¿Cuáles son las debilidades de mi esquema de autenticación?

Navega tus respuestas
6

Así que, recientemente, después de pasar por un poco de capacitación en infosec (la Introducción a la Seguridad Cibernética de FutureLearn, que recomiendo ampliamente como material para principiantes bien explicado), decidí dar el paso y finalmente aumentar la seguridad de mi autenticación en la protección con contraseña. sistemas informaticos Mis objetivos eran ...

  • Utilice contraseñas únicas para todos los servicios protegidos por contraseña a los que tengo acceso
  • Hágalos tan resistentes a las adivinanzas, la fuerza bruta y los ataques de diccionario como sea prácticamente factible
  • Use la autenticación de dos factores basada en algo que tengo siempre que sea posible.
  • Evite confiar demasiado en la disponibilidad de una computadora específica (por ejemplo, un teléfono celular), un objeto o un servicio (por ejemplo, cobertura de red), básicamente cosas que pueden romperse y ser robadas fácilmente
  • Automatice cualquier tipo de sincronización de datos que se requiera

Se me ocurrió un esquema con el que estoy bastante satisfecho, pero me gustaría consultar con alguien más experimentado que entiendo sus puntos fuertes y débiles. Y aquí es donde necesito su ayuda experta, si tiene algo de tiempo para ayudarme con eso. Por supuesto, siéntase libre de reutilizar ese procedimiento por usted mismo, no hay derechos de autor en él.

Así que aquí va:

  1. En el caso general donde tengo acceso a una computadora de confianza con una conexión a Internet y un puerto USB, uso LastPass para generar, administrar y sincronizar contraseñas aleatorias por servicio, con una contraseña maestra fuerte y un Yubikey como segundo Factor de autentificación. 2FA está habilitado para servicios que lo soportan de una manera sana.
  2. Para los casos en que las computadoras confiables o las conexiones de red no están disponibles, también configuré Lastpass para que acepte inicios de sesión sin conexión en mi teléfono celular, usando solo la contraseña maestra. La autenticación de dos factores se mantiene configurando Lastpass para que solo acepte inicios de sesión en línea desde el UUID de este teléfono.
  3. Finalmente, para iniciar sesión en las sesiones de computadora, incluido mi teléfono celular, elegí asumir la disponibilidad de ninguna herramienta de software y usar frases de contraseña. Estas frases de contraseña se generan en mi cabeza según la identificación del servicio y cosas que son tan ridículas que lo recordaré. Ejemplos falsos de esto podrían ser "¡HeyAmigo! IDonQuichoteDemandAccessToThisMac" u "¡OMG! ¡Raptors! ¡Para el sistema UNIX!".

Ahora, ningún sistema es perfectamente seguro, por supuesto, es por eso que quería asegurarme de entender dónde se encuentran los puntos débiles de este esquema de autenticación:

  • Al igual que con cualquier administrador de contraseñas, debo elegir una contraseña maestra muy buena para LastPass, ya que el incentivo para descifrarla es alto.
  • Necesito confiar en que el cliente LastPass esté seguro en cualquier plataforma, en el sentido de trabajar como lo anuncian (por ejemplo, generar contraseñas verdaderamente aleatorias) y no filtrar datos confidenciales.
  • Necesito confiar en que el esquema de acceso de solo escritura de mi YubiKey sea efectivo y que los servidores de Yubico no pierdan mi clave AES, para que la autenticación de YubiKey permanezca segura.
  • Mis computadoras de confianza, incluido mi teléfono celular, deben estar libres de registradores de teclas y otros tipos de malware que podrían interceptar las contraseñas de servicio y maestras de LastPass.
  • El mecanismo UUID del teléfono celular de LastPass, para el cual no he encontrado documentación técnica, debe ser seguro: las ID deben ser realmente únicas, y forjarlas debe ser inviable.
  • Mi mecanismo de frase de contraseña de inicio de sesión es probablemente menos seguro que las contraseñas generadas aleatoriamente que uso en otros lugares. Con frases de contraseña largas (10 palabras o más, incluidas las poco comunes), confío en que sea invulnerable a los ataques de fuerza bruta y diccionario, pero puede ser vulnerable a las suposiciones de alguien que me conoce. Por lo tanto, puede estar lo suficientemente reforzado para el inicio de sesión local, donde también tengo un segundo factor de autenticación (acceso físico a la máquina), pero para el acceso remoto tal vez quiera algo más fuerte.

