¿Pro y contras de los procesos actuales de verificación en dos pasos?

1

Actualmente estoy trabajando en un proyecto y estamos explorando diferentes tipos de estándares actuales de MFA de la industria. Los más conocidos serían HOTP & Los pines TOTP, que se utilizan en la aplicación 'Google Authenticator' o se envían por servicios web por separado a través de SMS a un teléfono de los usuarios.

¿Qué impide que alguien cambie este estándar? Parece que las únicas razones son que no se requiere conexión a Internet en su teléfono para obtener el PIN a través de la aplicación, y que podría enviarse por SMS si su teléfono no puede ejecutar aplicaciones (lol).

Pero también hay algunos Contras. Por un lado, el pin se puede ver en la mayoría de los teléfonos, incluso cuando la pantalla aún está bloqueada. Además, cualquier persona que vea su teléfono puede saltar sobre esta capa de seguridad completa. Lo primero sería algo que sabes, y lo segundo sería algo que tienes, que generalmente es un teléfono inteligente, pero esa capa adicional queda anulada si alguien puede robar tu teléfono por un segundo para verlo (como en la primera temporada de Casa de cartas)!

Entonces, mi pregunta sería: ¿existen otros pros y contras que mantengan este estándar actual, o es una de esas situaciones en las que el proceso es tan simple y directo que la facilidad de uso supera la necesidad? para mejorar?

También: ¿Cuál sería la desventaja de un proceso que utiliza una conexión a Internet activa en su teléfono para solicitar un PIN frente a un PIN generado en función de un valor de tiempo (TOTP)?

    
pregunta PositriesElectron 02.06.2016 - 21:58
fuente

1 respuesta

2

Una cosa de la que te estás confundiendo es que te estás combinando con diferentes teatros de seguridad. En su lugar, veamos puramente la web y luego solo el teléfono.

El teatro web

Con la web estás sujeto a personas que intentan hackear tu cuenta de forma aleatoria. Esto está protegido por una contraseña (algo que usted sabe) y un nombre de usuario (algo que tiene). En este caso, si alguien recibe el nombre de usuario, puede comenzar a atacarte y eventualmente obtener tu cuenta.

Ahora vamos a agregar una segunda contraseña. ¡HURRA! Ahora tienen el doble de entropía. Pero sigue siendo algo que sabes (estático). En cambio, vamos a cambiar esa contraseña a algo dinámico. Ahora, CADA vez que el dinámico cambia, tienen que volver a empezar porque tienen que volver a intentar cada combinación de código dinámico y contraseña en existencia una vez más.

Eso no vale la pena intentarlo y penetrarlo. Solo DDOS será un servidor, y si el servidor está configurado correctamente, no podrá DDOS.

El final del teléfono

Bien, ahora alguien tiene tu nombre de usuario y teléfono, y estás encerrado en un sótano ... y te han golpeado hasta que les has dado las contraseñas ... y solo estás llorando y esperando La policía aparece y te salva ...

La verdad del asunto es que la parte dada (en su teléfono) se mantiene físicamente segura por usted. Si le preocupa la seguridad física, probablemente ya debería estar en los pasos para hacer algo al respecto (como no prestarlo, no mostrar el contenido de las notificaciones en la pantalla de bloqueo (una opción en la mayoría de los teléfonos inteligentes), y si lo recibe). es por SMS y alguien lo ve, todo lo que ven es una cadena. No saben para qué sirve.

Sin embargo, si saben para qué sirve, ya se les ha prometido porque conocen su nombre de usuario. Si alguien más conoce tu nombre de usuario, estás haciendo algo incorrecto, y este no es el problema. Tus propios hábitos físicos son.

¿Qué pasa con los pines de conexión activa?

El problema es que el teléfono está haciendo la comunicación y, como tal, si alguien está escuchando el teléfono y realiza un MITM solo en el teléfono, puede acceder a la cuenta. La generación sin comunicación es mucho más segura porque alguien no puede escucharla. Habrían tenido que haber estado escuchando la configuración inicial (nuevamente separados sin comunicación) para haber obtenido el pin para generar el código sensible al tiempo. Nuevamente eso entra en el escenario de un sótano. Allí me preocuparía mucho más mi seguridad física que la seguridad de mi cuenta.

¿Qué pasa con los códigos generados?

¿Qué sucede si miro un teléfono y veo '8675309 enviado 98jdff712hfg' en la pantalla? Qué significa eso? No sé con qué servicio está asociado ese número (generalmente de un conjunto de números que gira al azar o es usado por muchos servicios). La única forma en que esto hubiera tenido sentido es si estuviera sentado sobre su hombro y viendo el proceso de inicio de sesión ENTERO. Una vez más, eso es algo mucho más aterrador y probablemente lo estarías buscando al ingresar los datos.

    
respondido por el Robert Mennell 03.06.2016 - 01:37
fuente

Lea otras preguntas en las etiquetas