¿Es una buena práctica usar clientes de escritorio 2FA como Authy Desktop?

5

Básicamente, 2FA se basa en la idea de que, en lugar de simplemente saber algo, el uso de un servicio también requiere algo propio.

Tengo bastante confianza, especialmente cuando se usa en iOS (que tiene una mejor segregación de aplicaciones a nivel de sistema), que esto brinda una seguridad bastante buena. Aunque no estoy seguro de agregar una utilidad 2FA de escritorio.

En mi opinión, un atacante tendría que interceptar mi contraseña (probablemente a través de un keylogger en mi computadora de escritorio donde más registro) y un acceso a mi teléfono, o a la clave almacenada en mi teléfono. Pero es probable que pueda imaginar que alguien capaz de configurar un keylogger podría robar suficiente información para reutilizar cualquier sistema 2FA disponible en mi computadora de escritorio.

Escribiendo esto, entiendo que esto se basa en la percepción de que:

Integridad del equipo < Integridad del teléfono < integridad de iOS

Es más probable que las computadoras se corrompan a través de la pila de basura que estoy instalando y su "apertura" más importante a los cambios del sistema.

Los teléfonos inteligentes tienen un ecosistema más restrictivo y una vida útil más corta, por lo tanto una probabilidad menor de infectarse.

iOS, es comparativamente el ecosistema más cerrado donde, a diferencia de Android, la mayoría de los accesos no se abren en la API y la comprobación de la aplicación es más exhaustiva.

    
pregunta AsTeR 17.12.2017 - 17:10
fuente

1 respuesta

5

Hizo un supuesto que afecta su resultado, y no puede olvidar que está haciendo este supuesto: que uno "probable" obtiene su contraseña a través de la computadora de escritorio (es decir, keylogger). Si ese es su análisis de amenazas, está perfectamente bien, pero no olvide que ha hecho esta diferenciación.

Dado que su análisis de amenazas se basa en el escritorio, entonces sí, su conclusión es correcta: agregar una función de seguridad al escritorio que ya se ha comprometido no agrega una capa de seguridad. Si uno puede obtener su contraseña, entonces puede obtener su código 2FA.

Pero, una opción 2FA de escritorio no es inútil si cambiamos nuestras suposiciones. Si asumimos que es más probable que obtengamos nuestras contraseñas de los servicios que usamos (en lugar de nuestros escritorios), o incluso que podemos obtener contraseñas de nuestros dispositivos móviles, entonces la medida de seguridad del escritorio agrega legítimamente una función de seguridad útil.

La pregunta final se convierte en: ¿cuál is es el vector más probable de compromiso de contraseña? Y esa pregunta cambia constantemente. Y por eso es muy importante tener en cuenta nuestras evaluaciones de amenazas y revisarlas de vez en cuando.

Por lo tanto, la opción 2FA del escritorio es válida, según el análisis de amenazas.

    
respondido por el schroeder 18.12.2017 - 17:22
fuente

Lea otras preguntas en las etiquetas