autenticación de 2 factores: ¿En quién estoy confiando?

Una aplicación autenticadora TOTP (contraseña de un solo uso basada en el tiempo) no tendrá su nombre de usuario y contraseña. Lo que tendrá es un token secreto que se utiliza para generar una secuencia de números pseudoaleatoria específica que cambia según el tiempo (generalmente cada 30 segundos). La aplicación no necesita tener ninguna conectividad de red, solo para fines de copia de seguridad en caso de que pierda el teléfono. Su trabajo es simplemente calcular, por el momento actual, cuál debe ser el número pseudoaleatorio. El sitio en el que está iniciando sesión tendrá el mismo token almacenado y asociado a su cuenta, y calculará el mismo valor pseudoaleatorio en un momento dado. Por lo tanto, cuando inicia sesión, solicita el valor actual que muestra la aplicación.

¿En quién confías?

En general, la respuesta es 'nadie', lo cual es bueno:

• Editar : Por supuesto, siempre confía en que la aplicación que tiene instalada en su teléfono haga lo que dice hacer, no tiene vulnerabilidades de seguridad desagradables, etc. Nunca se puede confiar realmente en "nadie" cuando se trata de computación a menos que empiece desde cero (como en la arena) y cree su propio hardware de computadora ;-)

• Google Authenticator solo almacena los tokens de forma local en el teléfono. Si su teléfono fuera hackeado, alguien tendría sus tokens TOTP, pero aparte de eso, está bien.

• Al parecer, Authy cifra los tokens localmente en tu teléfono con una contraseña que ingresas, de modo que solo están almacenando un blob cifrado para ti (vea la publicación de su blog en esto para más detalles) . Eso significa que incluso si los servidores de Authy fueron pirateados, nadie podría determinar sus tokens TOTP a menos que adivinen la contraseña utilizada para cifrarlos.

• Incluso si alguien obtuvo tus tokens TOTP, eso solo les permite derrotar al segundo factor: no les da ninguna información sobre tu nombre de usuario / contraseña.

** Mejores aplicaciones prácticas **

En cuanto a las mejores prácticas, aquí hay algunos pensamientos:

• Esta publicación favorece a Authy y parece dar una explicación clara de los problemas con Google Authenticator, así como algo de información sobre las características que desearía. Al seleccionar a un candidato potencial, parece que la lista de características deseables incluiría:

  1. Una forma de anular la autorización de un dispositivo en particular si se pierde
  2. Una forma de hacer una copia de seguridad de sus tokens de autenticación, en caso de que su teléfono sea borrado. Este método de copia de seguridad debe cifrar los tokens localmente en el teléfono con una clave / contraseña que la entidad que realiza la copia de seguridad nunca recibe: de lo contrario, está confiando en ellos para que no le entreguen sus tokens TOTP a un tipo malo. Nuevamente, se trata de tokens TOTP y está completamente separado de su nombre de usuario y contraseña.
  3. La posibilidad de anular la autorización de un dispositivo utilizando otro, en caso de que el dispositivo se pierda o sea robado. Esto significaría que cada dispositivo tiene sus propios tokens TOTP (no el mismo token compartido en varios dispositivos).

Bueno, el enigma bastante interesante con 2FA o multiFA es el punto final y cómo los tokens atraviesan la red. Si utiliza el servicio de SMS o el autenticador de Google, observe cómo se pasa la clave secreta compartida. En el enlace más débil, al menos para los servicios de SMS, si la compañía de telecomunicaciones almacena los SMS y tiene acceso a su transmisión, tendrá que confiar en la compañía de telecomunicaciones o en la que no utilice su cookie compartida, así como el código de autenticación para acceder a su cuenta. Con un teléfono comprometido, también está buscando a alguien que pueda leer el sms, así como también su frase de contraseña.

En primer lugar, cada vez que instale cualquier software de cualquier variedad, confíe en el autor de ese software. No hay manera de evitar eso. Confía en que el autor no es malicioso, que no es descuidado, que sabe lo que está haciendo, que su implementación es correcta y una docena de otros puntos también.

Del mismo modo, estás confiando en el propietario del sitio de muchas de las mismas maneras. Más allá de eso, son solo matemáticas. Estás confiando en las matemáticas.

Podría decirse que Google Authenticator es tan confiable como es posible ya que la compañía está bien establecida y se ha ganado una reputación en cuanto a que sus herramientas y servicios son a prueba de balas. Literalmente no hay incentivo para que hagan trampa, y un incentivo fuerte (y amplios recursos) para crear una solución bien diseñada.

Pero toman algunas decisiones de seguridad que a muchas personas les resultan inconvenientes (como rechazar la exportación de claves). Así que eso podría ser razón suficiente para usar una alternativa.

Me apresuro a señalar que si es posible, use el token U2F . Yo personalmente lo uso y estoy muy satisfecho con la experiencia. Si bien TOTP / HOTP es realmente bueno, U2F lo lleva un paso más allá al brindar protección absoluta contra el phishing, algo que ningún otro producto del que yo sepa pueda afirmar. U2F fue diseñado específicamente para este propósito, y realmente hace una diferencia. Hace solo 2 semanas, me topé con un informe de una víctima que estaba usando TOTP pero que me engañaron para que escribiera su token de autenticador en un ataque de phishing y perdí el control de su cuenta. U2F lo habría protegido.