Steam y autenticación de dos factores

12

La plataforma Steam está diseñada para alentar a los usuarios a utilizar la autenticación de dos factores. Una de las tareas de la comunidad (objetivos similares a logros) en Steam es "Usar la aplicación móvil de Steam para la autenticación de dos factores". Esto es visible en los perfiles públicos para cualquier persona.

Esto podría permitir a posibles piratas informáticos descubrir rápidamente si una cuenta usa autenticación de dos factores, lo que les permite elegir los destinos de manera más eficiente.

¿Debería preocuparse la gente por este riesgo de seguridad? ¿Debería ser reportado a la válvula? ¿O es inofensivo?

¿Esta función no socava completamente el propósito de 2FA ya que los piratas informáticos simplemente evitarían las cuentas y elegirían otras cuentas que sean objetivos valiosos sin 2FA?

    
pregunta Meta 05.01.2016 - 20:30
fuente

3 respuestas

17

Creo que esto funciona un poco como un señal del sistema de alarma doméstica . Solo el letrero en su jardín delantero disuadirá a los ladrones de intentar ingresar a su hogar debido a lo mucho más difícil que parece.

En un sentido similar, tener este logro actúa como el signo: si un atacante lo vio, es posible que ni siquiera intente acceder a esta cuenta porque se incrementa la dificultad percibida.

¿Aumenta esto la probabilidad de que se dirija otra cuenta?

  • Yo diría que sí, ya que el conjunto de posibles objetivos se ha reducido, cualquier persona en ese conjunto tiene más posibilidades de ser un objetivo.

¿Qué pueden hacer las personas sin el logro para reducir sus posibilidades de ser atacados?

  • Coloque una señal de seguridad para el hogar (¡Habilite la autenticación de dos factores!)

Resumen : no socava la autenticación de dos factores, pero con suerte , alienta a otros a seguir las mejores prácticas para proteger sus cuentas.

    
respondido por el d0nut 05.01.2016 - 21:17
fuente
5

No socava el propósito de 2FA, pero puede afectar la seguridad de los usuarios que no usan 2FA.

El objetivo de 2FA es cambiar el inicio de sesión para que requiera, bueno, dos factores. Específicamente, algo que sabes y algo que tienes. La publicación de una lista de usuarios que utilizan 2FA no reduce la seguridad de 2FA. Un atacante aún debe obtener la contraseña y el dispositivo.

Por otro lado, puede haber estrategias de ataque que solo funcionen para cuentas que no usan 2FA. Por ejemplo, si es posible un ataque de contraseña , los atacantes pueden usar la lista publicada para identificar las cuentas que no usan 2FA y por lo tanto son vulnerables al ataque de contraseña.

    
respondido por el Neil Smithline 05.01.2016 - 21:17
fuente
2

Creo que es importante distinguir entre tres preguntas diferentes que uno podría hacer:

  1. ¿Esto socava la seguridad de un usuario en particular que usa 2FA? Respuesta: No. Si está usando una autenticación de dos factores, hacer que eso sea público no ayuda al atacante en su cuenta. En todo caso, te ayuda, al disuadir a algunos atacantes de atacarte.

  2. ¿Esto socava la seguridad de un usuario en particular que no usa 2FA? Respuesta: Sí, un poco, porque podría facilitar a los atacantes realizar ataques dirigidos contra usuarios que no lo hacen utilizar 2FA.

    Dicho esto, es importante mantener esto en perspectiva. No es inofensivo, pero tampoco es devastador. No creo que vaya a ser un cambio de juego. Supongamos que el 50% de los usuarios usan 2FA. Entonces, un atacante que intente atacar un grupo de cuentas en sucesión solo podrá reducir la cantidad de cuentas que necesita para probar, como máximo, un factor de dos, utilizando la filtración de información señalada en su pregunta. Dicho esto, sospecho que muchos atacantes probablemente ni siquiera se molestarán en verificar el perfil público y para aquellos atacantes esta filtración de información no tendrá ningún efecto.

  3. ¿Esto socava la seguridad del ecosistema en su conjunto? Respuesta: Sí, un poco. Por supuesto, esto es principalmente relevante para Valve, en lugar de para sus usuarios. Tienen incentivos para proteger sus propios resultados.

Como usuario, si le preocupa, una posible respuesta es habilitar 2FA en su cuenta de Steam.

¿Debe ponerse en contacto con Valve para revelar esta fuga de información? Claro, ¿por qué no?

    
respondido por el D.W. 06.01.2016 - 01:19
fuente

Lea otras preguntas en las etiquetas