¿Se considera que la autorización de HOTP es débil?

0

Se migró desde ServerFault, como se recomienda allí.

He visto a muchos expertos recomendar el uso de algún tipo de OTP como segundo paso de los esquemas 2FA.

Comprendo perfectamente que 2FA es más seguro que la Autorización única, pero también es más inconveniente para los usuarios ocasionales.

¿Qué pasa con reemplazar las contraseñas con HOTP (algoritmo de contraseña de un solo uso basado en HMAC)?

Actualmente tenemos esquemas con contraseñas seguras (no realmente tan fuertes, la política actual es: 8+ caracteres, mayúsculas y minúsculas, al menos un numérico y al menos uno especial) cambiados de manera regular y muchos los usuarios ya se están quejando.

Me pregunto si reemplazar las contraseñas con HOTP (posiblemente google-authenticator, con el apoyo de google-authenticator-libpam) daría como resultado una menor seguridad que nuestro esquema actual.

La razón es que las contraseñas aleatorias largas (generadas) obligarán a los usuarios a escribirlas en algún lugar "práctico", generalmente en algún lugar donde un atacante encontrará fácilmente. El uso de [H] OTP haría que esto fuera inútil, a la vez que sigue siendo conveniente , ya que todos tienen un teléfono inteligente en el escritorio, hoy.

Las preguntas son:

  • ¿Estoy olvidando algo importante?

  • ¿Google-authenticator (u otro esquema OTP) tiene fallas fundamentales de alguna manera?

  • Si es viable, ¿cuáles son las fallas (si las hay)?

Nota 1: Sé que las preguntas múltiples generalmente son mal recibidas, pero esto realmente se reduce a: ¿Puedo usar esto con seguridad razonable ?

Nota 2: No nos preocupa la seguridad absoluta (como si una bestia de este tipo existiera en el mundo real), pero tampoco queremos reducir el nivel de seguridad que tenemos ahora.

    
pregunta ZioByte 30.09.2018 - 15:22
fuente

1 respuesta

1
  

¿Estoy olvidando algo importante?

Sí. El esquema HOTP no se utiliza como un factor único. Debe preguntarse si la "posesión" de un teléfono inteligente puede verse como un factor de posesión fuerte. Cuando evalúe 2FA o, en su caso, 1FA, debería echar un vistazo a los posibles ataques. De una manera, @Ry ya señaló, siendo simplemente las probabilidades / porcentajes.

  

¿Google-authenticator (u otro esquema OTP) tiene fallas fundamentales de alguna manera?

El autenticador de Google no es un esquema OTP per se. Es una implementación de HOTP y TOTP. Google combinó un esquema que se definió en 2006 ( RFC4226 ) con un Código QR (inventado en 1994) y lo puso en teléfonos inteligentes , que han estado allí más tarde . Debería tener la impresión de que OATH HOTP y TOTP nunca se usaron con teléfonos inteligentes.

El Google Authenticator tiene una falla importante (además de almacenar una clave simétrica en un dispositivo inseguro como un teléfono inteligente) es el proceso de inscripción de una clave secreta de texto simple en el Código QR. Hace un tiempo escribí una blog .

  

Si es viable, ¿cuáles son las fallas (si las hay)?

Al hacer 2FA (o 1FA con un dispositivo OTP) necesita diseñar cuidadosamente sus procesos: inscripción, revocación, reemplazo de token ... Lo has hecho con contraseñas. Usted definió la longitud y el contenido de las contraseñas y el período en el que se deben cambiar las contraseñas. Probablemente tenga un proceso para restablecer una contraseña olvidada. También necesita todos estos procesos al realizar la autenticación 2FA u OTP. El riesgo (o la trampa) es que piensas fácilmente: "Oh, estoy haciendo OTP o 2FA, ahora - todo es bueno y mejor".

No lo es, si no está al tanto de sus procesos.

    
respondido por el cornelinux 30.09.2018 - 23:17
fuente

Lea otras preguntas en las etiquetas