¿Puede un sistema de identificación de escaneo como trusona realmente ser seguro?

1

Me di cuenta recientemente de Trusona (vea su demostración en esta página enlace ). Ellos quieren 'terminar las contraseñas'.

Creo en la idea de que 'seguridad razonable' = {algo que eres + algo que sabes + algo que tienes}, y que cualquier otra cosa que pretenda ser lo suficientemente segura es básicamente insegura / una mentira.

Desde mi punto de vista, parece que utilizan un análisis de imagen para verificar que se haya mostrado una identificación y que se muestre de manera diferente a cualquier imagen anterior de esta identificación: para verificar que alguien no robó la imagen de registro utilizada como credencial. Así que este es el 'algo que tienes'.

¿Pero tienen alguna forma de verificar que la ID de registro sea válida en primer lugar? Supongo que si obtiene una instantánea de una identificación, también puede imprimirla y volver a escanearla.

Entonces, ¿cómo puede un sistema como trusona ser seguro en absoluto? ¿Hay algo que este olvidando? No veo los componentes de seguridad de 'algo que sabes' / 'algo que eres', y el 'algo que tienes' en sí mismo parece dudoso en comparación con un buen generador criptográfico de números pseudoaleatorios.

En cierto sentido, esta es la misma razón por la que no usaría la ID de huella digital pura ('algo que soy', pero es fácil de copiar) para cualquier cosa seria: estoy dando mi huella digital de forma gratuita cientos de veces al día cada vez Yo uso mis dedos Al menos mientras no pueda leer mi mente / hackear mi acceso al punto final, no puede acceder a mi contraseña (por no decir que no hay formas de hacer ambas cosas, por supuesto).

¿Me estoy perdiendo algo? ¿Alguien puede explicar si / por qué trusona es realmente segura?

    
pregunta Zorglub29 03.10.2018 - 12:39
fuente

1 respuesta

1

Desde la demostración, parece que han construido algo muy similar a todas las demás plataformas PAM, excepto que utiliza una cámara de teléfono inteligente y una aplicación para realizar la validación. El uso de una licencia de conducir en la última versión es un complemento lindo, pero probablemente se encontrará con la resistencia del usuario.

Según lo que vi en sus videos, la arquitectura básica se ve así: los usuarios establecen su cuenta con un proveedor de validación de terceros (Trusona) e instalan la aplicación, que está vinculada a la cuenta con un par de certificados. Cuando intenta iniciar sesión, se envía una notificación de inserción al teléfono asociado con su cuenta y toma una fotografía de una contraseña de un solo uso en forma de código QR. La aplicación verifica la OTP con el servidor e inicia sesión, cumpliendo los roles "algo que tienes" y "algo que sabes" con el teléfono y el código QR, respectivamente.

Esto no es diferente a ningún otro sistema PAM, en realidad. Así que en cuanto a la seguridad, está bastante bien. Tiene razón en que en un mundo ideal, tendría tres factores para la autenticación, pero para la gran mayoría de las personas, este tipo de autenticación centralizada de dos factores estaría bien. No me sorprendería mucho ver a Trusona u otra plataforma similar apareciendo en más sitios avanzando.

El mayor problema que tengo con él es la confianza con el tercero. Si repasa la brecha de RSA en 2011, puede ver el tipo de problemas que puede tener un solo sistema de validación de terceros. Cuando la semilla SecurID fue robada, fue posible generar credenciales válidas en la plataforma, sin pasar por la seguridad propuesta. Trusona podría fácilmente sufrir el mismo destino, pero, de nuevo, también podría hacerlo cualquier otro autenticador.

    
respondido por el BaselineSec 03.10.2018 - 17:48
fuente

Lea otras preguntas en las etiquetas