¿Qué tipo de autenticación no es propensa a los ataques de intermediario?

Navega tus respuestas
0

Me estoy preparando para el examen CISA y me encuentro con material que dice "la autenticación basada en respuestas de desafío es propensa al secuestro de sesiones o los ataques de intermediarios". Pero el material no menciona qué tipo de autenticación es fuerte contra los ataques MiTM.

Según mi entendimiento, la declaración anterior no es muy significativa porque todos los tipos de autenticación son propensos a MiTM.

Para evitar MiTM, podemos aplicar más que factores individuales para la autenticación. Por ejemplo, al lado de un inicio de sesión desde el navegador, es posible que el usuario también deba presionar el botón de confirmación en la aplicación móvil dentro de un minuto para completar la autenticación. Sin embargo, existe un método de autenticación único que no es propenso a MiTM. ¿Estoy en lo correcto?

    
pregunta Mark L 23.11.2018 - 10:41
fuente

1 respuesta

1

Las autenticaciones basadas en intercambio de claves son inmunes a los ataques MitM por diseño. Sin embargo, sí requieren algún tipo de infraestructura de certificado. (tenga en cuenta que el intercambio de claves en sí mismo no proporciona autenticación)

Las autenticaciones basadas en secretos compartidos, criptografía de clave pública o certificados también pueden diseñarse para ser inmunes a los ataques MitM. Dichas autenticaciones pueden incluir mecanismos de desafío-respuesta.

La autenticación de dos (o múltiples) factores no es inmune a los ataques MitM, sin embargo, Eve debe poder interceptar simultáneamente todos los canales utilizados, lo que aumenta dramáticamente la dificultad para ella.

La idea básica de realizar una autenticación segura desde MitM es hacerlo en secuencia:

  1. establecer un canal seguro (es decir, protegido por MitM)
  2. establecer la identidad de la otra parte
  3. intercambiar información de autenticación

Así es como se configura su banca en línea. Intercambio de claves DH + cifrado adecuado para el paso 1. Certificados basados en una CA raíz de confianza para el paso 2, autenticación de formulario web estándar para el paso 3.

Tenga en cuenta que las listas TAN (secretos compartidos), los generadores seudoaleatorios de TAN (secretos compartidos) o los TAN de SMS (2FA) a menudo se usan adicionalmente, pero generalmente después de la autenticación real.

    
respondido por el Tom 23.11.2018 - 12:23
fuente

Lea otras preguntas en las etiquetas

¿Podría mi computadora haber descargado algún tipo de virus o malware después de hacer clic en este botón? Hash de contraseña tanto en el cliente como en el servidor: ¿cuáles son los riesgos relacionados con la composición de hash (colisiones y reversión)?