AWS se negó a darme detalles sobre el procedimiento de restablecimiento de autenticación multifactor

Question

AWS se negó a darme detalles sobre el procedimiento de restablecimiento de autenticación multifactor

#1 de Tim (2 votos)
#2 de grochmal (0 votos)

6

Le pregunté a AWS:

¿Cómo recupero el acceso a la cuenta de AWS en caso de que perdiera el dispositivo con Google Authenticator instalado?
En caso de que mi correo electrónico fuera hackeado, ¿qué evitará que un pirata informático elimine MFA?

Su respuesta esencialmente fue:

enlace

Al rellenar el formulario, hay un equipo especializado (no de   Soporte Premium) lo contactará vía telefónica SOLAMENTE dentro de los 15 minutos para   Verifique su identidad y propiedad de esta cuenta. Tienen una muy   Procedimientos estrictos a seguir antes de eliminar MFA de la raíz.   cuenta. Cualquier respuesta incorrecta para sus preguntas resultará   rechazar esta solicitud y finalizar la llamada telefónica.

Como necesito saber cómo funciona el proceso de verificación para proteger la información requerida, pedí más detalles. Después de algunas respuestas, su respuesta final fue:

Sabemos que los clientes se preocupan mucho por la privacidad y la seguridad de los datos, y   Es por eso que nuestros clientes mantienen el control de la seguridad que eligen.   implementar para proteger su propio contenido, plataforma, aplicaciones,   Sistemas y redes, no diferentes de lo que lo harían para aplicaciones.   en un centro de datos en el sitio. La divulgación de nuestros procesos viola nuestra privacidad.   y políticas de seguridad. Le recomendamos que consulte los recursos en el   Sitio de AWS para las mejores prácticas para proteger su cuenta, según lo previsto   Anteriormente, incluido el blog de seguridad de AWS:    enlace

Gracias por su comprensión.

¿Por qué no hacen que el proceso de verificación sea transparente? De lo contrario, ¿no es algún tipo de seguridad en la oscuridad?

¿Qué puedo hacer para asegurarme de que no quede bloqueado de mi cuenta raíz de AWS?

¿Cómo asegurarse de que el pirata informático que rompió la primera capa de autenticación no pueda restablecer MFA?

multi-factor amazon

pregunta Oleg M 29.12.2016 - 21:44

fuente

2 respuestas

Lea otras preguntas en las etiquetas multi-factor amazon

Exploit solo funciona en gdb ¿Por qué Youtube, o cualquier otro servicio de Google, utiliza la clave de autorización vinculada a la cuenta en el URL?

score 2 · Answer 1

AWS ya respondió a su pregunta sobre la transparencia

La divulgación de nuestros procesos viola nuestras políticas de privacidad y seguridad.

Para evitar ser bloqueado de su cuenta de root, haga una copia de seguridad de sus dos tokens de factor de autenticación. Esto será específico para la solución que utilice.

Si usa la aplicación Authy para la autenticación de dos factores, puede hacer una copia de seguridad de sus inicios de sesión de dos factores, así como también ponerlos a disposición en múltiples dispositivos. Authy está protegido por una contraseña.

Con respecto a su pregunta "¿Cómo asegurarse de que el pirata informático que rompió la primera capa de autenticación no pueda restablecer el MFA?"

La autenticación de dos factores significa que el pirata informático no puede acceder a su sitio web sin su teléfono o token, o en el caso de Authy, sin los detalles de la cuenta authy. Este es el punto central de 2FA: algo que sabes (contraseña) y algo que tienes (token).

score 0 · Answer 2

Cuando llene el formulario, hay un equipo especializado (que no es de Soporte Premium) lo contactará SOLAMENTE por teléfono dentro de los 15 minutos para verificar su identidad y la propiedad de esta cuenta. Tienen procedimientos muy estrictos que deben seguirse antes de eliminar MFA de la cuenta raíz. Cualquier respuesta incorrecta a sus preguntas dará como resultado el rechazo de esta solicitud y la finalización de la llamada telefónica.

Los errores gramaticales en esta cita me hacen preguntarme exactamente quién te dio esa respuesta. Confío en que la página web de Amazon sobre la recuperación de su MFA indica una mejor cita:

Por favor, infórmenos sobre el problema que está experimentando con su dispositivo MFA y proporcione el número de teléfono que podemos usar para contactarlo. Le llamaremos dentro de los 15 minutos posteriores a su solicitud de asistencia.

Y errores de ortografía a veces son buenos indicadores .

Sin embargo,

¿Por qué no hacen que el proceso de verificación sea transparente? De lo contrario, ¿no es algún tipo de seguridad en la oscuridad?

La respuesta a eso debería ser realmente "¿por qué no?". Podría ser seguridad a través de la oscuridad, pero lo más probable es que sea un proceso que está cambiando demasiado rápido para documentarlo ampliamente. En otras palabras, AWS aún está trabajando en el proceso mediante el cual se puede recuperar un MFA, y documentarlo solo le daría más trabajo para seguir documentando cada cambio.

(a menudo estoy en contacto con un equipo de pentest en AWS (dentro de un pub los viernes la mayoría del tiempo, pero eso todavía cuenta) y puedo adivinar que es mucho más probable que el laater.)

¿Qué puedo hacer para asegurarme de que no quede bloqueado de mi cuenta raíz de AWS?

En la misma página ve un formulario para solicitarlo a los administradores de AWS, que hablarán con usted y verifica tu identidad. Si logran verificar su identidad (es decir, usted logra demostrar que usted es uno mismo), redirigirán una parte de la autenticación multifactor.

¿Cómo asegurarse de que el pirata informático que rompió la primera capa de autenticación no pueda restablecer MFA?

Suponiendo que un pirata informático que rompió la primera parte de la MFA informaría que su dispositivo fue robado, lo primero que haría un administrador / operador de AWS sería llamar al dispositivo. Si respondes al dispositivo, es una pregunta si eres más capaz de demostrar que eres tú mismo o que un pirata informático es capaz de demostrar que él es tú. Eso puede parecer algo fácil para un hacker, pero no es tan fácil, después de todo:

¿Durante cuánto tiempo tiene su cuenta de AWS?
¿Con qué frecuencia inicia sesión en la interfaz web?
¿Cuántas máquinas EC-2 se están ejecutando actualmente en esta cuenta?
...

Así que sí, como ya dijo @Tim, ese es el punto central de la AMF: algo que sabes y algo que tienes. Esto, extendido a más cosas que puede saber / no tener (por ejemplo, el dispositivo "robado" que se informó) puede hacer una buena identificación.

Además, si la cuenta de AWS es muy importante (por ejemplo, usted es el administrador principal del IAM para su organización) puede elegir y opción MFA con el hardware proporcionado por Amazon . Luego se convierte en una autenticación de 3 factores: contraseña, teléfono inteligente con aplicación y un llavero. Si logras perder el teléfono inteligente y el llavero al mismo tiempo, debes ser particularmente desafortunado.