Authy 2FA mejores prácticas

8

He utilizado la aplicación móvil authy durante un tiempo para tokens OTP, pero he desactivado la copia de seguridad / sincronización. Noté que tienen una aplicación de escritorio, que sería mucho más conveniente la mayoría del tiempo, pero me pregunto si ha habido alguna investigación de seguridad sobre su implementación y si es una buena idea o no.

Parece que, para utilizar la aplicación de escritorio, debes habilitar la sincronización automática entre dispositivos. Esto parece exactamente lo mismo que un administrador de contraseñas: la semilla OTP se sincroniza entre dispositivos, cifrada con una contraseña maestra, al igual que mis contraseñas de contraseñas de 1 contraseña generadas aleatoriamente. Y, de todos modos, es probable que guarde la contraseña maestra automática en 1Password para no tener que recordar una nueva contraseña segura.

Entonces, mi pregunta es: ¿vale la pena usar esto o sería lo mismo apagar 2FA ya que es aproximadamente el mismo modelo de datos y ya no es un segundo factor independiente?

    
pregunta danny 07.09.2016 - 19:39
fuente

2 respuestas

6

Revelación completa, soy un arquitecto de soluciones para Authy y estoy bastante familiarizado con nuestro producto. :)

En primer lugar, ¡NO apague 2FA! El verdadero caso de uso que está impidiendo con 2FA es alguien que compromete la base de datos del sitio web y se escapa con la combinación de inicio de sesión / contraseña. Siempre use 2FA!

Con 2FA habilitado, también se le notifica que alguien está intentando iniciar sesión y posteriormente puede denegar el acceso. Si desactiva 2FA, 1) no será notificado y 2) no podrá negarles el acceso.

Con respecto a sus preocupaciones de sincronización, permítame asegurarle que hemos pensado en muchos de estos problemas y tenemos una solución técnica sólida.

Primero que nada, la sincronización es opcional (como lo has notado). En segundo lugar, las semillas Authy OTP entre cada uno de estos dispositivos SON DIFERENTES . Aquí hay una imagen de lado a lado de la aplicación Authy Desktop y la aplicación Authy iPhone. ¡Note que los valores son diferentes!

LassemillasdeGoogleAuthenticatorquesealmacenanenAuthyseránlasmismasyaquesolotienenunvalordesemillaúnicoquedebeseralmacenadoycompartido.EstaesunalimitacióndelenfoquedeGoogleAuthenticator.Estosvaloresinicialessecifranatravésdesucontraseñaderespaldo.

Sipierdeolerobansuteléfono,puededesactivarelaccesoaesedispositivoatravésdecualquieradesusotrosdispositivos.

ParaobtenermásinformaciónsobrelaseguridaddelacompatibilidadconmúltiplesdispositivosdeAuthy,consulteesteintercambiodepreguntasyrespuestas: Authy: mi copia de seguridad está protegida solo con mi contraseña o bien con 2FA s

Espero que esto ayude! Déjame saber si tienes más preguntas.

Saludos, - Josh @ Authy

p.s. También uso 1Password y utilizo una contraseña bastante robusta para la copia de seguridad y amp; sincronizar.

    
respondido por el Authy Solutions Architect 13.09.2016 - 00:02
fuente
0

Como notas de cornelinux , esto no es cierto segundo factor.

Sin embargo, está lo suficientemente cerca para los casos de uso de la mayoría de las personas y, definitivamente, es mucho más seguro que confiar solo en la contraseña.

Para configurar Authy en primer lugar, necesita un "segundo factor" verificado mediante una llamada telefónica / SMS , lo que tampoco es cierto segundo factor. Sin embargo, nuevamente lo suficientemente cerca para la mayoría de los casos de uso.

Cualquier atacante que obtenga acceso a su contraseña Authy también tendría que interceptar la autenticación del teléfono / SMS, por lo que diría que agrega una seguridad significativa solo con la contraseña.

    
respondido por el SilverlightFox 08.09.2016 - 15:26
fuente

Lea otras preguntas en las etiquetas