Estoy usando 1password y he visto que 1password te permite almacenar tokens 2FA en el mismo lugar donde guardas la contraseña.
No me gusta la idea de tener todo en el mismo lugar, ya que si alguien robara mi contraseña de 1password, podría acceder a mi cuenta y obtener tanto la contraseña como los tokens de seguridad. En realidad, estoy usando Google Auth para 2FA y 1password para las contraseñas.
¿Es una buena idea mantenerlos separados para aumentar la seguridad? ¿Tiene algún sentido?
El punto entero de tener un segundo factor para la autenticación es protegerlo en los casos en que el primer factor (contraseñas) ya haya fallado. Por lo tanto, almacenar sus tokens 2FA en el mismo lugar donde almacena sus contraseñas hace que sean significativamente menos efectivas.
Combine eso con el hecho de que los administradores de contraseñas (usados correctamente, con contraseñas generadas aleatoriamente separadas para cada cuenta) ya lo protegen de muchas de las mismas amenazas que hacen los tokens 2FA (como los ataques de fuerza bruta y relleno de credenciales) y comienzo para preguntar por qué se molestaría con 2FA si va a almacenar los tokens de esta manera.
Dicho esto, hay algunos escenarios donde una parte maliciosa podría robar una sola contraseña de su administrador de contraseñas sin comprometer toda la base de datos de contraseñas:
Si no está preocupado por la posibilidad de que su base de datos de contraseñas se vea comprometida y los vectores de amenazas que se enumeran anteriormente suenan verosímiles y lo suficientemente serios para que valga la pena el paso adicional de tener que ingresar un código 2FA cada vez que inicie sesión. , entonces ve por ello. De lo contrario, es posible que desee almacenar sus códigos 2FA por separado de su base de datos de contraseñas, o renunciar al uso de tokens 2FA basados en HOTP / TOTP en favor de los tokens U2F o WebAuthn que ofrecen una mayor protección.
Yo trabajo para 1Password y escribí exactamente sobre esta pregunta cuando introdujimos la característica.
La respuesta depende de las propiedades de seguridad que realmente desee de TOTP. La "segunda realidad" de TOTP es una de las varias propiedades de seguridad que ofrece, y puede ser la menos importante en muchos casos. No se deje engañar porque todo esto se incluye en el término "2FA", como si ese fuera el único beneficio de seguridad que obtiene de estos esquemas.
Por lo tanto, voy a enumerar algunas de las propiedades de seguridad que obtienes con TOTP y las contrastaré con el uso de contraseña típico .
El secreto a largo plazo no se transmite durante la autenticación. Con TOTP, obtenga un secreto a largo plazo que solo se transmite (generalmente el código QR) cuando se inscribe. El secreto a largo plazo no se transmite cuando se usa realmente. (Esto es a diferencia del uso típico de contraseñas donde la contraseña se transmite a través de la red y, por lo tanto, depende de otras protecciones, como TLS). Esto también significa que el secreto a largo plazo no se puede eliminar (aunque los códigos numéricos pueden ser).
El secreto a largo plazo es indiscutible . El secreto a largo plazo lo genera el servidor cuando se inscribe por primera vez, por lo que se genera según los estándares de aleatoriedad del servicio. Nuevamente, esto es diferente al uso típico de contraseñas con contraseñas creadas por humanos.
El secreto a largo plazo es único. No terminará reutilizando el mismo secreto a largo plazo de TOTP en varios servicios. Nuevamente, esto es diferente al uso típico de contraseñas, donde las personas reutilizan contraseñas.
Oh, sí. Y pones el secreto a largo plazo en "algo que tienes", si por alguna razón eso es importante para ti.
En la mayoría de los casos en los que se implementa TOTP, se hace así debido a las propiedades # 2 (unguessability) y # 3 (uniqueness). De hecho, cuando Dropbox introdujo TOTP en sus servicios, deletreado explica sus razones para ayudar a proteger a los usuarios que reutilizaron contraseñas.
Después de la singularidad y la indecisión de los secretos a largo plazo, el siguiente beneficio más importante (para la mayoría de las personas) es que el secreto a largo plazo no se transmite. Esto hace que sea más difícil de capturar en una red comprometida.
Probablemente, la menos importante de las propiedades de seguridad que nos brinda TOTP es la segunda realidad. No estoy diciendo que no haya beneficios, pero para los casos en que la mayoría de las personas usan TOTP, es probablemente el menos importante.
En lo anterior, enumeré cuatro propiedades de seguridad de TOTP y las contrasté con el uso típico de contraseña. Pero ahora consideremos a alguien que está utilizando un administrador de contraseñas en todo su potencial. Si está utilizando un administrador de contraseñas bien para algún sitio o servicio4, tendrá una contraseña generada aleatoriamente (y, por lo tanto, impensable) para ese sitio y tendrá una contraseña única para ese sitio. Y así, el uso de TOTP realmente no agrega mucho en términos de esas dos propiedades de seguridad.
