¿Cómo proteger la cuenta de Google del secuestro y la interceptación de SIM en el camino y seguir manteniendo el acceso a los códigos de dos factores de SMS?

Navega tus respuestas
1

Como se menciona en muchos lugares en la web , las tarjetas SIM son una de las más débiles Enlace en el proceso de autenticación de dos factores. Los malos actores pueden hacerse pasar por usuarios de Telecom Company para obtener una SIM duplicada, o simplemente pueden tener acceso a la infraestructura de comunicaciones (patrocinada por el gobierno o no) para interceptar códigos de una sola vez enviados a nuestro teléfono móvil a través de SMS.

En mi cuenta de Google, tengo una contraseña segura y única, y la autenticación de dos factores habilitada, con las siguientes formas:

  1. Aviso de Google
  2. Aplicación Authenticater (Propia de Google, copia de seguridad de los códigos QR)
  3. Códigos de respaldo
  4. Códigos SMS a mis dos números móviles (eliminados ahora)
  5. Correo electrónico de recuperación

¿Cuáles podrían ser las consecuencias negativas para mi acceso / uso / recuperación de mi cuenta de Google, ya que ahora he eliminado dos números móviles de todos los lugares para protegerme contra cualquier posible secuestro de SMS?

Algo similar , pero no relacionado, ese OP quiere SMS en lugar de una aplicación de autenticación

    
pregunta DavChana 14.02.2017 - 16:58
fuente

2 respuestas

1

Ya no usas SMS, por lo que no se pueden secuestrar SMS. Si te preocupas por un acceso de recuperación, no debes preocuparte.

Dice que tiene códigos de copia de seguridad e incluso tiene el código QR original que, de hecho, contiene la clave secreta sin cifrar , que se utiliza para calcular los valores TOTP de acuerdo con RFC 6238 . Usted (o el atacante) puede tomar este código QR en cualquier momento y crear una copia 1: 1 de la aplicación de teléfono inteligente del dispositivo de autenticación. Probablemente, nunca se bloqueará - si esto es lo que le preocupa.

Entonces, estás a salvo. Pero ¿estás seguro? Puede leer mi publicación de blog anterior .

También puede activar U2F como se indica @ parth-maniar. Pero debe saber que U2F utiliza un certificado de certificación preinstalado con un número de serie único. (Bueno, esta es una característica de los certificados x509). El par de claves que está registrando en google se deriva de la clave privada que pertenece a este certificado.

(Por favor, pon tu sombrero de papel de aluminio, ahora)

Por lo tanto, un posible vector de ataque para un Servicio de Inteligencia podría tener este aspecto: el certificado de certificación se pasa al servicio (Google) al registrarse. El Servicio de Intel podría pedirle a Google el número de serie de su certificado su . (Que Google no les daría!). Luego, el Servicio de Intel podría ir a Yubico y pedirle a Yubico la clave privada que pertenece al certificado con su nubmer serie. (Que Yubico no tiene y no les daría!) Ahora el Servicio Intel tiene su clave privada. Usando esta clave privada, el atacante puede iniciar sesión inmediatamente en todas las cuentas donde registró el dispositivo U2F. Lo bueno es que el Servicio Intel puede atacar a un proveedor de servicios "débil", donde se registró para vincular su nombre al número de serie. Y luego pueden iniciar sesión simplemente con su cuenta al proveedor de servicios "fuerte", que de otra manera no les daría su inicio de sesión o sus datos. Imho U2F no es la salvación que dice ser.

(sombrero de papel de aluminio apagado) ;-)

Corrección el 25 de febrero de 2017

(desafortunadamente, la reducción no admite el tachado de palabras)

Obviamente, fui engañado por alguna otra publicación del blog y una especificación de FIDO que no es precisa acerca de la implementación hace aproximadamente 3-4 años. Los dispositivos U2F contienen un certificado de certificación, pero por lo general no son únicos para cada dispositivo. El certificado de certificación es solo para verificar el servicio, que se trata de un dispositivo de cierto tipo. Si compra un grupo de dispositivos U2F de un proveedor, probablemente todos tengan el mismo certificado y, por supuesto, las claves correspondientes. (Revisé esto yo mismo estos días)

Es probable que otro cliente obtenga el mismo certificado (y claves) que usted. Sin embargo, un proveedor podría crear certificados de certificación individuales para cada clave o para cada cliente que compre un montón de fichas. Sin embargo, un proveedor probablemente cambiará el certificado de certificación, si lanzan una nueva versión del dispositivo. Esto se debe a que el servicio debería ahora, si un dispositivo antiguo intenta registrarse o un dispositivo más nuevo, porque podría denegar el registro del tipo de dispositivo anterior.

Bueno, todavía tiene que confiar en el proveedor para que maneje el certificado de certificación correctamente, ya que esta es información de hecho que se envía a cada servicio, cuando se registra.

El proveedor de dispositivos U2F más conocido utiliza una clave maestra adicional , que está vinculada al certificado de certificación. Mi declaración anterior era incorrecta !

Por lo tanto, el Servicio de inteligencia, de hecho, por lo general no puede no identificar su dispositivo individual mediante el certificado de certificación. El IS tendría que ponerse en contacto con el proveedor con anticipación para pedirle que coloque certificados de atestación individuales.

¡Lamento el malentendido o haber causado un gran pánico! Sólo significa causar pánico de tamaño mediano! ;-) ... o la forma normal de hacer-no-cambiar-de-tu-cerebro-cuando-alguien-afirma-su-solución-es totalmente segura.

    
respondido por el cornelinux 21.02.2017 - 00:06
fuente
2

Puede consultar enlace para sus necesidades de 2FA. Significaría omitir completamente su teléfono para 2FA.

    
respondido por el Parth Maniar 19.02.2017 - 05:21
fuente

Lea otras preguntas en las etiquetas

Amenazas debidas a un archivo db de contraseña robada (por ejemplo, keepass) Riesgos de usar GET param para Auth