Uso del software del teléfono inteligente Symantec VIP Access para 2FA

1

Estoy más acostumbrado a usar Google Authenticator / FreeOTP para mis necesidades de 2FA. Este sistema me permite tener flujos TOTP separados para cada sitio y me permite hacer una copia de seguridad de mis semillas (imprimiendo los códigos QR utilizados para configurarlos).

Sin embargo, he encontrado algunos sistemas que solo admiten el programa "Acceso VIP" de Symantec. Este software parece generar un único secreto, luego registro la "ID de credencial" con otros sistemas para permitirles reconocer mi flujo TOTP. No estoy seguro de cómo funciona el cifrado, pero si uso Symantec VIP Access tanto para SiteA como para SiteB, ¿no le otorga esto efectivamente a los tokens TOTP de SiteA que puede usar para hacerme pasar por mí en SiteB? Además, Symantec no admite ninguna forma de hacer una copia de seguridad de su secreto; su solución documentada para un smartphone perdido, roto o reemplazado es ponerse en contacto con el soporte técnico de cada sistema con el que haya registrado mi "ID de credencial".

¿Es correcto este análisis de Symantec VIP Access? Si es así, ¿tengo alguna alternativa mejor que pedir (en forma inútil) a los administradores de sistemas que usan Symantec VIP Access que se cambien a algo que no apesta?

    
pregunta user3553031 20.12.2017 - 08:30
fuente

1 respuesta

1
  

si uso Symantec VIP Access tanto para SiteA como para SiteB, ¿no le otorga esto efectivamente a los tokens TOTP de SiteA que puede usar para suplantar mi identidad en SiteB?

Sí. 2FA no necesariamente niega completamente los riesgos de la reutilización de la contraseña. Dudo que Symantec permita el uso del mismo código dos veces (el sistema requiere que el servicio envíe el código a Symantec para su validación), pero un servicio malintencionado podría no validarlo con los mismos Symantec.

Vale la pena señalar que los sitios pueden integrar opcionalmente notificaciones push basadas (donde la aplicación le pide a Symantec que le pida a su teléfono que genere un token) o autenticación basada en QR (donde se presenta un código QR que utiliza su teléfono cuando genera el token). ). Ambos eliminarían ese riesgo.

  

Symantec no admite ninguna forma de hacer una copia de seguridad de su secreto: su solución documentada para un smartphone perdido, roto o reemplazado es ponerse en contacto con el soporte técnico de cada sistema con el que haya registrado mi "ID de credencial" .

Esto parece ser por diseño. Estoy de acuerdo en que es una mala decisión. Sin embargo, desde una perspectiva de seguridad / marketing, es posiblemente mejor: si alguien roba tu teléfono probablemente lo notarás, si alguien clona tu token no lo harás.

  

¿Tengo alguna alternativa mejor que pedir (de manera inútil) a los administradores de sistemas que usan Symantec VIP Access que se cambien a algo que no apesta?

La única otra opción es quejarse a Symantec. Aunque yo diría que quejarse a sus clientes es probable que tenga un mayor impacto.

    
respondido por el Hector 20.12.2017 - 10:08
fuente

Lea otras preguntas en las etiquetas