¿Dos contraseñas proporcionan mejor seguridad que la autenticación de dos factores?

Ah marketing. (E incluso marcaron lo estúpido)

El problema aquí radica en el hecho de que realmente no están comparando las cosas correctamente. Están mezclando la autenticación de la persona que llama y la protección de sus datos secretos, los mezclan todos juntos y luego comparan ese revoltijo con algo relacionado tangencialmente con la primera parte, y luego hacen una gran afirmación audaz que podría ser correcta si tergiversa la lógica. solo un poco demasiado Es como mezclar helados y nueces y decir que son más saludables que las verduras porque las nueces hacen que el helado sea más saludable (si lo único que obtienes es buena, las analogías son difíciles ...).

Pero en realidad, no, esto no es mejor que 2FA porque en realidad no introduce un factor separado, solo otra instancia de un factor existente (algo que ya sabes). Es ligeramente mejor que una sola contraseña, pero si puedo robar su contraseña, probablemente pueda robar su otra contraseña con un poco más de esfuerzo.

Podría hacer que la protección de sus contraseñas sea un poco mejor si el descifrado de las contraseñas se produce en el navegador usando la clave de localStorage (puede hacerlo, ya que mencionan los estándares de WebCrypto, y no parece ser compatible con IE ).

Dicho esto, el kit de emergencia está destinado a no ser seguro, sino a estar disponible para usted en una emergencia. Esto es para escenarios de vidrio roto donde absolutamente necesita acceso. Si obtienes esto, se acabó el juego sin importar qué.

Por otra parte, tal como está, 2FA real podría no resolver todos tus ataques tampoco. Si aún puede MITM el navegador y el servidor, puede obtener tanto la contraseña del usuario como la contraseña de la cuenta e incluso el código 2FA (fallar la solicitud para el usuario, usar las contraseñas y el código 2FA y luego robar los secretos).

[Divulgación: trabajo para AgileBits, los creadores de 1Password for Teams]

Diferentes amenazas, diferentes defensas

Como se señaló correctamente, la clave de cuenta no es lo mismo que la 2FA tradicional. De hecho, hablaré de esto en PasswordsCon en Cambridge en unas pocas semanas.

Lo más importante a tener en cuenta es que el propósito de la Clave de cuenta no es el mismo que el propósito de 2FA. Su propósito es evitar intentos de descifrado de contraseñas si nuestro servidor está comprometido.

Nuestro servidor almacena su verificador de SRP y almacena su clave privada cifrada. Si un atacante obtiene cualquiera de ellos (infracción, ataque interno, garantía), podría intentar ejecutar una rutina de adivinación de contraseña maestra contra cualquiera de ellos. El propósito de la Clave de cuenta es hacer inviables tales intentos de descifrado de contraseñas contra un compromiso solo de servidor.

Tenga en cuenta que los conceptos tradicionales de 2FA no ofrecen ninguna defensa contra una violación de servidor, y en la medida en que fomentan contraseñas más débiles o reutilizadas, hacen que las consecuencias de una violación de servidor sean peores. En algunas circunstancias, 2FA es como poner dos bloqueos en esta puerta:

Robo de claves de cuenta

Como también se señaló, las claves de cuenta pueden ser robadas fácilmente de las computadoras cliente. En iOS podemos usar el llavero de iOS para cierta protección, pero en los escritorios, particularmente con los clientes del navegador, estos son fáciles de capturar con solo el privilegio del usuario en la máquina. Obviamente, nos gustaría una mejor manera de protegerlos, pero hacer un gran esfuerzo para ofuscar y hacer que esa ofuscación se rompa fácilmente no es realmente una solución.

Combinando las mejores propiedades de seguridad

La idea detrás de combinar la contraseña maestra con la clave de cuenta es que

1. Una contraseña maestra (almacenada solo en tu cabeza) es difícil de robar pero fácil de adivinar.
2. Una clave de cuenta (128 bits de entropía almacenada en su dispositivo) es difícil de adivinar pero es fácil de robar de un dispositivo cliente

Esto significa que un atacante debe hacer dos cosas. Y, en particular, significa que una violación del servidor no le da al atacante suficiente información para lanzar un ataque de descifrado de contraseñas.

La clave de cuenta es algo que tienes. Se se genera en su computadora :

  

Solo tienes tu clave de cuenta y nunca abandona tus dispositivos.

Usted declara

  

se le envía un PDF del "Kit de emergencia" que debe imprimir. Contiene la clave de la cuenta

No estoy seguro de qué quiere decir con "enviado", pero no puede significar que se envíe por correo electrónico, ya que la página indica claramente que la clave nunca abandona su computadora, excepto cuando la escribe o la copia en otra computadora.

Aunque no estoy seguro de ir tan lejos como para decir que esta es una solución mejor que las implementaciones más comunes de autenticación de 2 factores (2FA), son correctas al afirmar que sus contraseñas no se pueden descifrar sin su clave de cuenta Eso significa que incluso si alguien obtiene su contraseña maestra y su base de datos de contraseñas, aún no puede descifrarla. Más común 2FA solo le impide iniciar sesión en el sitio, no es necesario completar el descifrado una vez que se haya obtenido la base de datos de contraseñas.

En cuanto a 1Password alentador

  

para que escriba su contraseña maestra

es una opinión que sostienen muchos de Bruce Schneier] 2 tal vez sea el más famoso. Pero también es recomendado por Inspiraciones digitales , el Washington Post y LifeHacker . Diría que si es una buena solución o no, todavía es discutible, pero definitivamente no es una idea descabellada.

