¿Es una forma segura de autenticarse (autenticación multifactor?) mientras se monitorea?

Supuestos. Según tengo entendido, solo le preocupa la interceptación: por ejemplo, es posible que las personas que lo supervisan registren todo lo que hace y no aseguren adecuadamente esos registros. No te preocupa que sean activamente maliciosos. Por ejemplo, no montarán un ataque de hombre en el medio sobre ti.

Consejos. Dado este modelo de amenaza, creo que cualquier autenticador externo probablemente funcione. Por ejemplo, aquí hay tres opciones, cualquiera de las cuales debe satisfacer sus necesidades:

• La autenticación con una tarjeta RSA SecurID resolvería sus inquietudes, ya que la tarjeta SecurID genera un autenticador de uso único dependiente del tiempo que no es útil para un atacante si se expone posteriormente.

• Otra opción razonable sería una tarjeta inteligente que almacene un certificado de cliente y una clave privada, y luego se autentique utilizando certificados de cliente SSL; esto es seguro, porque su clave privada nunca abandona la tarjeta inteligente, e incluso si los monitores capturan los valores de desafío-respuesta enviados a través de SSL, no servirán de nada a un atacante después de que se usen.

• También puede utilizar contraseñas de un solo uso. La contraseña de un solo uso se registrará, pero incluso si esos registros se filtran más adelante, la contraseña ya se habrá utilizado y ya no será válida, por lo que no será de ninguna utilidad para un atacante.

• Otra posibilidad sería usar OpenID para autenticarse en el sitio web. Eso aún deja la pregunta de cómo autenticar a su proveedor de OpenID, pero si puede encontrar un proveedor de OpenID que permita a los usuarios autenticarse a través de cualquiera de los tres métodos anteriores, entonces estará en gran forma. inicie sesión de forma segura en cualquier sitio web que admita OpenID.

• Más allá de la web, si desea iniciar sesión en otra computadora de forma remota, puede iniciar sesión a través de SSH con autenticación de clave pública, con su clave privada almacenada en una tarjeta inteligente. SSH le permite almacenar su clave privada en una tarjeta inteligente , para que la gente que supervisa nunca aprenda su clave privada (consulte también here , here , y here ).

Básicamente, el tema común aquí es utilizar crypto (por ejemplo, crypto de clave pública) en lugar de contraseñas para la autenticación.

El principal desafío es que todos estos métodos requieren algún tipo de soporte del sitio en el que está iniciando sesión. Si el sitio no admite contraseñas de un solo uso, SecurID, certificados de cliente, OpenID o SSH, si solo es compatible con la autenticación de contraseñas ordinaria, tiene la posibilidad de elegir.

Las contraseñas de un solo uso parecen encajar en la factura.

Suponiendo que no te estén filmando, puedes imprimir una lista.

¡Qué pregunta!

Bien, entonces, ¿ayuda la autenticación multifactor? Sí. No puede interceptar lo que se produce en su lector de tarjetas bancarias promedio sin alguna magia tecnológica seria (o una cámara particularmente bien colocada). De modo que la información de inicio de sesión solo puede ser interceptada; La próxima vez que se autentique, el token debería ser diferente.

Sin embargo , y este es uno grande. Estamos asumiendo (creo) que cada comunicación con este servicio remoto se monitorea y que no se vuelve a autenticar para cada acción dada. En cuyo caso, si es posible interceptar y secuestrar esa sesión, podrá hacer lo que permita el servicio.

Eso podría incluir alterar las credenciales de autenticación, como el componente de contraseña. Ciertamente, eso lo bloqueará de su servicio remoto la próxima vez que inicie sesión en dicho servicio remoto, pero para el acceso repetido, el atacante requiere ese token físico o el algoritmo que usa. Podemos asumir con seguridad que pueden adquirir un lector de tarjetas adecuado, pero a menos que puedan adquirir la tarjeta y el PIN, no podrán volver a autenticarse.

Entonces, cuando el primer factor es la seguridad comprometida, entonces cae el segundo factor, el generador de números físicos o lo que sea, y la seguridad de la sesión en curso. Su banco probablemente tiene esto cubierto también con toda probabilidad; Si quiero hacer un pago, ahora también tengo que autorizarlo con mi lector de tarjetas, ya que mientras alguien pueda secuestrar mi sesión, no tendrá acceso a mi tarjeta física (en teoría). Lo mismo, en mi banco, va para hacer cambios de credenciales. Sin embargo, es un asunto diferente para su cuenta de correo electrónico, por ejemplo.

Consideremos también otras ideas posibles: el problema con los datos biométricos es que no cambia con el tiempo. Esto significa que, como una contraseña, una vez que se intercepta, es válida para siempre. Es absolutamente correcto usarlo en lugar de una contraseña; de hecho, almacenado apropiadamente incluso podría ser mejor, no estoy realmente lo suficientemente bien leído sobre el tema para decirlo, pero tiene la misma constante que es probable que tenga una contraseña.

Entonces, básicamente, Douglass llega allí. Una vez las contraseñas son una muy buena opción; en este caso, lo que parecen ser contraseñas de un solo uso generadas por un lector de tarjetas basado en la entrada de una tarjeta protegida por un PIN.

Vale la pena señalar, sin embargo, que la seguridad de la tarjeta de crédito es un tema que se discute con frecuencia en Light Blue Touchpaper , el Cambridge University Computer Laboratorio de seguridad, donde la seguridad de implementación de Chip y PIN con frecuencia es objeto de críticas.

En definitiva, es un juego de equilibrio. ¿Hasta qué punto crees que es probable que los controladores de esta computadora te ataquen? ¿Hasta qué punto es su capacidad para acceder a su correo electrónico o cualquier otra inquietud? Hay una ecuación que dice algo como severity = likelihood x risk : evalúe las inquietudes de esa manera y decida si, para sus circunstancias particulares, el riesgo es uno que está dispuesto a asumir.

La autenticación fuera de banda puede adaptarse a su situación. La autenticación del teléfono es de un tipo (descargo de responsabilidad: hago esto para ganarme la vida en PhoneFactor). OpenID puede emparejarse con la autenticación del teléfono para lograr un efecto similar; myopenid.com incluye la verificación telefónica como una opción.

Google Authenticator. Asegúrese de configurarlo fuera de banda (no en su composición de trabajo) y de tenerlo en su teléfono inteligente. De esta manera, alguien necesitaría acceder a su teléfono inteligente para poder autenticarse como usted a cualquier servicio que lo acepte.

enlace

Sin embargo, si tienen el control total de la computadora, tienen acceso a las cookies que se utilizan para autenticar su sesión. Debe asegurarse de que la aplicación invalide las cookies cuando cierre la sesión o podrían usarse hasta que caduquen.