Authy: ¿El modo de dispositivos múltiples implica que todas las claves se almacenan en sus servidores?

6

Tengo entendido que si usa Authy, sin opciones de copias de seguridad / dispositivos múltiples, ninguna de sus claves de cuenta se almacenará en sus servidores. Todo reside en su único dispositivo.

Es decir, incluso si los servidores Authy son pirateados y todos sus datos están comprometidos, y el atacante conoce su contraseña de Gmail, no podrá acceder a su cuenta de Gmail porque no conoce sus "claves de Google 2FA".

Si usa el modo de múltiples dispositivos en Authy, ¿sigue siendo cierto?

Leyendo la publicación de su blog ( enlace ) y la descripción de la funcionalidad, sospecho que no. Para que sus dispositivos múltiples se sincronicen entre sí, sus servidores backend deberán conocer su clave de gmail 2FA y redistribuirla a todos sus dispositivos según sea necesario. Esto implica que si sus servidores son pirateados y sus datos se ven comprometidos, su cuenta de gmail también se verá comprometida.

¿Mi suposición es precisa? Si un atacante conoce mi contraseña de gmail y también puede piratear el servidor / base de datos de Authy, y estoy usando la opción de múltiples dispositivos, ¿el pirata informático podría acceder a mi cuenta de gmail?

    
pregunta RvPr 15.08.2015 - 22:06
fuente

4 respuestas

5

Al menos en las últimas versiones de tokens de autenticador de aplicaciones para Android de Authy, como su TOTP de Gmail, se envían a api.authy.com solo después de que se cifró con una clave AES derivada de su contraseña de respaldo y un archivo sal generado de forma aleatoria usando PBKDF2. / p>

De acuerdo con esta fuente información enviada desde la API a Su teléfono móvil tiene el siguiente formato:

 {
 "account_type": "gmail", 
 "encrypted_seed": "UZNL+UPVK+5RYUoBlhkuQzCcOb3nMdYxKGFmHEZ4TMxTX7MOPJUayQAMDVJ", 
 "name": "My Gmail Account", 
 "original_name": "Google:[email protected]", 
 "salt": "N2QqyJrn7cOHBqTY32uY1cL4IHCANm", 
 "unique_id": "0000000000"
 }, 

En otras palabras, su semilla secreta de Gmail TOTP debe estar a salvo con Authy, incluso si se ven comprometidos y la base de datos está filtrada.

    
respondido por el andres.riancho 03.02.2016 - 18:43
fuente
1

Primero, recuerda que Authy te permite usar cualquier token TOTP (como el autenticador de Google), pero también ofrecen su propio método 2FA propietario. En el método de Authy, el proveedor de la cuenta debe integrar Authy en su mecanismo de autenticación, no solo implementar el estándar TOTP. En este método, Authy emite las semillas, y esto también les permite admitir notificaciones automáticas cuando intenta iniciar sesión en una de sus cuentas que utiliza este método.

Por lo tanto, para los dispositivos múltiples que utilizan el método Authy, no es necesario compartir la semilla porque solo pueden emitir uno nuevo. Pero para una cuenta TOTP, no pueden emitir una nueva semilla, el proveedor de la cuenta tiene que hacer eso. Por lo tanto, su solución es almacenarlos para usted en sus servidores, encriptados por lo que ellos llaman su contraseña de respaldo.

(Esto es también lo que te permite recuperar tus tokens si pierdes tu dispositivo).

Así que, vean, de todas formas los estaban almacenando si tenía las copias de seguridad habilitadas. Si no desea que almacenen esas semillas, puede desactivar las copias de seguridad y los dispositivos múltiples, pero ¿para qué usar Authy sobre Autenticador de Google? Incluso si los servidores de Authy están comprometidos, usted sigue siendo la única persona que conoce su contraseña de respaldo (que es de esperar que sea única). Es un sistema IMO bastante bueno.

    
respondido por el NReilingh 14.05.2016 - 17:09
fuente
0

Desde la propia publicación del blog, afirman que, a diferencia de Google Authenticator, el sistema Authy en realidad genera nuevas claves separadas para cada dispositivo. Como tal, no veo ninguna razón para que necesiten almacenarlos, por lo que un atacante que comprometa su base de datos no debería poder acceder a ellos.

Un atacante que haya comprometido uno de sus dispositivos tendría acceso a un conjunto de claves exclusivo de ese dispositivo. Una vez que haya revocado esas claves, no deberían tener acceso.

    
respondido por el coffeefueled 18.08.2015 - 12:52
fuente
0

Consulte su publicación del blog para obtener más información al respecto. Al parecer, todo el cifrado y descifrado ocurre en el dispositivo, no en la nube. Las claves semilla cifradas, los IV distintos que se utilizan para cifrar cada clave y el Salt utilizado para cifrar la contraseña de respaldo (y posiblemente otra información sobre el mecanismo de hashing utilizado) se transmiten al servidor. Si los usuarios olvidan su contraseña de respaldo, no podrán descifrar sus claves importadas en un dispositivo nuevo.

    
respondido por el Chandrakanth Narreddy 24.04.2017 - 12:01
fuente

Lea otras preguntas en las etiquetas