¿Las implementaciones actuales para la autenticación de múltiples factores no dependen en gran medida de un solo punto de falla?

1

Muchos métodos de autenticación de 2 factores parecen depender de un mensaje de texto, correo electrónico o contraseña de un solo uso como Autenticador de Google como segundo paso en la autenticación.

Parece que todos estos métodos se basan en la seguridad del teléfono de un usuario. Por ejemplo, si robó el teléfono de alguien, podría ir a su navegador web, iniciar sesión si conoce la contraseña o usar su contraseña guardada, y luego realizar el segundo paso abriendo su aplicación de autenticación, correo electrónico o mensajes de texto.

¿No es este un gran punto de debilidad en todo el sistema? ¿Alguna vez se ha expresado esta preocupación y hay alguna alternativa más segura?

    
pregunta RicketyRick 11.12.2017 - 17:16
fuente

4 respuestas

4

Todo depende de lo que quieras protegerte. Normalmente, 2FA está destinado a protegerlo de amenazas remotas. Los que no pueden acceder a su teléfono (99% del planeta).

Si su teléfono se convierte en un punto único de falla, entonces necesita asegurar ese punto usando todas las funciones recomendadas, como contraseñas seguras, borrado remoto y cifrado del dispositivo.

    
respondido por el schroeder 11.12.2017 - 17:33
fuente
0

No es una buena protección contra un ataque muy específico, que puede dedicarle mucho tiempo.

Pero esa no es la principal amenaza hoy. La principal amenaza es la pérdida de contraseñas, la reutilización de contraseñas, los registradores automáticos de claves y las contraseñas débiles, utilizadas en ataques automatizados. Contra esto, incluso un 2FA débil funciona muy bien, porque el atacante no está atacando a nadie en particular y gasta los recursos mínimos en una cuenta.

2FA a la google authenticator protege contra la adivinación de contraseñas, los registradores de claves en una PC que usa para acceder a su cuenta, navegación de hombro y otras amenazas comunes. No es una solución perfecta. Si necesita mayor seguridad, tiene, por ejemplo, Yubikey, que es esencialmente una tecnología de tarjeta inteligente.

    
respondido por el vidarlo 11.12.2017 - 19:15
fuente
0

El riesgo es subjetivo para el área de negocio:

Aplicaciones y servicios independientes

Las aplicaciones y servicios independientes como el Gmail de Google obtienen mucha mitigación a través del uso de estos métodos para Multi-Factor. La razón de esto es que la orientación de esta base es a menudo remota y no forma parte de un plan específico. No tiene sentido pasar horas, semanas y años para perfilar a una sola persona e incurrir en un riesgo adicional al intentar robar un teléfono cuando ya hay muchos objetivos fáciles.

Básicamente, estos métodos lo ayudan a protegerse de las personas que intentan robar su identidad y hacer un buen trabajo. Agregue el rastreo de ubicación geográfica en sus servicios más grandes y tendrá una implementación de seguridad bastante buena para la población general.

Grandes corporaciones e IP

El riesgo cambia cuando se ven las estructuras internas de las empresas más grandes y lo que tienen que alguien pueda desear. Se arriesga a cambiar de clientes (que son demasiado generales para apuntar) a empleados (mucho más estrechos en la superficie de ataque) que pueden proporcionar lo que desea al acceder a un sistema. Podemos restringirlo aún más si nos dirigimos a empleados de interés como ejecutivos y personal de TI. En estos escenarios, lo que buscan los atacantes son los activos de un negocio, la propiedad intelectual o el acceso, y vale mucho más su tiempo para pasar años en él.

El factor dos sigue siendo importante por la misma razón por la que un usuario general debería usarlos, pero también implementas cosas como la autenticación basada en certificados, el sandbox del teléfono y otras técnicas de red. Estos están diseñados para que una empresa confíe en que un empleado de la red es quien dice ser.

    
respondido por el Shane Andrie 14.12.2017 - 17:23
fuente
0

2FA no solo indica el uso de una clave de un solo uso (como en el uso de un Token como RSA) o una aplicación (como Google Authenticator) o incluso una llamada de texto o de teléfono con una clave de una sola vez.

2FA puede ser una combinación de 2 de los siguientes:

  • Algo que tienes (tarjeta, clave de una sola vez, token, certificado específico o dispositivo) = Algo que eres (huella digital, retina ...)
  • Algo que sabes (contraseña, palabra clave ...)
  • En algún lugar donde se encuentre (ubicación global, por ejemplo, oficina, estado, país ...)

Con cada uno de estos, calcularías el riesgo, p. ej. alguien puede adquirir su dispositivo, adivinar su contraseña, interceptar un mensaje de texto o una llamada telefónica.

Dependiendo de lo que esté tratando de proteger y del riesgo, usted determinará qué combinación de autenticación debe usar. Debe considerar la facilidad de uso para sus usuarios frente al factor de seguridad.

Por ejemplo, Algo en lo que está es más seguro, ya que es más difícil de replicar (por el momento), pero también la facilidad de uso es un poco más difícil de implementar, especialmente para usuarios remotos.

Incluso hay tal cosa un 3FA o más.

En cuanto a 2FA, ten en cuenta que no siempre vas a mantener fuera a los malos. Solo estás tratando de hacerlo mucho más difícil, por lo que necesitan más sofisticación para entrar o pasar a objetivos más fáciles y no a ti.

2FA es solo un paso para ayudar a proteger sus datos. Los intentos de inicio de sesión en el monitor fallan y son exitosos, el monitoreo de comportamiento y mucho más ...

    
respondido por el SecurityGoodman 11.12.2017 - 18:30
fuente

Lea otras preguntas en las etiquetas