¿Crees que lo entendí bien o ves otro punto débil en mi esquema de autenticación del que me gustaría ser cauteloso y tratar de endurecerme en el futuro?

    
pregunta Hadrien G. 06.11.2014 - 14:33
fuente

2 respuestas

4

El UUID de su teléfono celular no es un segundo factor significativo, ya que puede ser falsificado.

En las contraseñas largas, es razonablemente seguro usar contraseñas largas basadas en oraciones, pero la cantidad de seguridad provista se reduce de forma RÁPIDA si tiene algo que ver con lo que se está conectando. Puede parecer difícil de adivinar, pero establecer una relación en lugar de una pura entropía significa que hay un grupo MUCHO más pequeño de posibles contraseñas para elegir. Esto es malo para la seguridad de la contraseña. Incluso si solo lo reduce a unos pocos millones de posibilidades, todavía es fácil de usar con fuerza bruta.

    
respondido por el AJ Henderson 06.11.2014 - 16:02
fuente
2

Lo hago de forma muy similar, y según mi forma de ver, hay dos puntos potenciales principales de falla y realmente no tengo una buena solución para uno de ellos.

El primer riesgo importante es que el propio LastPass se piratee y se descarguen los datos. Mientras que los datos se cifran localmente, mi contraseña utilizada para cifrar esos datos no es muy segura. LastPass ha reconocido que ingresando una contraseña segura cada. soltero. hora. para acceder a su bóveda puede ser un PITA, por lo que ahora tienen ese código PIN opcional para acceder a una sesión abierta.

El PIN no se usa para el cifrado, solo para acceder a su sesión. Así que mi débil contraseña maestra de Lastpass es un problema personal que aún no he solucionado. También uso multifactor con ciertas computadoras confiables, que no funcionan completamente en mi computadora portátil con Windows 8, lo cual es molesto.

Puedes ajustar la camilla en la configuración de tu bóveda, aumentar las repeticiones y posiblemente cambiar el alg aunque sea un poco borroso.

De todos modos, el primer riesgo importante no es realmente relevante para usted sino para aquellos como yo con contraseñas maestras débiles. Es necesario actualizarlos con contraseñas maestras seguras y habilitar el código PIN.

El otro riesgo importante no está en sus datos sino en su capacidad para acceder a sus datos. Si pierdes tu yubikey y tu teléfono al mismo tiempo en la playa o algo así, y no tienes una computadora portátil confiable en el hotel, te encontrarás con algunos malos momentos.

Para mí, mi teléfono también es mi autenticador, así que todo lo que tengo que hacer es perder mi teléfono y SOL, espero que no esté de vacaciones.

Para esto, hay opciones muy limitadas en las que puedo pensar. Mi solución es tener mi portátil con Windows también como un dispositivo confiable con Lastpass y google-auth en él.

Si se pierden ambos dispositivos, el gran problema es el acceso a mi cuenta de correo electrónico que protege a Lastpass, que también está protegida por mi autenticador.

Google admite contraseñas de uso único para imprimir, que tengo algunas en casa, pero eso no me ayuda en la playa.

He considerado obtener un teléfono de línea de vida con grabadora para mantener en todo momento vehículos de alquiler / habitaciones de hotel, pero cuando se trata de recuperarse de dispositivos perdidos o robados en el extranjero, no tengo una solución infalible. . Se reduce a poder acceder a su información desde un dispositivo que no es de confianza sin ninguna de sus herramientas de múltiples factores, que es exactamente lo que están diseñados para evitar.

    
respondido por el Andrew Hoffman 06.11.2014 - 17:45
fuente

Lea otras preguntas en las etiquetas

¿Por qué es VeraCrypt más seguro que TrueCrypt? ¿Las tarjetas de regalo VISA no se pueden rastrear?