Estaba hablando con un amigo sobre HeartBleed, y él mencionó que tenía habilitada la autenticación de 2 factores en todos los sitios que la soportaban, por lo que incluso con su nombre de usuario y contraseñas, nadie podría iniciar sesión sin su teléfono.
Le dije que cambiara sus contraseñas de todos modos.
Pero estoy interesado en saber; ¿Tenía razón acerca de la autenticación de 2 factores que lo protegía de lo peor?
¡Gracias!
evamvid
No estoy de acuerdo con Mark. Un objetivo principal de SSL / TLS es la protección de la clave a largo plazo (es decir, el certificado privado). Si un atacante puede obtener la clave, la implementación debe considerarse rota.
No importa si usas autenticación de dos factores o no. Si conozco la clave secreta del servidor, puedo descifrar su tráfico directamente (sin PFS) o mediante MITM (con PFS). Puedo robar tus cookies de sesión o lo que sea y hacer todo sin tu token. Incluso puedo robar tus sesiones TCP.
La autenticación adecuada de dos factores (la autenticación con una contraseña y un token de un solo uso enviado a través de un canal externo) proporciona protección contra el ataque Heartbleed. Un atacante puede obtener tanto la contraseña como el token, pero con una implementación adecuada, el token no vale nada para intentar iniciar sesión por su cuenta: es de un solo uso y no da ninguna pista de lo que hará el próximo token. be.
La autenticación "wish-it-was-two-factor" utilizada por demasiados sitios (nombre de usuario, contraseña, pregunta de trivia sobre usted) no ofrece ninguna protección.
Lea otras preguntas en las etiquetas authentication tls multi-factor openssl heartbleed