È un tokenless (in particolare SMS) 2FA un compromesso di sicurezza sui token OTP?

21

Ho esaminato i vari pro / contro dell'innevamento basato su tokenless (in particolare basato su SMS) e tradizionale basato su token (si pensi a RSA SecurID). Dopo aver fatto qualche ricerca, penso di avere una migliore comprensione delle due opzioni in termini di usabilità, costo, ecc., Ma ho difficoltà a trovare una buona analisi approfondita indipendente della sicurezza di ciascuna soluzione.

Come ho capito finora, la 2FA tokenless è più economica e facile da implementare. Apprezzo anche il fatto che alcune persone hanno meno probabilità di dimenticare il proprio telefono cellulare piuttosto che dimenticare il proprio token OTP. Gli svantaggi includono il fatto che è richiesto un certo livello di ricezione SMS, sebbene i venditori abbiano prodotto soluzioni per gestire questo problema, incluso inviare il codice successivo immediatamente dopo l'ultimo, codici di "uso quotidiano" e l'invio di più codici in ciascun SMS. Ho ragione nel pensare che queste "soluzioni" sono in realtà un po 'un compromesso sulla sicurezza? Se è così, quanto di un compromesso sono, realisticamente? Ho anche sentito alcuni dire che passare il processo di ricezione degli SMS ogni volta può essere un problema per gli utenti regolari, con i token tradizionali che sono più pratici. Qualcuno ha trovato questo per caso?

I vantaggi dei token OTP tradizionali includono il fatto che non è necessaria la ricezione del telefono e sono pratici per gli utenti regolari. Raccomanderesti l'utilizzo di token tradizionali per i dipendenti che viaggiano all'estero (a causa di problemi di ricezione mobile)?

Con 2FA tokenless che sono entrambi più economici e facili da schierare, penseresti che i token tradizionali sarebbero andati fuori moda molto più velocemente di loro. Se si dovesse credere al materiale di marketing di aziende come SecureEnvoy, i giorni dei token OTP tradizionali sono numerati. Tuttavia, ho l'impressione che non sia proprio così. Questo mi porta a pensare che molte aziende si attengano ai tradizionali token fisici perché credono che siano più sicuri dei semplici 2FA. È questo il caso, o è dovuto ad un altro fattore? Le soluzioni tradizionali come RSA SecurID si limitano a negoziare sulla posizione di mercato che hanno stabilito in passato, o esiste ancora un caso per i token fisici?

Durante la prima ispezione, i token soft sembrano offrire alcuni dei vantaggi dei token basati su SMS, senza il requisito per la ricezione di SMS. Se gli utenti hanno uno smartphone, sarebbe un'opzione migliore? È un gioco da ragazzi implementare soft token su SMS basati sugli utenti di smartphone o ci sono altri fattori da considerare?

Sono consapevole del fatto che ho fatto davvero alcune domande correlate, quindi, per riassumere, le mie domande sono:

a) Il tokenless 2FA (in particolare basato su SMS) è un compromesso di sicurezza rispetto ai token tradizionali?

b) I tokens fisici sono ancora popolari solo perché sono provati e testati, con aziende come RSA che fanno trading sulla reputazione che hanno stabilito, o c'è ancora un motivo oggettivo per attaccare con i token fisici?

c) Le persone hanno scoperto che la funzione 2FA basata su SMS non è pratica per gli utenti regolari e si è trovata a distribuire token fisici a quegli utenti?

d) Le soluzioni come i codici di "uso quotidiano" e più codici in un singolo SMS sono molto più di un compromesso di sicurezza rispetto al default dei singoli codici inviati e memorizzati in un SMS?

e) Per gli utenti di smartphone, è un gioco da ragazzi non implementare token soft piuttosto che fare affidamento su SMS basato su 2FA?

f) Qualcuno può indirizzarmi ad una letteratura appropriata che dovrei leggere per avere un'idea di alcuni dei problemi sopra riportati?

Le domande sono strettamente correlate, quindi le ho mantenute tutte insieme. Per favore fatemi sapere se ritenete che dovrei separare quanto sopra in domande separate su StackExchange.

    
posta dbr 06.05.2012 - 16:06
fonte

6 risposte

16

a) Il tokenless 2FA (in particolare basato su SMS) è un compromesso di sicurezza rispetto ai token tradizionali?

Sì, SMS è meglio di una semplice password, ma la più debole delle forme di 2FA.

I principali rischi per la sicurezza sono:

  • Reindirizzamento numeri
  • Telefono rubato
  • Operazione eseguita sul telefono. Questo è uno dei maggiori con la crescita di smartphone e tablet in grado di ricevere messaggi di tipo iMessage

Anche come hai detto le considerazioni operative:

  • Copertura SMS. Le opzioni che hai dichiarato come l'invio di due codici o un codice di giorno riducono la forza della password una tantum in quanto è valida per un periodo molto più lungo e quindi offre una finestra più ampia per il compromesso
  • Costo di invio degli SMS, soprattutto se è necessario inviare a livello internazionale
  • Richiede batteria

Detto questo è ancora il più conveniente per gli utenti perché:

  • La maggior parte delle persone ha un telefono capace di SMS e lo porta sempre con sé.

