Autentificación de la cuadrícula de LastPass vs Google Authenticator, ¿cuál es más seguro?

Navega tus respuestas
11

[Como usuario de LastPass] recientemente me mudé a Google Authenticator en lugar de usar Grid Authentication como una seguridad de 2 factores. Para mí, encontrar y rellenar letras de una matriz tan densa es una tarea bastante torpe.

Tengo una comprensión básica de cómo funciona Grid, Google Auth y algunos otros factores de autenticación LastPass 2 (Yubikey / Sesame, ...) En general, Yubikey se considera un poco más seguro que GoogleAuth, así que me pregunto la comparación entre la aplicación Grid y la autenticación de Google.

Muestra de un número aleatorio de 6 dígitos generado por la aplicación Google Authenticator:

Porejemplo:elteléfonosepuedeperder(puedeserrobadooalgoasí).Enesecaso,¿noesciertoquetodoslosnúmerospseudoaleatoriosquegeneraconstantementelaaplicaciónseexponenfácilmentealladrón?(SiseusalaaplicaciónGoogleAuthdeformaextensiva,ysinoprotegesuteléfonoconmuchaseriedad,bueno,hacerloretrasanuestroprocesoparaabrirelteléfono,porloquenormalmentelagentesoloaplicaunpatrónsimple)

EstoesloquepareceunacuadrículadeLastPass:

Para Grid, la opción normal es imprimirlo y ponerlo en una billetera. Por supuesto, su billetera también se puede perder, pero si no necesita la red con mucha frecuencia, puede guardarla en un lugar seguro en su hogar. No llevar la rejilla alrededor reduce la posibilidad de que alguien pueda obtenerla. Esto es diferente del teléfono: siempre tienes que llevar tu teléfono.

Por lo tanto, la cuadrícula basada en papel puede ser torpe, pero desde cierta perspectiva (como en el ejemplo anterior), parece mejor. Ahora considere el aspecto de "seguridad", ¿cuál se puede considerar mejor seguro (teóricamente / prácticamente) que el otro, y por qué? ¿O son del mismo nivel?

No es muy fácil encontrar rápidamente el contenido correspondiente de las coordenadas:

Editar:estetipohahechounamuybuenadiapositivasobreelautenticadordeGoogle.Bueno,elcasodeteléfonoperdidoesdealgunamanera"trivial" pero la semilla para alimentar a TOTP se almacena en texto sin formato .

enlace

    
pregunta Jim Raynor 29.04.2014 - 14:04
fuente

2 respuestas

19

Yo personalmente prefiero Google Authenticator, que es básicamente una implementación elegante del Algoritmo de contraseña de un solo uso basado en el tiempo pero no me sentiría cómodo diciendo que "es más seguro".

Para usar una de mis palabras de moda favoritas ... todo se reduce a Modelado de amenazas . ¿Contra qué exactamente tratas de protegerte? ¿Es un atacante técnico el que podría tener malware en su teléfono? ¿O uno de tus compañeros tratando de publicar cosas sucias en tu página de Facebook? Creo que la diferencia más importante entre los dos métodos es: ¿el atacante es alguien que podría tener acceso físico?

También hay una gran cantidad de variables, ¿encriptas tu teléfono? ¿Su teléfono se bloquea automáticamente? ¿Dejas tu billetera sin atender? Es imposible dar una respuesta finita, pero cada una tiene sus pros y contras y ferias mejor en algunas áreas que en otras. Algunos puntos interesantes son:

Acceso físico

Cuando un atacante tiene acceso físico ha perdido, pero algunas cosas son mejores que otras.

  • Cuadrícula : alguien puede tomar una foto. Tarda unos 2 segundos.
  • Autentificador : por lo que sé, necesita acceso de root para recibir las claves. Sin una planificación serosa, es poco probable que pueda obtenerlos en menos de unos minutos. Muchos teléfonos tienen rastreadores de GPS para que puedas encontrarlos si son robados.

Acceso remoto / Malware

  • Cuadrícula : no conozco ningún malware que infecte el papel. He dicho suficiente.
  • Autentificador : ha habido varias aplicaciones malintencionadas en la tienda de juegos, en general se extraen con bastante rapidez, pero sucede. Algunos incluso pueden obtener la raíz. Hay muchas maneras de mantener su teléfono actualizado y de limpiarlo, realmente depende de sus prácticas si instala aplicaciones que no son de confianza o si lee el manifiesto de cada una, etc. ...

Host comprometido

Este es uno interesante en el que siento que Authenticator tiene una ligera ventaja. Ha habido varios troyanos bancarios que utilizan los ataques Man in the Browser . Ninguno de estos detendrá eso, pero:

  • Cuadrícula : si estás en un host comprometido que tiene un registrador de teclas instalado después de un tiempo, podría crear una copia de tu cuadrícula y luego ser utilizado por un atacante en una fecha posterior. (por ejemplo, determine qué son U7, M8, I5, etc., y haga su propia copia de la cuadrícula)
  • Autentificador : cada código debe ser indistinguible computacionalmente del azar, por lo que incluso si tiene los últimos 5,000 códigos que se usaron, no puede calcular cuál será el siguiente.

Conveniencia

Este es un factor masivo que a menudo se pasa por alto en la seguridad. Incluso si uno era mucho más seguro que el otro, lo importante es que sea utilizable y lo suficientemente transparente como para que la gente realmente lo use.

  • Cuadrícula : si muchos sitios diferentes usaran esto, necesitarías uno para cada sitio con dos factores. Simplemente no creo que se escale.
  • Autentificador : siempre tengo mi teléfono conmigo y tengo algunos sitios que usan dos factores, simplemente los agrega, se escala bastante bien. También como dices, es más fácil escribir los 6 dígitos que buscar el contenido correspondiente en una cuadrícula. Esto es muy subjetivo pero me parece más conveniente.
respondido por el Hybrid 28.07.2014 - 07:56
fuente
2

(Trabajé para el equipo de cuenta de Google, especializándome en problemas de seguridad utilizables como este).

En la autenticación, hay tres factores básicos: "tiene un", "sabe un" o "es un". Los dos sistemas en discusión son ambos "tiene un". En el caso de LastPass, el usuario tiene un papel. En el caso de GAuthenticator, el usuario tiene un teléfono inteligente en particular.

Como tal, diría que son más o menos similares. Quizás las compensaciones son que,

  1. Todos ya tienen un teléfono inteligente.
  2. La gente no presta su propio teléfono inteligente a otros, no tan fácilmente como copiar una hoja de papel de todos modos.
  3. Escribir un número es más fácil que responder a la tabla de búsqueda de 4 pases.

Ambos siguen siendo vulnerables a los sofisticados ataques activos de hombres en el medio, o al robo.

    
respondido por el Jeff-Inventor ChromeOS 30.07.2014 - 05:39
fuente

Lea otras preguntas en las etiquetas

¿Es seguro almacenar los SSN en Azure Cloud? ¿Cómo puede confiar en su Enrutador para que no le robe sus claves IPSec privadas?