autenticación de dos factores sin TLS / SSL

1

Parece una tontería preguntar acerca del uso de la autenticación de dos factores sin TLS / SSL, pero tengo un proveedor que usa una IP pública sin TLS y solicita credenciales de inicio de sesión.

¿El inicio de sesión sería más seguro si se habilitara la autenticación de dos factores sin TLS?

Usando algo como Google Authenticator y, sabiendo que las claves son efímeras, la ventana para robar las credenciales sería de unos < 30 segundos, ¿correcto? Parece un poco más seguro pero no por mucho. ¿Cuáles son tus pensamientos?

    
pregunta Michael J. Lee 18.05.2015 - 16:47
fuente

2 respuestas

5

2FA reducirá la posibilidad de que un atacante pueda robar un conjunto completo de credenciales de inicio de sesión porque, como señala, es probable que el segundo factor esté limitado por la vida útil o una política de uso único.

Pero 2FA no afectará la indagación o el secuestro de sesión . Por lo tanto, si bien a un atacante le puede resultar más difícil iniciar sesión mientras usted, pueden ver su flujo de comunicación y enviar mensajes que parecen provenir de su sesión.

Además de proporcionar confidencialidad, SSL también garantiza que realmente esté hablando con el servidor. Sin SSL, un ataque MiTM puede pretender ser el servidor. Por ejemplo, puede intentar cerrar la sesión en el servidor para finalizar la sesión, pero un MiTM puede interceptar el comando de cierre de sesión y regresar a una página que hace que parezca que se cerró la sesión aunque realmente no lo estaba.

Por lo tanto, puede evitar futuros intentos de inicio de sesión falsos, pero en realidad no lo hace estar seguro.

    
respondido por el Neil Smithline 18.05.2015 - 20:51
fuente
0

Como usted mismo ha declarado: es ligeramente más seguro porque está limitado a un < Un marco de tiempo de 30 segundos, pero eso realmente no importa mucho en el gran esquema de las cosas: todavía es muy inseguro y en su mayoría solo aumentará el esfuerzo que los usuarios legítimos tendrán que poner.

    
respondido por el Voidpaw 18.05.2015 - 17:23
fuente

Lea otras preguntas en las etiquetas