¿Cuáles son los posibles problemas de seguridad si se inserta 2FA automáticamente en 1password? [duplicar]

Navega tus respuestas
0

He escuchado que 1 contraseña tiene una función.

Básicamente almacenamos los códigos QR para google 2FA en una contraseña.

1 contraseña, luego díganos las claves de Google 2FA cada vez que iniciamos sesión.

enlace

¿Es 1 contraseña la única con esta función?

Me sentí un poco desagradable.

El punto principal de 2FA es que necesitamos dos autorizaciones diferentes. Y ahora se combina en uno.

Cualquier persona que pueda ingresar a mi cuenta de 1password puede robarme todo mi dinero.

Entonces, ¿cuál es la solución?

    
pregunta Sharen Eayrs 30.09.2018 - 22:02
fuente

1 respuesta

1

TLDR: no uses esa función particular de 1Password.

  

¿Es 1 contraseña la única con esta función?

El administrador de contraseñas de mi elección, KeePass también puede admitir esto a través de un complemento. En cuanto a otros administradores de contraseñas, no lo sé.

  

Me sentí un poco desagradable.

Es un poco complicado fusionar tus 2 factores en uno.

  

El punto principal de 2FA es que necesitamos dos autorizaciones diferentes. Y ahora se combina en uno.   Cualquiera que pueda ingresar a mi cuenta de 1password puede robar todo mi dinero.

Sí, cualquier persona que logre acceder a su 1Password podrá iniciar sesión. Pero en este caso, el punto de 2FA es un poco diferente. En realidad, no es tanto un factor de dos factores como mejorar un factor.

  

Entonces, ¿cuál es la solución?

Aparte de no usar esta función, no hay solución. Sin embargo, creo que tampoco hay un "problema".

Creo que esta función no está destinada a proteger del compromiso de 1Password. Más bien está destinado a evitar que la contraseña se comprometa cuando se ingresa. Aquí hay algunos ejemplos en los que se puede revelar la contraseña:

  • Keylogger u otro spyware que se apodera del portapapeles cuando copia la contraseña
  • Keylogger captura la contraseña con la función de autotipo
  • Guardar accidentalmente la contraseña en el navegador
  • Una extensión de navegador web malintencionada que toma la contraseña
  • Un javascript malicioso (por ejemplo, de XSS) que agarra la contraseña
  • El atacante intercepta las credenciales de inicio de sesión, por ejemplo, mediante un ataque MITM

En todas estas situaciones, el atacante podría obtener su contraseña, sin embargo, si usa TOTP 2FA, tendría una antigua PTO. Por lo tanto, no podrá iniciar sesión en ninguno de estos escenarios y solo iniciar sesión una vez en el resto.

Por lo tanto, esta función es IMO útil cuando confía en que su contraseña no se verá comprometida, pero le preocupa la pérdida de la contraseña. Si siente que necesita protegerse, especialmente con la banca electrónica, debe usar su teléfono. Esto es para aplicaciones de menor seguridad.

    
respondido por el Peter Harmann 30.09.2018 - 22:18
fuente

Lea otras preguntas en las etiquetas

DOMXSS - ¿Es el contenido del campo de entrada un Vector de ataque? ¿Se considera que la autorización de HOTP es débil?