Si observamos la propiedad # 1 (el secreto a largo plazo no se transmite), TOTP aún ofrece cierta seguridad adicional, incluso si está utilizando un administrador de contraseñas. Sin embargo, el uso de un administrador de contraseñas reduce la posibilidad de realizar phishing, por lo que la ganancia de TOTP, si bien es real, no es tan grande como lo sería para alguien que no usa un administrador de contraseñas.
Lo único que queda es el # 4. Si las dos circunstancias realmente son la razón por la que valoras el TOTP, entonces no mantengas el secreto a largo plazo en 1Password. Pero para la mayoría de las personas, el valor de TOTP proviene de tener un secreto fuerte y único a largo plazo que nunca se transmite.
Le recomiendo que evalúe lo que realmente obtiene de TOTP (en lugar de quedar atrapado en toda la retórica de 2FA), y luego considere las compensaciones. Apuesto a que si cosas como TOTP se llamaran "Autenticación secreta única" en lugar de "Autenticación de dos factores", la pregunta nunca habría surgido.
Recomendaría mantener los códigos 2FA en 1Password, ya que la aplicación Google Auth no tiene copia de seguridad de datos (a menos que tenga una herramienta de copia de seguridad de raíz y externa, como Titanium Backup). En su caso, perder su teléfono significa perder todos los códigos de autenticación 2FA que tenía. Si no desea almacenar el 2FA en 1Password, almacene en otra aplicación que admita la copia de seguridad en la nube.
Incrementarás un poco la seguridad, ya que cualquier atacante deberá comprometer 2 aplicaciones, pero crearás otro punto de falla. En el caso de la aplicación GoogleAuth, perder su teléfono podría bloquearle algunas cuentas.
Crearía una contraseña segura, larga y única y usaría solo un administrador de contraseñas.
Idealmente
En un mundo ideal, debes tener las teclas del segundo factor en exactamente UN dispositivo. De esa manera, realmente puede ser algo que tengas (además de lo que sabes te gusta tu contraseña). Al tener sus llaves en su teléfono que están protegidas por un PIN u otra seguridad, cuando pierde su teléfono, puede limpiarlo de forma remota y asegurarse de que los códigos no hayan escapado.
Pero eso está lejos de ser realista ...
En el mundo real necesitamos copias de seguridad. Sí, puede almacenar su información en 1Password (o cualquier administrador de contraseñas) y aún así estaría más seguro que la persona promedio (lo que lo convierte en un objetivo mucho menos probable). Por lo tanto, si la decisión es no realizar copias de seguridad o almacenarlas en 1Password, guárdelas en 1Password.
Sin embargo, como mencionas, es poner todos tus huevos en una canasta. Si tu bóveda 1Password está violada de alguna manera, estás jodido.
Entonces, lo que sugiero (que Tim también mencionó aquí) es almacenar sus códigos de segundo factor en algo TOTALMENTE DIFERENTE que su 1Password. Ya sea imprimiéndolos, cargándolos en un teléfono secundario, usando un servicio como Authy (que tiene copias de seguridad), o cualquier otra cosa. Entonces tienes dos puntos de fracaso. Alguien puede ingresar a su 1Password y aún no tener acceso a nuestras cuentas multifactoriales.
Me encanta la sugerencia de impresión aquí. Al imprimir el código, lo está eliminando por completo de su vida digital, por lo que ningún pirata informático podrá acceder a ellos. Guárdalos en una caja fuerte, ponlos en una caja de seguridad. Cualquier cosa. Y luego es fácil cargar un nuevo teléfono con códigos cuando, inevitablemente, lo pierde o necesita actualizarlo.
TL; DR: Al tener un segundo factor, ya estás muy por delante del resto. Por lo tanto, asegurarlos en 1Password se puede considerar como un riesgo calculado y, aunque no es perfecto, sigue siendo razonablemente seguro. Sin embargo, en la búsqueda de un modelo de seguridad más perfecto, guárdelos por separado y, preferiblemente, sin espacios de Internet, para que un intento de piratería no pueda obtener su contraseña y sus códigos de seguridad al mismo tiempo.
Bueno, la respuesta simple es sí. A pesar de toda la confianza que tenemos en los administradores de contraseñas, es una buena idea practicar la decencia en profundidad. La razón por la que tiene 2FA es agregar esa capa adicional de seguridad para aumentar la contraseña. Derrota el propósito si esa misma contraseña se almacena junto con el segundo factor. La seguridad se basa más en los principios que cualquier otra cosa.
Suponiendo que está hablando sobre los códigos de emergencia y / o la posibilidad de recuperar sus dos factores en un nuevo dispositivo, personalmente me parece desconcertante tener esos códigos disponibles en cualquier lugar en línea. Este es un caso perfecto para copias de seguridad sin conexión.
Mantener una copia del código qr / clave de recuperación / etc fuera de línea (ya sea en papel o en una memoria USB) es mi preferencia. Un favorito personal (asumiendo una PC con Windows) es una memoria USB bloqueada en un bit, guardada en una caja de seguridad.
Lea otras preguntas en las etiquetas passwords account-security multi-factor