¿Las fichas de Authy son inseguras?

2

He estado probando Authy , una alternativa de Google Authenticator con una función opcional de poder realizar copias de seguridad de tus tokens. Tienen dos tipos de tokens: tokens generados automáticamente y los tokens OTP normales que agregó al escanear un código QR (como lo haría en el Autentificador de Google).

Si entiendo correctamente , las copias de seguridad de sus tokens OTP estándar están encriptados con una contraseña antes de cargarlos en Authy. Su contraseña de respaldo no se envía a sus servidores, solo almacenan un blob de datos cifrados para usted. Suena bien hasta ahora.

Sin embargo, al configurar Authy en un nuevo dispositivo, noté que los tokens generados por Authy no parecen beneficiarse del mismo nivel de seguridad. Cuando configura Authy en una computadora nueva, puede obtener acceso a su cuenta a través de la verificación por SMS (algo que tienen criticado por ser inseguro). Ingresando un código de acceso de SMS lo iniciará y le dará acceso inmediato a sus tokens generados automáticamente (asumiendo que ha habilitado el soporte de múltiples dispositivos). Los tokens de autenticador aún están encriptados en este punto, y se pueden descifrar si ingresas la contraseña de respaldo.

¿Cuáles son las implicaciones de seguridad de esto? ¿El procedimiento de inicio de sesión basado en SMS no hace que los tokens generados por Authy sean vulnerables a la captura?

    
pregunta Pieter 02.08.2018 - 18:32
fuente

1 respuesta

0

Revisemos la amenaza: MiTM - SS7 ataque para recuperar los SMS para Authy. Si sucede ese escenario, el atacante tendrá un control sobre sus fichas cifradas , lo que significa que el atacante necesita la contraseña (o una falla en el algoritmo de cifrado, que es menos probable ya que utilizan algoritmos estándar de la industria) Para descifrarlos.

En tal caso, la complejidad de la contraseña determinará el tiempo que tomaría recuperar los tokens.
Sin embargo, estoy de acuerdo en que podrían haber mejorado su mecanismo de autenticación (usando un usuario / contraseña adicional, secreto de algún tipo) como en el método actual, es fácil abusar de SS7 para obtener los tokens cifrados y tal vez paralelizar el proceso de fuerza bruta .

    
respondido por el Harel M 02.08.2018 - 18:51
fuente

Lea otras preguntas en las etiquetas