¿Es seguro almacenar una semilla de autenticación de dos factores en un administrador de contraseñas?

6

Me pregunto si es realmente seguro almacenar el código inicial de autenticación de dos factores (por ejemplo, la clave secreta para TOTP) dentro de un administrador de contraseñas junto con el usuario y la contraseña para el servicio.

Si alguien obtiene acceso a la base de datos de contraseñas desencriptadas (por ejemplo, mientras el administrador de contraseñas está desbloqueado o forzando la contraseña maestra), el atacante también tiene acceso al token TOTP, que hace que la autenticación de dos factores sea bastante inútil.

En mi opinión, almacenar el código de autenticación de dos factores en el administrador de contraseñas es más que seguro.

    
pregunta Programie 05.02.2017 - 17:47
fuente

2 respuestas

6

Suponiendo que se refiere al código de inicialización para una serie 2FA dada, como es el caso cuando se configura por primera vez un generador TOTP para un servicio específico, entonces sí, no es ideal almacenarlo con los otros detalles de inicio de sesión.

Como usted dice, si alguien tuviera acceso seguro a la contraseña, podría iniciar sesión sin ningún problema utilizando su propio generador TOTP con las mismas inicializaciones.

Si quisiera mantener los valores de inicialización de 2FA, una segunda contraseña segura, separada de su día a día no sería una idea terrible, ¡pero no querría mantener la contraseña en la caja fuerte principal! Dado que solo debe requerir los valores con poca frecuencia, no es necesario que sean tan accesibles. Incluso una impresión en una caja fuerte puede ser aceptable.

Algunos servicios le permiten generar códigos de un solo uso para recuperar el acceso a su cuenta en caso de pérdida o falla del dispositivo 2FA. En ese caso, probablemente sea mejor confiar en ellos, en lugar de mantener los valores de inicialización alrededor, ya que generalmente no pueden usarse para obtener acceso sin que se envíe una notificación.

    
respondido por el Matthew 05.02.2017 - 22:45
fuente
2

No creo que sea una idea tan mala como supones. Piense acerca de las amenazas contra las que está tratando de protegerse mediante el uso de TOTP, y piense en qué escenarios de ataque se hacen más fáciles (o no) si almacena la semilla TOTP en su contraseña segura.

Con la semilla en su base de datos de contraseñas, TOTP seguirá protegiéndose contra:

  • Violaciones de la contraseña del sitio web donde tiene su cuenta
  • Registradores de teclas en computadoras que no son de confianza (en las que asumo , no ejecutará su administrador de contraseñas, sino que leerá una contraseña de un dispositivo confiable y la escribirá manualmente)
  • Capturas de red en redes WiFi abiertas, etc.
  • Phishing / ingeniería social de you , el usuario

Las cosas que NO están protegidas incluyen:

  • Ingeniería social del servicio al cliente / soporte técnico del propietario del sitio web
  • Una base de datos de contraseñas robadas y una contraseña maestra

El primer caso no puede ser ayudado sin importar dónde esté almacenada su semilla TOTP. El segundo caso merece alguna consideración adicional. Específicamente, ¿cómo pueden violarse su base de datos y contraseña maestra? O bien:

  • El atacante obtiene una copia de su base de datos del almacenamiento en la nube, o una copia de seguridad descartada, y rompe su contraseña maestra. Una contraseña maestra fuerte (más de 80 bits de entropía) y una implementación segura de un KDF por parte de los desarrolladores del administrador de contraseñas deberían evitar completamente este ataque.
  • El atacante coloca malware en su máquina, que está diseñado específicamente para dirigirse a su administrador de contraseñas. Pero considere: si tiene este tipo de malware en su máquina, ¿por qué no escribir malware para secuestrar una sesión del navegador? ¿O forzar la instalación de una extensión de navegador para robar toda la información deseada? ¿O instalar un certificado personalizado para permitir un ataque MITM? ¡Una extensión del navegador incluso podría mostrar páginas para que parezca que simplemente inicias sesión nuevamente en el sitio, mientras que en realidad estás proporcionando las credenciales necesarias para desactivar 2FA por completo!

Ahora, algunas advertencias: hay un malware ya hecho (o al menos un código de prueba de concepto) que ya puede apuntar a administradores de contraseñas específicas. No tengo conocimiento de ningún malware preparado que tome control de forma interactiva de una cuenta para deshabilitar 2FA.

Pero el punto es que el escenario único en el que la semilla TOTP le causa problemas, es un escenario que también causa problemas incluso si su semilla TOTP se almacenó en otro lugar . Teniendo esto en cuenta, no he visto ningún argumento convincente para no mantener el código TOTP en mi administrador de contraseñas, especialmente para los administradores de contraseñas que pueden usar la semilla TOTP para generar los códigos para usted en lugar de Autenticador, Authy, etc. p>     

respondido por el Ben 09.02.2017 - 17:58
fuente

Lea otras preguntas en las etiquetas