OTP vs. U2F para banca en línea y correo electrónico (vs. clave de tienda en USB)

Navega tus respuestas
1

¿Cuál de los dos de OATH HOTP, OATH TOTP en un lado (por ejemplo, en forma de una ficha del tamaño de una tarjeta de crédito) y U2F (por ejemplo, en la forma de una llave USB) en el otro lado, cree que es más seguro para propósitos? Como la banca en línea, correo electrónico y similares? ¿Cuáles son los pros y los contras de cada uno, tanto a nivel de criptografía técnica como de usabilidad?

Una tercera opción que puedo ver, por ejemplo, para usar con un administrador de contraseñas como keepass o PGP, es almacenar la clave en una memoria USB: ¿cómo se compara esto en seguridad con los anteriores?

    
pregunta jj_p 26.01.2017 - 17:50
fuente

1 respuesta

1

La contraseña estándar (incluso encriptada localmente), xOTP (OTP, HOTP, TOTP) [con o sin códigos de SMS] tiene muchas vulnerabilidades y la más importante ahora es: NO HAY PROTECCIÓN REAL CONTRA EL PESCADO. Un rápido recordatorio visual al respecto: enlace

FIDO U2F es una solución verdadera pero simple basada en PKI (curva elíptica / criptografía asimétrica), aunque no sea perfecta, no funcionará ningún ataque de relevo / phishing fácil en FIDO U2F.

Con respecto al comentario de Xiong Chiamiox: FIDO U2F ya existe para computadoras de escritorio / portátiles (Windows, Linux, OSX) como claves de seguridad USB, pero también hay tarjetas NFC FIDO U2F disponibles para teléfonos inteligentes y tabletas Android. A finales de este año, incluso habrá un dispositivo Bluetooth de bajo consumo de energía (BLE) que, a la vez, llevará el dispositivo FIDO U2F a un dispositivo iOS.

    
respondido por el FredericMARTIN 24.02.2017 - 02:19
fuente

Lea otras preguntas en las etiquetas

Cómo enviar correos electrónicos desde el mismo dominio causa que terceros reciban cookies Si uso una máquina AWS para conectarme al "Sitio web ABC" a través de VPN, ¿sabrá el "Sitio web ABC" que me estoy conectando desde una máquina AWS?