Autenticación de 2 factores vs preguntas de seguridad

6

Tengo una cuenta con un banco que tiene una opción de seguridad adicional.

Cuando no reconozca un dispositivo que se está utilizando para acceder a la cuenta, puede:

  1. Preguntar con 1 de 3 preguntas de seguridad
  2. Envíe un token de una sola vez por mensaje de texto al teléfono celular.

Determiné que "reconoce" un dispositivo a través de una cookie (cuando borro las cookies de mi navegador es cuando me solicita la opción de seguridad adicional).

Supongamos que las preguntas / respuestas de seguridad que he elegido no están sujetas a ingeniería social al navegar por facebook / linkedin / etc.

Acabo de tener algunas preguntas:

  1. ¿Puede alguien ayudarme a enumerar todas las razones por las que el token de una sola vez es más seguro que las preguntas de seguridad? Aquí hay algunos de los que podría pensar:

    • Es cierto 2 Factor: lo que sabes (credenciales de inicio de sesión / contraseña), lo que tienes (teléfono celular).
      A diferencia de lo que usted sabe (credenciales de inicio de sesión / contraseña) y otro lo que sabe (pregunta / respuesta secreta)
    • Es dinámico y solo proporciona acceso por un período de tiempo determinado.
    • ¿Hay otros que me faltan?
  2. Es el hecho de que utilizan cookies para "reconocer" un dispositivo y, por lo tanto, ya no piden que el token de una sola vez subvierta este mecanismo de seguridad (como poner una puerta de hierro en la parte delantera y dejar la puerta trasera desbloqueada) ?

  3. Tenga una cuenta con un banco diferente que utilice una seguridad similar. Sin embargo, cuando borro mis cookies, todavía reconocen mi dispositivo. Supongo que están rastreando el (los) dispositivo (s) conocido (s) por dirección IP y posiblemente otra información del encabezado HTTP. ¿Sería esta una forma mejor / más segura de "reconocer" que la cookie?

Gracias,

    
pregunta Philip Tenn 15.08.2015 - 02:07
fuente

3 respuestas

6
  
  1. ¿Hay otros que me faltan?
  2.   

La contraseña de un solo uso tiene más entropía que el nombre del perro y es menos vulnerable a los ataques de enumeración / diccionario.

En un sitio de phishing, es bastante fácil mostrar alguna pregunta personal trivial (por ejemplo, cuál es el nombre de su perro). El sitio de phishing no necesita saber la respuesta. Por otro lado, es bastante difícil falsificar una contraseña única que se envía a tu teléfono, ya que el phisher no sabrá tu número.

  
    ¿
  1. colocando una puerta de hierro en la parte delantera y dejando la puerta trasera abierta?
  2.   

Tal vez un poco. Probablemente no sea una preocupación si la cookie tiene suficiente entropía, es decir, es lo suficientemente difícil de adivinar. Si el pirata informático tiene algún medio para obtener la cookie, por ejemplo. tiene acceso físico a la computadora: de todos modos, estás jodido.

  
  1. cuando borro mis cookies, todavía "reconocen" mi dispositivo
  2.   

Hay un par de explicaciones posibles para esto.

Como ha notado, una explicación es la dirección IP, aunque esto no funcionaría muy bien para dispositivos móviles o ciertos ISP (las direcciones IPv4 cambian de vez en cuando).

Otra explicación es que la cookie está respaldada por un token diferente, por ejemplo. un token Flash, que no se borra cuando se borran las cookies.

Una tercera explicación es que realmente no están verificando si "conocen" su computadora. En su lugar, están realizando un análisis de las bases de riesgo de las huellas dactilares, las cookies, la dirección IP, etc. de su navegador y obtienen una puntuación. Se te pedirá el MFA si tu puntaje no es lo suficientemente bueno. La falta de cookies no necesariamente lo activa.

    
respondido por el John Wu 15.08.2015 - 02:35
fuente
1
  
  1. ¿Puede alguien ayudarme a enumerar todas las razones por las que el token de una sola vez es más seguro que las preguntas de seguridad?
  2.   

Para evaluar la seguridad de un sistema, no solo debemos elogiar sus ventajas sino también sus inconvenientes. Así que me estoy centrando en este último aspecto, ya que usted y @JohnWu mencionaron los aspectos positivos esenciales de las PTO, pero son vulnerables a estos ataques:

Algunas soluciones se implementan para resolver algunos aspectos de estas vulnerabilidades, una de ellas es navegadores reforzados , otros sugirieron el uso de tokens encriptados . Personalmente, prefiero los tokens OATH que se utilizan, por ejemplo, por Google.

También hay algunas otras consideraciones (incluso si son extremas pero es probable que ocurran casos) como por ejemplo cuando se roba su dispositivo (computadora portátil / teléfono) justo antes de usar el token que tiene. Tenga en cuenta que, según el país y el método utilizado para generar y entregar el token, algunos bancos solían cobrarle a los clientes (al menos en el pasado).

  
  1. Tenga una cuenta con un banco diferente que utilice una seguridad similar.   Sin embargo, cuando borro mis cookies, todavía "reconocen" mi dispositivo. yo   asumiría que están rastreando los dispositivos conocidos por dirección IP y   posiblemente otra información del encabezado HTTP. ¿Sería esto una mejor / más?   ¿Una forma segura de "reconocer" que la cookie?
  2.   

Comprueba mi respuesta a tu segunda pregunta:

  
  1. Es el hecho de que están utilizando cookies para "reconocer" un dispositivo y   por lo tanto, ya no se solicita el token único que subvierte este   mecanismo de seguridad (como poner una puerta de hierro al frente y salir   la puerta trasera desbloqueada)?
  2.   

Hay muchas cosas que un atacante puede hacer con una cookie secuestrada, pero en el contexto que describe (sistema bancario), es inútil si la cookie está comprometida. Su pregunta es demasiado seria si las cookies son el único factor utilizado por los bancos para reconocer su dispositivo, pero afortunadamente otras técnicas efectivas como huellas digitales del navegador se usan en paralelo (algunos otros métodos se enumeran aquí también: ¿Cómo determinan los bancos cuándo solicitar una autenticación de dos factores?

    
respondido por el user45139 15.08.2015 - 08:21
fuente
1

El token de una sola vez ofrece mucha más seguridad que la pregunta secreta simplemente porque implementa la autenticación de 2 factores; En igualdad de condiciones, 2FA (contraseña + código a través de SMS, contraseña + token RSA SecurID, etc.) siempre es más seguro que una simple contraseña.

Por otra parte, la infame "pregunta secreta", que a menudo ofrecen los servicios web como una mejora de seguridad similar a 2FA, no solo no ofrece ninguna mejora con respecto a una contraseña, sino que también reduce la seguridad. Esto se debe a que las respuestas secretas tienen mucho menos entropía ("¿Cuál es tu color favorito?") Y están sujetas a ser adivinadas ("¿Cuál era el nombre de tu escuela secundaria?").

El hecho de que su banco le permita omitir 2FA a través de una cookie se hace para mejorar la accesibilidad del usuario (de alguna manera marca su computadora como "segura", por lo que todos los inicios de sesión posteriores se harán a través de una contraseña simple). Podría ser un riesgo de seguridad si su computadora portátil es robada o infectada con un troyano. Personalmente, le recomiendo que borre las cookies después de cada sesión para que se vea obligado a autenticarse siempre a través de 2FA.

    
respondido por el dr01 15.08.2015 - 16:54
fuente

Lea otras preguntas en las etiquetas