¿Está generando un token único suficiente para autenticar?

0

Estamos construyendo un dispositivo físico. Este dispositivo necesita comunicarse con un servidor remoto. Para este fin, el dispositivo primero envía una solicitud HTTP (protegida por SSL) para "registrar" el dispositivo con el servidor, que responde con un token de cadena único y largo generado por un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG) Está asociado con ese dispositivo. El token se transfiere al dispositivo a través de una conexión SSL. El dispositivo incluye este token junto con otras características de identificación (como una dirección MAC y una dirección IP) a través de una conexión SSL al enviar solicitudes.

¿Es esto lo suficiente como para determinar que el dispositivo de comunicación es quien dice que es? Debido a que todas las solicitudes pasan por una conexión SSL, un hacker no podría robar fácilmente el token, ¿correcto? Un pirata informático necesitaría adquirir el dispositivo físico para extraer el token, pero cada dispositivo tiene un token único, por lo que el robo no afecta la funcionalidad de otros dispositivos en el sistema.

    
pregunta arao6 21.05.2017 - 21:48
fuente

1 respuesta

1

Si esta solución es apropiada depende de un par de factores. Como se señaló en los comentarios, el desafío con su solución descrita es que, asumiendo que un atacante puede alcanzar el punto final del servicio, puede completar el proceso de registro y obtener tokens válidos para su uso.

  • ¿El servicio aceptará el registro de cualquier dirección MAC o solo de las que sabe que pertenecen a dispositivos válidos? Si el rango aceptado es limitado, ¿podría ser más difícil para un atacante descubrir una dirección válida para realizar la solicitud?
  • ¿Su servicio tendrá contramedidas contra los ataques de fuerza bruta? Suponiendo que el atacante pueda obtener el OUI para las direcciones MAC que está usando, podrían completar ese espacio intentando obtener tokens válidos. En este escenario, las protecciones de fuerza bruta podrían ayudar.
  • ¿Qué aseveración de seguridad está buscando para usar este token? Si solo está vinculando a un usuario con un dispositivo y luego usándolo para detener al usuario que inicia sesión en varios dispositivos, esto podría funcionar hasta cierto punto, aunque existe el riesgo de que el usuario pueda copiar el token a otro dispositivo y cambiarlo. la dirección MAC para que coincida con el original.
respondido por el Rоry McCune 22.05.2017 - 14:32
fuente

Lea otras preguntas en las etiquetas