¿Por qué los sitios populares como Google, Dropbox, etc. tienen una casilla de verificación de "confiar en esta computadora" cuando debilita la seguridad?

Hay diferentes tipos de autenticación de dos factores. Algunos tipos protegerán contra la amenaza que usted describe, otros no.

Estos son algunos tipos comunes de 2FA que lo mantendrán protegido contra el registrador de claves:

• Enviar un código de uso de un solo uso a un teléfono móvil.
• Enviar por correo electrónico un código de uso único con el supuesto de que el usuario no revisará el correo electrónico en la computadora comprometida. (Recibe el correo electrónico en un teléfono móvil).
• Algún tipo de token que usa una aplicación móvil basada en el tiempo.

Normalmente, los tipos anteriores de 2FA no tienen una opción para "recordar esta computadora" que deshabilitaría la parte 2FA del inicio de sesión. Si tuvieran una opción de "recordar este equipo", eso reduciría drásticamente la seguridad, como sugirió.

Hay algunos tipos más débiles de 2FA que pueden contener la opción "recordar esta computadora". Por lo general, serían una pregunta de seguridad adicional, como cuál es su comida favorita, el apellido de soltera de la madre, etc. Si solo hay una pregunta de seguridad, el registrador de claves también registrará su respuesta. La opción "esta computadora" es irrelevante. La única situación en la que el registrador de claves con la capacidad de marcar de forma silenciosa la casilla "recordar esta computadora" sería útil (para el atacante), es cuando tiene configuradas varias preguntas de seguridad que se presentan por turnos, y solo 1 de ellos es capturado por el registrador de claves.

Como nota al margen, si le preocupan los registradores clave, sugiero que cuando escriba una contraseña en una computadora pública, escriba parte del teclado con el teclado y el resto con el mouse y el virtual en -teclado de pantalla. Esto frustrará a alguien mirando la pantalla o un registrador de teclas. Alguien debería tener ambos a la vez para capturar su contraseña completa.

Creo que tengo una mejor comprensión de lo que estás preguntando ahora:

Tener "una confianza en esta computadora" no es realmente una debilidad de seguridad. Esta función es para decirle a la compañía que esta es una computadora común desde la que inicias sesión y más para la comodidad del usuario.

Para que un software malintencionado realice esta comprobación en su lugar, deberían realizar el secuestro de sesión. La autenticación de dos factores no impide esto. El secuestro de sesiones consiste en robar claves de sesiones y usarlas para hacerse pasar por un usuario que ya ha iniciado sesión. En este punto, el atacante ya tiene acceso a su cuenta, marcando una casilla o no.

En un escenario de registro de claves, intenta descartar el inicio de sesión en la información, en lugar de autenticarlo en una fecha posterior. La autenticación de dos factores es útil aquí. Como el atacante seguirá necesitando tu clave enviada.

En tu situación, un atacante:

1. Tienes que desechar tu información de inicio de sesión.
2. Secuestre su sesión actual.
3. Marque la casilla de confianza de esta computadora.

Si el atacante quisiera obtener acceso fuera de la sesión actual, necesitaría "iniciar sesión" desde la PC en la que confiaba, ya que intentar iniciar sesión desde un dispositivo diferente activaría la autenticación de dos factores.

La mayoría de los raspadores están diseñados para enviar credenciales a un servidor controlado. Su escenario no es imposible pero es poco probable para los ataques de usuarios genéricos. En este punto, estás mirando un ataque dirigido ya que esto es específico del dispositivo.