¿Cuáles son las ventajas de la autenticación multinivel?

Si toda la autenticación se realiza al ingresar las contraseñas en el mismo dispositivo (su cliente de escritorio), entonces, sí, los registradores de pulsaciones de teclas seguirán siendo un problema. Tenga en cuenta que cuando se separan los sistemas de autenticación, también se abren opciones para ir a la autenticación multifactor, si no ahora, en el futuro, donde podría usar tokens, teclados separados, etc., lo que podría limitar un simple la capacidad del registrador clave para obtener el privilegio de acceso alto.

Hombre en el medio : si el hombre en el medio está en el medio para ambos niveles de autorización, entonces sí, ese es un problema. Pero la mayoría de las veces me hubiera sorprendido descubrir que ambos tomaron el mismo camino. Así que si estás hablando de navegación web, posiblemente. Pero si se trata de acceso al host, entonces acceda a algo en la red: puede estar hablando de dos caminos, y el hombre del medio necesitará acceso a ambos.

Ingeniería social (incluido el phishing) : por lo general, la autenticación multinivel viene con varias rondas de capacitación. En el caso de una cuenta de administrador y una cuenta de empleado regular, los empleados generalmente reciben una sesión de capacitación aburrida sobre la importancia de la seguridad, que puede o no ser efectiva. Muy a menudo, los administradores con cuentas de alto riesgo reciben una ronda secundaria de capacitación más puntiaguda, y más en la línea de "arruinar esto de una manera grande y descuidada, y lo despedirán". Al dar y separar la contraseña, a menudo es más fácil, administrativamente, hacer cumplir esto.

Otras ventajas:

Procesos de seguridad separados : con dos niveles de contraseñas, existe la opción de permitir que el almacenamiento de contraseñas de bajo nivel se comprometa por el lado de la disponibilidad, mientras que el almacén de contraseñas de alto riesgo tiende a la privacidad. Por ejemplo:

• el nivel bajo puede proporcionar servicios de federación, acceso remoto, servicios compatibles con dispositivos que no pertenecen a la empresa, etc. El almacén de alto nivel puede requerir acceso físico al edificio, capacidades de cifrado que no están disponibles en todos los dispositivos, y calidad de contraseña de alto grado.

• almacenamiento separado, tanto en vivo como en copia de seguridad y en el registro. Un sistema de gama alta puede requerir una copia de seguridad en cinta encriptada, registros de auditoría almacenados de manera segura durante un cierto período de tiempo; poder separar totalmente la infraestructura puede ser muy útil aquí. El almacenamiento de gama alta es costoso, por lo que menos para almacenar es una gran ganancia.

• monitoreo de acceso - monitoreo en vivo de intentos de acceso - un sistema en la parte frontal de una infraestructura puede invocar tantos intentos de fuerza bruta al día que no se preocupe por eso hasta que se convierta en un DDOS. Un sistema anidado profundamente dentro de la infraestructura puede ser una preocupación seria cada vez que la detección de intrusos levanta una bandera. El monitoreo de acceso puede tener personal diferente, monitorearse de manera diferente y reaccionar de manera diferente.

Probablemente podría soñar un poco más ... pero la mayoría de los resultados que obtuve como BIG es desde una perspectiva organizativa a gran escala, donde el foco no está solo en el usuario individual y su máquina final, sino en el sistema. en general, y la necesidad de comerciar costo vs. riesgo.

La necesidad de una contraseña adicional para autorizar operaciones críticas es una buena adición al nombre de usuario habitual y las credenciales de contraseña. Analicemos los riesgos en función de sus temores.

• Phishing : las contraseñas adicionales mantienen su efectividad solo si no se filtran a lo largo de la principal. Lamentablemente, los usuarios que insertan todos sus 30 códigos operativos en una sola página de phishing no son desconocidos.
• Registro de teclas y Man in the Middle : si la aplicación requiere una única contraseña adicional, el ataque por parte de un atacante comprometerá la cuenta. De lo contrario, si hay varias contraseñas, entonces el atacante tendrá que adquirir suficientes para ser realmente efectivo.

Una contraseña adicional única no proporciona mucha mejora respecto a la seguridad, pero aún así es una característica bienvenida. Para aumentar la seguridad de la autenticación completa, un segundo factor (por ejemplo, un token) es una opción mucho mejor. Si no es posible agregar un token, la mejor opción es múltiples .

Solo agregaré esto porque aún no se ha mencionado:

Requerir una nueva autenticación para realizar acciones especiales (el ejemplo arquetípico sería cambiar la contraseña) puede proteger contra ataques CSRF .

Digamos que estabas chateando en nuestra sala de chat aquí , y publiqué una imagen como:

<img src="http://example.com/change_password?new_password=1234" />

Su navegador visitaría esa URL y pasaría en sentido ascendente las cookies que tenga, incluida la clave de su sesión. Si una simple solicitud GET era todo lo que example.com requería para cambiar la contraseña del usuario que ha iniciado sesión actualmente, su contraseña se cambiaría sin su conocimiento. Todo lo que verías es una imagen rota en el chat.

Adición de una nueva autenticación, como:

http://example.com/change_password?current_password=abcd&new_password=1234

Hace que me sea imposible generar la URL sin saber su contraseña actual.

Esto no lo protegería si el atacante lograra obtener la contraseña, al igual que cualquier otro tipo de autenticación protegida por contraseña.

Agrega un buen cheque extra, me gustan estos tipos de cheques cuando se hacen compras. La PSN (Playstation Network) tiene esto como una opción para evitar que otras personas realicen compras en la tienda y realicen otros cambios en la cuenta, esto es opcional pero puede ser una buena forma de proteger las cosas.

Si el nombre de usuario y la contraseña son diferentes para la acción de mayor seguridad y la acción es rara, entonces reduce considerablemente el área de superficie para atacar las credenciales secundarias, ya que se usan con menos frecuencia. Sería mucho más fácil, por ejemplo, configurar un sitio de phishing para el inicio de sesión principal, pero mucho más complicado mantenerlos creíblemente en el sitio de phishing hasta que lleguen al inicio de sesión secundario para la actividad segura.

Tenga en cuenta que todavía podría ser posible, pero eleva considerablemente la barra técnica. También ofrece al usuario una opción para evitar el uso de su contraseña segura en sistemas no confiables. Digamos, por ejemplo, que quería iniciar sesión en mi cuenta de Google en un sistema público para acceder a mi GMail. Sería bueno si pudiera tener una contraseña secundaria para mi Google Wallet, de modo que si la máquina a la que estoy accediendo GMail está comprometida, el atacante solo puede acceder a mi correo electrónico en lugar de a mis finanzas.