¿Por qué veo 2FA pero no veo "dos entidades separadas" siendo priorizadas en la autenticación del sitio web?

  

Comprendo que el atacante solo puede acceder a tu cuenta una vez porque el token TOTP caducará después de 30 segundos.

Este es el caso de TOTP. Pero hay muchos HOTP basados en el contador, que en realidad son contraseñas de un solo uso, lo que significa que su captura no le permite a nadie más iniciar sesión si ya lo hizo (el virus en su computadora tendría que evitar el envío del verdadero). contraseña de tiempo). Este también es el caso de la mayoría de tokens de hardware y tokens de SMS.

  

Envía el token TOTP actual directamente desde su teléfono al servidor del sitio en el que estaba intentando iniciar sesión desde su computadora

Existen tales herramientas, pero no estoy al tanto de la implementación para sitios web públicos. Por lo general, se denomina eliminación de puertos o autenticación de paquete único (SPA), generalmente se utiliza para abrir el puerto de Firewall, por ejemplo, para SSH. Es un buen nivel adicional de seguridad, pero excesivo para el uso diario. La buena implementación es fwknop y creo que podría vincularla a su aplicación como un "segundo factor".

  

Si un atacante tenía un registrador de teclas o un registrador de CPU en su computadora, puede   ¿No acceden a tu cuenta? En el paso 3, asumiendo que tu computadora es   comprometidos, tienen tanto su contraseña como su token TOTP actual.

Sí. Pero también tenga en cuenta que si el atacante puede modificar el software de su cliente (ya sea un cliente SSH o un navegador web), también puede modificar todo el contenido y los comandos transferidos después de la autenticación. El programa cliente tiene acceso a todos los datos, después de todo.

Con un servicio web, la autenticación generalmente solo proporciona una cookie de sesión que luego se usa para autenticar todas las solicitudes siguientes (ya que todas las solicitudes HTTP están separadas lógicamente en el nivel de protocolo), y la cookie se puede usar desde otro proceso completamente independiente de la misma máquina si es necesario. Con SSH, el cliente modificado necesitaría inyectar comandos en el mismo flujo (y asegurarse de no mostrarle su salida), lo que requeriría un poco de cuidado, pero de ninguna manera es imposible.

Para protegerse realmente de un programa cliente comprometido, necesitaría autenticar todas las transacciones independientes a través de un canal separado. Si el comando es algo así como "Transfiera $ 100000 a esta cuenta bancaria en algún país turbio", esto no sería una mala idea de todos modos, pero recibir un SMS de confirmación cada vez que quiera enumerar los archivos en su directorio de inicio se volverá viejo bastante rápido .

  

Comprendo que el atacante solo puede acceder a tu cuenta una vez porque el token TOTP caducará después de 30 segundos.

Claro, pero incluso iniciar sesión una vez es suficiente para copiar todos sus datos o instalar una puerta trasera (si el sistema tiene alguna capacidad de ejecución de código). El uso de las mismas credenciales también mostraría al usuario válido un error de inicio de sesión falso, ya que para que la conexión del atacante funcione, primero tendría que autenticarse, invalidando la OTP y fallando el inicio de sesión del usuario. Pero es probable que el usuario simplemente asuma que ha escrito mal su contraseña o OTP y lo intente nuevamente.

Por supuesto, es más fácil crear un keylogger pasivo, por lo que probablemente sea un modo de ataque más común que un comando personalizado en toda regla.