Estoy en el proceso de investigar métodos 2fa para un sistema de control de acceso físico conectado a la nube. Hay muy poco margen de error en este espacio.
¿Soy solo yo o el TOTP para la autenticación de dos factores parece un paso atrás a los días de la autenticación de resumen en el que tiene que almacenar el secreto simétrico de manera reversible? Las contraseñas almacenadas en texto sin formato eran, y siguen siendo, rampantes y ha habido miles de exposiciones de alto nivel de estos secretos incluso por las entidades más grandes.
¿No estamos retrasando la inevitable exposición de los secretos de TOTP junto con las bases de datos vulnerables de información de usuarios que se ven comprometidas por atacantes cada vez más hábiles?
En un mundo en el que tenemos motores criptográficos asimétricos de hardware en casi todos los dispositivos utilizados para 2fa, ¿por qué este método de autenticación de un dispositivo se ha convertido en el más popular?
Con sistemas como Secure Element y Touch ID que fortalecen el acceso con silicio y biometría, tenemos acceso a la seguridad que incluso los actores gubernamentales luchan por transigir, tanto que están avanzando hacia la legislación para debilitarla.
El almacenamiento de claves derivadas ha sido la mejor práctica para proteger las contraseñas en reposo durante al menos una década, pero esta estrategia no se puede usar para proteger los secretos compartidos de TOTP. Esto deja un cifrado simétrico, que incluso cuando se implementa correctamente tiene un valor dudoso en la protección de sistemas en vivo. La PKI ha existido por más tiempo y aún sigue luchando por lograr un lugar en el espacio de implementación.
Sigue siendo el Salvaje Oeste en la mayoría de los aspectos y un lanzamiento de basura de RFC de kilovatios e implementaciones defectuosas. ¿Existe algún sistema fácil de usar que aproveche la tecnología PKI disponible hoy en día para afirmar de forma segura la identidad del dispositivo para 2fa en un sistema conectado a Internet que puede ser sumamente seguro?