¿Leí un artículo que dice que las tarjetas inteligentes utilizadas como 2FA todavía son susceptibles a ataques como el ataque MITM?
Interpreto las partes relevantes de este artículo como sigue:
- Un pirata informático podría reflejar el sitio web original que solicita la contraseña y el token 2FA y simplemente enviar las credenciales que ingresó al sitio original, y luego hacer lo que quiera con la sesión ahora iniciada.
- Se puede realizar una autenticación 2FA solo en el sistema local y luego se usa el resultado (en forma de un token de autenticación) para autenticar en un sistema remoto, luego este token podría ser robado.
Para abordar el primer problema: Esto es cierto si el 2FA es solo un tipo de token que ingresas. Si, por el contrario, la tarjeta inteligente tiene un certificado de cliente que se usa para la autenticación mutua dentro de una conexión TLS, entonces esto no puede ser robado cuando se conecta a un sitio web falso ni la autenticación puede reenviarse al sitio original ya que el atacante no tiene acceso al Clave privada almacenada en la tarjeta inteligente.
Y para el segundo problema: si la autenticación completa solo se realiza en la máquina local y luego la máquina local proporciona cierta autenticación en la máquina remota, esta máquina remota, por supuesto, no puede verificar si 2FA es válida y simplemente debe confiar en la máquina local. Por lo tanto, la pregunta no es solo cómo autenticar, sino también contra quién se autentica: una máquina local o un sistema remoto. Por supuesto, dado que no se envía información 2FA al sistema remoto en primer lugar, no se realiza un MITM de 2FA. Y sí, un pirata informático podría interceptar el token de autenticación a menos que la transferencia del token esté protegida contra MITM, por ejemplo, dentro de una conexión TLS con autenticación mutua entre las máquinas.
En otras palabras: las tarjetas inteligentes por sí mismas no se ven afectadas por MITM. Pero podrían usarse de una manera que haga que MITM aún sea posible o que haga que ignore al segundo faktor. Sin embargo, el uso de tarjetas inteligentes para la autenticación mutua dentro de una conexión TLS se considera seguro incluso si el sitio web al que se conectó no era el correcto.