¿Qué segundo factor se acepta en una aplicación móvil?

1

Para respetar la filosofía 2FA, después de un primer factor de autenticación (inicio de sesión / contraseña), debemos solicitar un segundo factor de autenticación.

Pero para una aplicación móvil, supongo que no podemos usar SMS OTP, correo electrónico OTP o TOTP (con otra aplicación móvil) porque se puede acceder a todas estas técnicas desde el mismo móvil.

Por lo tanto, para una aplicación móvil, ¿el único segundo factor autorizado es un dispositivo separado (por ejemplo: Yubikey, Nitrokey, etc.)?

¿Es suficiente si solicitamos algo que conocemos (ID de usuario + código PIN hexadecimal) y algo que tenemos (solo este dispositivo móvil)? Hay una clave privada ECDSA instalada en el dispositivo y el servidor puede verificar si es el buen dispositivo móvil con la firma.

    
pregunta lakano 06.11.2017 - 00:41
fuente

1 respuesta

1

Todo depende de la amenaza que quieras contrarrestar. La mitigación de amenazas propuesta (que requiere un dispositivo por separado) es adecuada para la amenaza de que alguien obtenga acceso no autorizado al dispositivo. Pero está aprovisionado en exceso para su amenaza declarada de que alguien obtenga acceso no autorizado a la cuenta de un usuario a través de la aplicación.

En su escenario de amenaza establecido, el actor no autorizado instala la aplicación y utiliza las credenciales de la víctima para iniciar sesión. Esto se puede mitigar mediante el uso de procesos MFA en el dispositivo autorizado del usuario autorizado.

Hay diferentes formas de hacerlo: enviar códigos OTP, una aplicación de generación de TOTP local o tener un proceso para registrar y autorizar el dispositivo.

Autorizar el dispositivo es una forma "lo que tienes" de la metodología MFA.

Solo hay una cosa que debes tener en cuenta: la seguridad de los procesos relacionados con el registro de ese dispositivo.

Si un atacante tiene las credenciales del usuario, ¿puede también registrar un dispositivo no autorizado? Si es así, entonces debes considerar este nuevo escenario de amenaza.

Aquí es donde es muy útil tener un proceso de autenticación completamente separado, como una aplicación TOTP en el teléfono. De esta manera, el atacante necesita las credenciales para su servicio y las credenciales para el servicio TOTP.

    
respondido por el schroeder 06.11.2017 - 16:11
fuente

Lea otras preguntas en las etiquetas