¿Se puede confiar en los administradores de Google con Google Authenticator? [duplicar]

Navega tus respuestas
1

Supongamos que hay un administrador malvado de Google que tiene acceso completo a cada servidor o red en Google. ¿Podrá dicha persona abusar de la tecnología de Google Authenticator para obtener acceso a servicios que no sean de Google que utilizan la tecnología de Google Authenticator para el acceso?

En otras palabras: supongamos que configuro Google Authenticator para el sitio web A de la compañía A que no alberga ningún servicio de Google. Sin embargo, elijo usar el mecanismo de autorización de Google Authenticator para "mejorar" mi seguridad. Will mr. El Administrador de Google (que supuestamente tiene la capacidad de monitorear todas las comunicaciones a través del Google Authenticator y / o puede manipular los tokens / claves del servicio para su ventaja) tiene la misma forma de acceder a mi cuenta en el sitio web-A?

    
pregunta Koning 19.02.2015 - 05:40
fuente

1 respuesta

0

¿Podría alguien con acceso sin restricciones a los sistemas de Google y su intención maliciosa comprometer las cuentas que no sean de Google solo a través del autenticador de Google? No.

¿Podrían comprometer cuentas que no sean de Google a través de otros servicios de Google que es probable que también use alguien que use el autenticador de Google? Probablemente.

En primer lugar, el autenticador de Google se utiliza para implementar la autenticación multi . El punto central de esto es que si un método de autenticación está comprometido, el otro método de autenticación debería evitar que el atacante obtenga acceso. Además, estos métodos de autenticación generalmente están diseñados para ser aislados, por lo que alguien que pueda comprometer algo que usted conoce (por ejemplo, una contraseña) no debería poder comprometer algo que tiene (por ejemplo, un dispositivo físico) al mismo tiempo. Incluso si el autenticador de Google estuviera comprometido, un atacante no necesariamente tendría la contraseña.

En segundo lugar, el autenticador de Google implementa TOTP . El secreto solo se comunica entre el servicio que requiere autenticación y su dispositivo, por lo que, a menos que Google sea el servicio, no es necesario que el secreto se comunique a Google.

Ahora, por supuesto, la suposición de que el secreto no se comunicará a Google depende de la integridad del cliente. Es posible que la aplicación que ha instalado se haya comprometido para capturar el secreto y enviarlo al atacante. Google Authenticator es de código abierto , por lo que teóricamente, puedes verificar que el código hace lo que debería compilar tú mismo. En realidad, si un atacante tiene la capacidad de comprometer arbitrariamente el software en su dispositivo, es probable que pueda comprometer cualquier forma de 2FA que involucre el dispositivo (por ejemplo, SMS) y Google Authenticator no representaría un riesgo adicional.

Aparte de esto, si alguien en Google quería atacarte, probablemente hay vías más efectivas que no involucran al Autenticador de Google. Por ejemplo, dado que la Play Store en un dispositivo Android está firmada por el mismo certificado que el sistema, puede acceder a los permisos para instalar software sin su permiso explícito. Si usó gmail, también es muy probable que accedan a cuentas que no sean de Google restableciendo las contraseñas.

TLDR; Un atacante con acceso ilimitado a los sistemas de Google sería casi una amenaza para las cuentas que no son de Google, pero no a causa de un Autenticador.

    
respondido por el thexacre 19.02.2015 - 06:36
fuente

Lea otras preguntas en las etiquetas

¿Akamai o Incapsula (u otra) para CDN con protección contra DDoS? [cerrado] ¿Cómo las herramientas de ingeniería inversa de Android extraen paquetes / jerarquía de paquetes presentes en las aplicaciones de Android? [cerrado]