¿Por qué los autenticadores populares de dos factores usan claves compartidas

Navega tus respuestas
2

Por favor, corríjame si me equivoco en cualquier lugar, pero por lo que entiendo, los autenticadores de dos factores basados en teléfonos móviles como Google Authenticator implementan TOTP, que utiliza una clave secreta compartida que se comparte entre el teléfono y el servidor de autenticación.

¿Por qué decidieron usar una sola clave secreta compartida cuando podrían haber usado un par de claves pública / privada? El teléfono almacenaría la clave privada y puede firmar un incremento / marca de tiempo y el servidor de autenticación podría verificar la firma con la clave pública. ¿Parece más seguro ya que una violación en el servidor de autenticación no podría comprometer la clave secreta del usuario? ¿Hay alguna ventaja que proporcione una clave secreta compartida?

    
pregunta abba abba 05.12.2014 - 22:21
fuente

2 respuestas

0

Camino de menor resistencia.

Los secretos compartidos son más fáciles de usar, lo que significa que es más fácil escribir contra implementaciones. Los sistemas de claves públicas son mucho más difíciles de escribir en contra de las implementaciones, por lo tanto, menos personas lo harán.

Existen protocolos basados en claves asimétricas que ofrecen más / diferentes protecciones y cambian los requisitos de seguridad significativamente, pero son fundamentalmente más difíciles de implementar.

Es la misma razón básica por la que las personas todavía preguntan por qué las contraseñas estáticas aún existen y por qué no las eliminaron hace 20 años con certificados y PKI, porque es un PITA y una inversión importante para hacerlo correctamente.     

respondido por el Steve 05.12.2014 - 22:32
fuente
1

Los métodos actualmente conocidos de usar "un par de claves pública / privada" requieren demasiada comunicación; es decir.,
ambos extremos necesitarían Bluetooth o el token necesitaría un lector de pantalla de computadora o el proceso
podría llegar a ser tedioso. "una clave secreta compartida" minimiza la cantidad de comunicación que se requiere.

    
respondido por el user49075 05.12.2014 - 22:29
fuente

Lea otras preguntas en las etiquetas

base de datos de URL utilizadas por las herramientas de penetración ¿Puede el código javascript servido por un servidor bajo HTTPS comunicarse con otro servidor bajo un subdominio con un certificado diferente?