respondido por el Falcon Momot 29.12.2013 - 08:03
fuente
1

Las aplicaciones de SMS y teléfonos inteligentes son vulnerables a diferentes ataques. No llamaría a SMS un método seguro para transportar una contraseña de un solo uso. Como señalaba Falcon: si realmente desea realizar la autenticación de dos factores (2FA), debe usar un segundo factor que no se puede detectar y no se puede copiar. El primero no es válido para SMS y el segundo no es válido para aplicaciones de teléfonos inteligentes. Por lo tanto, para un 2FA real, realmente no deberías usar una pieza de hardware conectada.

Pero sin embargo, la seguridad es tonos de gris. Por lo tanto, enviar un SMS o usar una aplicación de teléfono inteligente (sin importar si HOTP, TOTP o mOTP) además de la contraseña, es mejor que solo tener la contraseña. Solo debes ser consciente de "cuánto mejor".

Tener una aplicación para smartphone tiene algunas ventajas sobre el envío de SMS:

  1. no tiene ningún costo de SMS
  2. También podrá autenticarse, incluso si no tiene servicio GSM (como en centros de datos con grandes paredes o debajo de la tierra).

Ofcourse SMS proporciona un proceso de registro más sencillo para el usuario final que instalar una aplicación móvil y compartir la clave HMAC con el servidor.

Por lo tanto, proporcionar SMS HOTP y es principalmente una conveniencia para el usuario final.

    
respondido por el cornelinux 29.12.2013 - 19:43
fuente

Lea otras preguntas en las etiquetas

Raspberry Pi IDS / FireWall - ¿Debería? [cerrado] ¿Puedo confiar en Google Scripts en sitios como Labnol?