¿Por qué 2FA no se considera impecable cuando se usa para asegurar una cuenta?

1

A menudo veo que se está discutiendo que si se configura y habilita, 2FA aumentará la seguridad de una cuenta, agregará una capa de seguridad adicional, sin embargo, un atacante podría obtener acceso a dicha cuenta de alguna manera.

Teniendo en cuenta el escenario: tengo 2FA configurado en mi cuenta de GitHub y uso la aplicación Google Authenticator.

Si el atacante tenía la contraseña de mi cuenta (keylogger en mi computadora o un ataque similar), ¿cómo sería posible pasar por 2FA sin acceso físico a mi teléfono?

    
pregunta Filipe dos Santos 03.12.2018 - 11:57
fuente

3 respuestas

1

Bueno, odio decírtelo, pero la contraseña de Google Authenticator plus no es realmente una autenticación de dos factores. La 2FA adecuada es dos elementos separados de la tríada tradicional "algo que tienes" (elemento físico, que a su vez puede contener un secreto), "algo que sabes" (secreto) y "algo que eres" (a menudo biométrica).

La contraseña más Google Authenticator es probablemente mejor resumida como contraseña y token de software , como lo hizo Troy Hunt en una publicación reciente del blog. Básicamente, la aplicación almacena un secreto y utiliza ese secreto para generar contraseñas temporales.

Si alguien puede acceder a su computadora de bolsillo de uso general teléfono con una variedad de interfaces de radio que funcionan de forma arbitraria, potencialmente hostil, el software, presumiblemente podrían encontrar alguna Manera de extraer esos secretos. Una vez extraídos, es probable que se puedan trasplantar a un teléfono diferente, que ahora generaría las mismas contraseñas temporales.

Esto no significa que un 2FA "suave" no tenga sentido. Sube el listón considerablemente para un atacante. Pero sigue siendo una variación de "algo que sabes"; solo que la parte de conocimiento la realiza su teléfono, en lugar de su cerebro (o, con suerte, el administrador de contraseñas).

Para afirmar que algo es "impecable" significa que no debe haber, como mínimo, una forma concebible por la cual un atacante pueda explotarlo. Esto parece una barra bastante alta para una computadora de propósito general que ejecuta software arbitrario que almacena un secreto de gran valor.

Es mejor limitarse a decir que dificulta el trabajo de un atacante.

    
respondido por el a CVn 03.12.2018 - 17:21
fuente
0

Los métodos de autenticación de dos factores que involucran al usuario que escribe una contraseña en el sitio web aún son vulnerables a los ataques de phishing. Si accidentalmente visita un sitio del impostor de GitHub con una URL similar e ingresa su nombre de usuario y contraseña, entonces el servidor del sitio del impostor puede transmitir su nombre de usuario y contraseña a GitHub, vea la solicitud de contraseña de 2FA, se la muestre y luego la retransmisión La contraseña 2FA que ingresa en GitHub. Luego, el servidor del sitio de impostor iniciará sesión como usted en GitHub y podrá hacer cualquier cosa con su cuenta. (El sitio del impostor podría incluso generar tráfico hacia GitHub, de modo que el sitio del impostor se parece a GitHub si estuviera conectado. O bien, el sitio del impostor podría redirigirlo a la página de inicio de sesión de GitHub y hacerle pensar que se conectó incorrectamente.)

Las claves de seguridad de hardware de dos factores que utilizan los estándares FIDO / U2F son inmunes a ataques de phishing como este. Cuando se conecta y utiliza una clave de seguridad, su navegador le informa el dominio del sitio en el que se encuentra y la clave de seguridad adapta su respuesta según el dominio. Entonces, si estás accidentalmente en un sitio de phishing con una URL diferente a la URL de GitHub, entonces la clave de seguridad no dará la misma respuesta que GitHub, y por lo tanto el sitio del impostor no tendrá una respuesta de clave de seguridad para GitHub Apoderarse de GitHub. (Sin embargo, si el atacante pudo hacer que conectara su clave de seguridad a una computadora comprometida o si instaló un navegador modificado, entonces el atacante podría reclamar a la clave de seguridad que su sitio de impostores era GitHub).

    
respondido por el Macil 03.12.2018 - 22:17
fuente
-2

2FA no hace mucho para evitar los ataques de MITM / phishing.

Diga que le envié un correo electrónico falsificando a Github diciendo que su cuenta ha sido comprometida, usted hace clic en el enlace que lo lleva a git-hub.com, luego ingresa los detalles de su cuenta en mi servidor y mi script ingresará en github.com. Luego, mi sitio web solicitará su código 2FA, el cual procederé a reenviar a Github, y me ha ingresado con éxito en su cuenta con 2FA.

Después de esto, te redirigiré a github.com donde aún estuviste conectado y no tendrás idea de que me dejaste entrar.

Si pudiese registrar su computadora, esto sería aún más fácil, ya que podría instalar un DNS malvado y un certificado, por lo que navegar a github.com lo llevará directamente a mi sitio.

    
respondido por el three69 03.12.2018 - 12:34
fuente

Lea otras preguntas en las etiquetas