¿Cómo resolver la condición de carrera en soluciones de autenticación de 2 factores como los tokens de seguridad RSA o el autenticador de Google?

6

Una de las razones por las que optamos por usar la autenticación de 2 factores es para minimizar el impacto de los keyloggers. La teoría es que incluso si un atacante puede observar el tipo de usuario en los números de token, no podría usar esta información, ya que la naturaleza de las contraseñas de un solo uso impide su reutilización. Sin embargo, si un atacante puede observar las pulsaciones de teclas en tiempo real, siempre habrá un pequeño período de tiempo entre el momento en que se escriben los dígitos del token y cuando se presiona el botón "Enter". Una herramienta de ataque puede ser fácilmente programada para aprovechar este retraso para autenticarse en nombre del atacante.

Sé que los yubikeys envían "Enter" como parte de la cadena de caracteres que envían, pero ¿cómo resolver esto para los tokens RSA y Google Authenticator? ¿Hay alguna solución?

    
pregunta mricon 04.01.2013 - 15:56
fuente

1 respuesta

8

No realmente, en ese momento estás tratando con un cliente comprometido y casi todas las apuestas están canceladas. Lo mejor que puede hacer es asegurarse de que el usuario esté al tanto de la falla, lo que (con suerte) resultará en que haga preguntas o vuelva a intentarlo. Cuando un usuario se conecta, el usuario anterior debe ser iniciado. Esto debería hacer que un usuario legítimo sea consciente del problema, incluso si no lo entiende.

Además, si un cliente está tan comprometido, es probable que no haya necesidad de una condición de carrera, el atacante podría simplemente usar el cliente comprometido que el usuario está utilizando legítimamente como el punto de lanzamiento de sus acciones nefastas. Esto no activaría ninguna alarma ya que tanto lo bueno como lo malo provienen del mismo cliente.

    
respondido por el AJ Henderson 04.01.2013 - 16:07
fuente

Lea otras preguntas en las etiquetas