Al evaluar el nuevo servicio de 1Password Teams , noté una ausencia bastante curiosa de compatibilidad con la autenticación multifactorial.
Cuando preguntó acerca de la falta de MFA, respondieron :
Usamos una clave de cuenta combinada con la contraseña maestra para una seguridad que es mejor que dos factores. enlace
Esa página dice:
Los profesionales de seguridad recomiendan el uso de múltiples factores de autenticación: "algo que sabes", como tu contraseña, y "algo que tienes", como una aplicación de autenticación en tu teléfono.
La clave de cuenta lleva esta idea al siguiente nivel. No solo lo autentica con nuestros servidores; También juega un papel directo en el cifrado de sus datos. Eso es importante, porque fortalece su contraseña maestra exponencialmente. Y como nunca se envía a través de la red, su clave de cuenta no se puede restablecer, interceptar ni evadir.
La "clave de cuenta" es esencialmente una segunda contraseña que se genera para usted. Cuando te registras en el servicio 1Password Teams, se te envía un "Kit de emergencia" PDF que te refiero imprimir. Contiene la clave de la cuenta e incluso lo alienta a que escriba su contraseña maestra.
La clave de la cuenta se almacena en el almacenamiento local de su navegador. Si inicia sesión desde un dispositivo nuevo, debe ingresar manualmente la clave de la cuenta después de ingresar su contraseña.
Por lo que puedo decir, este enfoque es notablemente peor que la autenticación real de dos factores. Un atacante que:
- Obtiene su kit de emergencia impreso
- Obtiene una copia del PDF
- Puede MITM su conexión con 1password.com
- Instala malware en tu computadora
- que puede robar la clave de cuenta del almacenamiento local, o
- observe cuándo lo escribe (junto con su contraseña maestra)
... tiene todo lo necesario para un acceso sin restricciones, continuo, remoto e indetectable a una cuenta extremadamente confidencial.
Contraste con la autenticación real de dos factores: la clave secundaria se almacena de forma segura en un dispositivo separado.
- La obtención de la contraseña maestra por sí sola no ayuda; un atacante debe tomar posesión del dispositivo autenticador.
- Incluso si inicia sesión con un dispositivo / conexión comprometidos, un atacante no obtiene acceso continuo a su cuenta. La contraseña de un solo uso (TOTP) generada por el dispositivo autentico es inútil para futuros accesos.
¿Qué me estoy perdiendo aquí?