Autenticación de dos factores (móvil)

Navega tus respuestas
1

Considere la autenticación de dos factores en el sitio web: diga cuándo el usuario ingresa el nombre de usuario / contraseña en el sitio web y recibe SMS en el número de teléfono móvil. Para que el atacante acceda a este debe conocer su nombre de usuario / contraseña y también robar su teléfono móvil.

Pero si quiero proteger la aplicación del teléfono móvil de esta manera, creo que el segundo factor ya no es útil. Porque para que el atacante acceda a la aplicación de su teléfono móvil, ella tiene que robar el teléfono de todas formas : ahora, si lo robó Y sabe el nombre de usuario y la contraseña, puede acceder a la aplicación de su teléfono móvil.

Así que creo que el esquema de autenticación de dos factores que describí anteriormente no brinda mucha seguridad cuando se usa para aplicaciones de teléfonos móviles; Por supuesto, ese no es el caso si utiliza este método para la autenticación con el sitio web. Estoy en lo correcto?

Entonces, ¿qué segundo factor se usa normalmente para proteger las aplicaciones de los teléfonos móviles? (además de la contraseña).

    
pregunta 13.02.2015 - 13:25
fuente

3 respuestas

3

El punto de autenticación de dos factores es elegir dos de los siguientes:

  • algo que eres (biometría, ...)
  • algo que sabes (contraseña, pin, ...)
  • algo que tienes (token, teléfono, ...)

Si desea proteger algo que se almacena localmente en un teléfono, obviamente no le pide al usuario que tenga acceso al teléfono. Aún puede usar la autenticación de 2 factores seleccionando un "algo que tiene" que no es el teléfono (por ejemplo, un token) o cambiando los criterios a "algo que es" (ejemplo de huella digital). Por algunas razones, la biometría no es necesaria la mejor manera de ir, ya que genera algunos problemas.

Finalmente, algunos han intentado usar nuevos criterios como "alguien que conoces", por ejemplo, emitiendo un token de una sesión ya autenticada, para conectar un nuevo dispositivo. Mozilla Firefox lo hizo durante un tiempo para sincronizar las preferencias entre los navegadores.

    
respondido por el M'vy 13.02.2015 - 13:46
fuente
1

Permítame llevarle el paquete que está allí. Cualquier atacante puede interceptar y cambiar los datos, dejando un sitio web que les permite cambiar el número de teléfono a otra cosa, no es tan difícil en absoluto, personalmente me han dado permiso para probar esto también, sucede y puede suceder todo el tiempo con poco rastro.

    
respondido por el Krea 13.02.2015 - 13:58
fuente
1

(Disco: trabajo para sistemas WiKID).

Es una buena pregunta, especialmente cuando nos movemos a SSO en dispositivos móviles y de escritorio. Creo que es hora de superar los "factores" típicos y pensar cómo se implementan y cómo eso afecta los riesgos. (Creo que también hay preguntas sobre qué información quiere ser responsable de mantener).

WiKID requiere una frase de contraseña para abrir el token y luego un PIN para obtener la OTP. El atacante debe poner malware en el teléfono y capturar esa información y copiar las claves privadas incrustadas en el token. Posible pero un riesgo diferente. Compare esto con TOTP o SMS, donde solo necesita un teléfono desbloqueado.

Dicho esto, si ya está solicitando una contraseña, creo que está haciendo todo lo posible con SMS. Tenga en cuenta que SMS es básicamente un correo electrónico no cifrado que va a un teléfono, por lo que hay muchas formas de atacarlo.

    
respondido por el nowen 13.02.2015 - 14:03
fuente

Lea otras preguntas en las etiquetas

¿Cómo se usa el almacenamiento local Thread por malware / Virus? El protocolo de enlace SSL tarda mucho más tiempo en LAN que en WAN [cerrado]