¿Por qué es correcto que Google Authenticator proporcione códigos reutilizables?

Navega tus respuestas
1

Tengo entendido que los códigos reutilizables que proporciona Google Authenticator en caso de que pierda su teléfono son una contraseña de un solo uso, pero de todos modos una contraseña. Si un atacante obtiene acceso a ellos (además de su contraseña o clave principal), ¿no puede iniciar sesión y luego reiniciar el Autenticador, sincronizándolo con su propio teléfono para tener acceso permanente? ¿Cómo es mejor usar Authenticator for MFA que usar dos contraseñas fijas o usar la autenticación de un solo factor, pero agregar los códigos de cero a su contraseña original?

En caso de que el contexto sea importante, tengo una instancia de EC2 que he configurado para requerir una clave o contraseña ssh y un código del autenticador cuando ssh en él.

    
pregunta Christopher Simmons 25.08.2017 - 01:15
fuente

1 respuesta

0

La idea detrás de la autenticación de dos factores es usar algo que sabes y algo que tienes para autenticar.

En tu ejemplo, usualmente usas tu contraseña normal (algo que sabes) y tu teléfono (algo que tienes). En el caso de los códigos de copia de seguridad, deben descargarse una vez e imprimirse en caso de que pierda / olvide su teléfono como algo que le pertenece. Sin embargo, Google te permite volver a verlos, probablemente porque los usuarios los estaban perdiendo. Lo ideal sería generar un nuevo conjunto de códigos de respaldo en este caso.

  

Si un atacante obtiene acceso a ellos (además de su contraseña principal   o clave), ¿no puede iniciar sesión y luego reiniciar el autenticador, sincronizando   ¿Con su propio teléfono para darse acceso permanente?

Sí, él puede, es por eso que una contraseña segura en primer lugar es una buena idea. Cuando Google lo solicite al realizar cambios en la forma en que inicia sesión. Si un atacante ha robado su sesión o está realizando un ataque de un hombre en el navegador, todavía necesita su contraseña para realizar cambios. Si tienen tu contraseña, se acabó el juego.

  

¿Cómo es mejor usar Authenticator para MFA que usar dos soluciones fijas?   contraseñas o el uso de autenticación de un solo factor, pero anexando la   ¿Rasca códigos a su contraseña original?

El autenticador es mejor ya que no es una contraseña estática que se agrega, esencialmente lo que lo convierte en un factor único. El uso de contraseñas de un solo uso hace que la oportunidad para que un atacante las use mucho más pequeñas. Los códigos de respaldo también son una vez, una vez que haya usado uno, no podrá volver a usarlo.

Entonces, ¿cuál es la mejor manera de usar el autenticador?

  • No utilice códigos de copia de seguridad. Sin embargo, esto reduce la flexibilidad.
  • Obtenga un token de hardware: como Google Authenticator está implementando OATH TOTP y HOTP, puede obtener un token de hardware programable OATH. Esto reduce aún más el servicio de ataque, ya que es un token completamente desconectado, un atacante no puede usar su teléfono para la autenticación.

¿Qué pasa con otros métodos de autenticación?

Personalmente uso un Yubikey junto con Duo Security Linux Integration para la autenticación SSH. Funciona un placer.

También puedes usar un Yubikey directamente con el Autenticador de Google.

Finalmente, como la mayoría de las cosas en la vida, tienes que comprometerte. Algunas autenticaciones pueden ser realmente fáciles de usar a costa de cierta seguridad, otras pueden ser muy difíciles de usar pero son muy seguras. Intente averiguar qué es lo que le importa y encuentre el mejor compromiso.

    
respondido por el Stu 25.08.2017 - 11:20
fuente

Lea otras preguntas en las etiquetas

la carga útil del medidor del medidor de Android se bloquea Restricción de los firmantes de aplicaciones permitidos