Necesidad de proteger las contraseñas (o 1fa) en el contexto de 2fa

2

Estoy tratando de aclarar esto. No estoy buscando perspectivas personales o de riesgo.

¿Por qué necesitamos proteger las contraseñas (o primer factor) en el contexto de 2fa (o autenticación multifactor) porque el pirata informático no tendrá un segundo factor?

Una similar, pero no exacta, es trivializar la primera contraseña para decir abc123 y argumentar que el hacker no tendrá el segundo factor.

¿Cuáles son algunos aspectos técnicos que no permiten proteger contraseñas en el contexto de 2 / mfa?

    
pregunta tech_geek 05.12.2015 - 09:10
fuente

2 respuestas

8

Has entendido mal el significado de la autenticación de dos factores. Si elimina un factor (al trivializarlo), ya no tendrá una autenticación de dos factores, tendrá una autenticación de un factor (solo con una forma diferente de factor - algo que tiene / son , en lugar de < em> algo que sabes ).

Usted implica que el beneficio de 2FA es la fuerza del segundo factor. Si ese fuera el caso, entonces no necesita 2FA, simplemente implemente el segundo factor por sí mismo. No, el beneficio de 2FA es la redundancia de tener dos factores al mismo tiempo.

Si un hacker rompe uno de los factores, todavía estás protegido por el otro. P.ej. Si le roban su dispositivo de seguridad de banca por Internet, estará seguro porque todavía tiene una contraseña. Alternativamente, si alguien te ve escribir tu contraseña, estás seguro porque todavía tienes tu dispositivo. Has reducido el vector de ataque a escenarios en los que el atacante logra realizar ambas tareas.

Si trivializa uno de los factores, es mejor que no se moleste con el esquema en primer lugar.

    
respondido por el Jon Bentley 05.12.2015 - 21:00
fuente
2

No puede estar seguro de si hay vulnerabilidades en su código.

Las contraseñas nunca deben almacenarse como texto sin formato.

Las personas tienden a usar las mismas contraseñas en varios sitios o formatos específicos como nombre + cumpleaños u otra cosa.

Tiene que proteger las contraseñas para evitar el abuso si la base de datos está violada.

Y nadie, solo el propietario de la cuenta, debe conocer la contraseña, nunca.

Las contraseñas deben almacenarse siempre en un formato hash. Por favor, no utilice MD5 o SHA-1. Bcrypt es muy recomendable.

Los números de teléfono para el 2fa deben almacenarse (encriptados, se pueden descifrar en su código fuente) en una base de datos separada en un servidor separado que tiene protección de acceso adicional (no se permite el acceso desde IP remotas sino solo la IP de su servidor).

Un pirata informático necesitaría el acceso al dispositivo 2fa, que no es tan fácil + la contraseña (pero no puede descifrarlo cuando se almacena utilizando bcrypt).

    
respondido por el Daniel Ruf 05.12.2015 - 12:49
fuente

Lea otras preguntas en las etiquetas