Un problema que veo con la clave de la cuenta es que cada vez que la copia en otra computadora, aumenta el riesgo de que esté expuesta. Con, por ejemplo, una aplicación móvil basada en 2FA, solo debe preocuparse por su dispositivo móvil. Dicho esto, usted tiende a llevar su dispositivo móvil con usted, por lo que quizás sea menos seguro que algunas colecciones de computadoras en las que ha almacenado su clave de cuenta.

  

¿Qué me estoy perdiendo aquí?

El modelo de amenaza.

El modelo de amenaza de un administrador de contraseñas con capacidad de sincronización es confiar completamente en el cliente y cero o la confianza mínima en el servidor . Esto es significativamente diferente del modelo de amenaza de las aplicaciones web normales, que requiere confianza tanto en el servidor como en el cliente.

En el modelo de amenaza de un administrador de contraseñas, una vez que tus contraseñas en la bóveda están comprometidas, el juego ya está perdido. Si el cliente está comprometido, ya perdiste. Una vez que se comprometa al cliente, debe cambiar todas sus contraseñas en todos los sistemas, ya que el hecho de crear una nueva bóveda de contraseñas con una nueva clave de cuenta es un elemento comparativamente menor.

El problema con 2FA es que es una forma de "autenticación". El sistema de autenticación como 2FA está destinado principalmente a proteger un servidor (¡no al usuario!) De un uso no autorizado. En el caso de un servicio regular, el servidor contiene una gran cantidad de información y servicios útiles, por lo que el uso no autorizado del servidor es el principal tipo de amenaza; pero en el caso de un administrador de contraseñas, el servidor de sincronización solo contiene blobs cifrados, lo que no es nada útil para un atacante que aún no tiene la clave de descifrado que solo conocen el usuario y el cliente.

En el modelo de amenaza de un administrador de contraseñas tradicional, debe asumir que el atacante ya tiene su bóveda de contraseña cifrada; cuando este modelo se presenta al administrador de contraseñas con capacidad de sincronización, debe asumir que el servidor de sincronización es malicioso. Cuando se ve con este modelo de amenaza en mente, 2FA no agrega ningún valor de seguridad útil ya que 2FA no se puede usar como parte del esquema de cifrado.

No creo que la compañía se haya hecho ningún favor con sus exageraciones muy orientadas al marketing. Sin embargo, argumentar que la seguridad es peor probablemente va demasiado lejos en la otra dirección.

Para los usuarios privados, escribir su contraseña no es el pecado fundamental que todos nos dicen que es. Sí, existe un riesgo, pero en realidad, para la mayoría de nosotros, es un riesgo bajo. Las personas que tienen acceso a su hogar son limitadas y generalmente las personas que conoce. No tiene que escribirlo con el título "Mi contraseña súper secreta"; puede escribirlo de tal manera que incluso si alguien lo encontró, no sea obvio que sea su contraseña. En general, preferiría que las personas escribieran su contraseña y usaran una contraseña difícil de adivinar, en lugar de limitarse a contraseñas menos seguras que puedan recordar. En el mundo de los negocios, es un poco más difícil porque probablemente no tenga el mismo control sobre quién podría curiosear en su oficina / escritorio, por lo que en ese caso, debe ser mucho más cuidadoso al escribir su contraseña. Para los usuarios personales, la gran amenaza proviene de actores remotos, por lo que cualquier cosa que tenga localmente y que se requiere para acceder a sus recursos aumentará su nivel de protección.

Creo que 1Password debería haber evitado el argumento de que su solución es "mejor" que 2FA. Sin embargo, hay muchos malentendidos con respecto a 2FA, realmente no importa. La mayoría de lo que la gente llama 2FA no es 2FA de todos modos, es realmente 2SA (autenticación en dos pasos) y si lo ve de esa manera, el enfoque de 1Password no es realmente muy diferente.

Para '2FA' real, debe tener un segundo 'factor'; esto significa algo más que una segunda contraseña. Los sistemas que envían códigos SMS a su teléfono, por ejemplo, no son realmente 2FA, son 2SA. Lo que tiene son dos contraseñas. Es posible que deba enviarse la segunda contraseña, pero aún es solo una contraseña.

Real 2FA requiere un factor diferente. Una tarjeta inteligente o un escáner de retina son factores diferentes. El usuario debe tener estas cosas además de la contraseña. Como se puede ver con los hacks de Google de alto perfil que utilizan mensajes SMS, un atacante no necesita tener su teléfono móvil para pasar por alto la protección; solo pueden diseñar la red social para que el mensaje sms sea redirigido a un teléfono que tengan.

Una clave de 128 bits sin duda aumentará su seguridad más que una contraseña básica. Tener esa clave almacenada en su computadora es un riesgo, pero de nuevo, si el usuario tiene acceso a su computadora, ya se terminó el juego. Probablemente sea mejor tener la llave almacenada en una llave o tarjeta de solo lectura por separado (suponiendo que solo conecte la llave / tarjeta en su sistema cuando la necesite y que los datos estén más protegidos y se requiera una contraseña antes de poder leer los datos) De la tarjeta / clave.

El gran problema con todas estas cosas para compañías como 1Password es cómo pueden crear un esquema que sea lo suficientemente seguro y al mismo tiempo conveniente / útil para los usuarios finales. la mayoría de los usuarios finales no entienden realmente cómo funciona todo esto y pocos tienen el conocimiento suficiente para saber cómo administrar sus claves y contraseñas de forma segura. El problema es que los usuarios también quieren ambos, y lo que es peor, muchos usuarios, al perder su clave, se pondrán en contacto con la empresa y dirán "Hola, perdí mi clave. ¿Puede recuperar mis datos por mí" y luego enojarse cuando el proveedor dice "lo siento, no podemos hacer eso". Estas son las mismas personas que se indignan cuando un artículo de noticias habla sobre cómo los proveedores pueden ver sus datos privados.