¿Qué tan seguras son las autenticaciones de certificados de clientes SSL? [duplicar]

1

Según tengo entendido, es posible emitir certificados SSL, que los clientes podrían usar para la autenticación. Entonces, en teoría, solo los usuarios con certificados válidos podrían acceder a un determinado servicio web.

Por lo tanto, es seguro asumir que, si se usa la autenticación de certificado de cliente SSL, las aplicaciones web potencialmente vulnerables y de alto impacto podrían estar expuestas a Internet sin riesgo de acceso por parte de personas no autorizadas.

¿Cómo se compara esto con el uso de VPN?

    
pregunta WhatIsName 30.08.2014 - 17:51
fuente

2 respuestas

1

Si usa una VPN, todavía necesita autenticar al usuario para establecer la VPN. Un certificado de cliente es un factor de autenticación muy bueno, pero debe usarse junto con una contraseña, ya que hay varios ejemplos de malware que roba certificados, además de otras formas en que se pueden comprometer. Los certificados de cliente tienden a tener una sobrecarga de soporte asociada, por lo que no es práctico si tiene una pequeña organización de soporte y / o muchos usuarios.

También hay muchas otras formas en que un servidor web puede verse comprometido, como a través de vulnerabilidades, inyección de SQL, etc. (Aunque VPN o certificados reducen la probabilidad en parte debido a la reducción de la superficie de ataque público). También podría considerar algo como Google Authenticator.

    
respondido por el Andy Boura 30.08.2014 - 18:36
fuente
1

La autenticación del cliente no evita los ataques entre sitios contra la aplicación web como CSRF o XSS reflejado. Solo impiden el acceso directo de un tercero. No importa el tipo de autenticación que utilice, es decir, todo lo mismo para la contraseña, dos factores, certificados de cliente o lo que sea. Lo mismo es cierto para VPN.

    
respondido por el Steffen Ullrich 30.08.2014 - 18:52
fuente

Lea otras preguntas en las etiquetas