Ha anche un vantaggio in termini di sicurezza:

  • gli utenti hanno maggiori probabilità di notare un telefono mancante anziché un token mancante
  • se il file seme e / o l'algoritmo sono compromessi (ad es. culatta RSA) è molto più facile sostituire una flotta di token soft o modificare il file seme e l'algoritmo SMS OTP piuttosto che una flotta di hard token

b) I tokens fisici sono ancora popolari solo perché sono provati e testati, con aziende come RSA che fanno trading sulla reputazione che hanno stabilito, o c'è ancora un motivo oggettivo per attaccare con i token fisici?

Esiste un caso obiettivo in quanto fornisce un adattamento a seconda del modello di minaccia.

Ovviamente c'è anche resistenza al cambiamento. Le grandi aziende che hanno implementato un'infrastruttura con token hardware, hanno distribuito token, hanno addestrato i propri utenti a creare un business case per il progetto, non solo per dire che gli SMS o soft token sono meno costosi e più convenienti. Sebbene con la violazione di RSA, ad esempio, conosco un bel po 'di aziende che hanno colto l'opportunità di passare a token soft.

c) Le persone hanno scoperto che la funzione 2FA basata su SMS non è pratica per gli utenti regolari e si è trovata a distribuire token fisici a quegli utenti?

Le uniche volte che ho sentito questo sono:

  • Una popolazione abbastanza numerosa di utenti non ha telefoni o telefoni capaci di token soft e la società non può essere vista discriminare
  • Gli utenti sono già addestrati all'uso di token duri
  • Gli utenti hanno già un token difficile ed è più facile da riutilizzare rispetto a distribuire e addestrare per SMS
  • Gli utenti internazionali e il costo di sms o difficoltà nell'invio di sms locali sono proibitivi

d) Le soluzioni come i codici di "uso quotidiano" e più codici in un singolo SMS sono molto più di un compromesso di sicurezza rispetto al default dei singoli codici inviati e memorizzati in un SMS?

Sì in quanto riducono la forza della password una tantum in quanto è valida per un periodo molto più lungo e quindi offre una finestra più ampia per il compromesso

e) Per gli utenti di smartphone, è un gioco da ragazzi non implementare token soft piuttosto che fare affidamento su SMS basato su 2FA?

Non necessariamente. Un modello di minaccia ancora necessario, un token software può ancora essere compromesso più facilmente rispetto a un token hardware. Gli smart phone sono computer, possono ancora ottenere malware, le applicazioni possono accedere al tuo seed o OTP e trasmetterlo altrove.

Anche le considerazioni operative menzionate sopra. Se si tratta di un ambiente minerario è un hard token che ha bisogno di una nuova batteria ogni pochi anni ed è più resistente allo sporco, alle variazioni di temperatura, i liquidi saranno migliori?

f) Qualcuno può indirizzarmi ad una letteratura appropriata che dovrei leggere per avere un'idea di alcuni dei problemi sopra riportati?

Oldie ma una chicca: link

    
risposta data 07.05.2012 - 08:14
fonte
9

a) Il tokenless 2FA (in particolare basato su SMS) è un compromesso di sicurezza rispetto ai token tradizionali?

Si potrebbe dire che SMS e telefoni cellulari sono meno sicuri come mezzo. Aziende come RSA spesso sottolineano i punti deboli, ma ricorda che RSA è ovviamente di parte. Ovviamente, RSA stessa ci ha mostrato che le soluzioni basate su token sono anche vulnerabili al compromesso.

Ci sono argomenti per i token basati su sms che sono più sicuri. Come ho detto, un token hardware ha un algoritmo fisso che potrebbe essere potenzialmente compromesso e riprodotto senza che l'utente lo sappia. Tuttavia, un token SMS non deve seguire alcun algoritmo prevedibile; il codice può essere completamente casuale. Inoltre, i token SMS possono avere alcuni vantaggi quando si tratta di ripudio (o non ripudio) perché viene localizzata la posizione fisica di un telefono cellulare e si può tornare indietro e correlarlo con un particolare accesso.

Un'altra cosa è che un codice SMS potrebbe anche essere efficace nel prevenire un MITM o almeno richiedere che sia così elaborato da eliminare la fattibilità della maggior parte di questi attacchi (una cosa interessante sarebbe un codice SMS combinato con un soft token per poter autenticare sia il server che il client).

b) I tokens fisici sono ancora popolari solo perché sono provati e testati, con aziende come RSA che fanno trading sulla reputazione che hanno stabilito, o c'è ancora un motivo oggettivo per attaccare con i token fisici?

I token fisici hanno il vantaggio di essere in grado di produrre un codice indipendente da qualsiasi canale elettronico che potrebbe potenzialmente essere snoopato o altrimenti compromesso. Hanno anche la capacità di essere standardizzati in una società, non richiedono un dispositivo che potrebbe guastarsi o una batteria che si esaurisce di frequente, può essere impermeabile e più robusta in generale. Alcuni token come Yubikey devono essere collegati a una porta USB che verifica l'effettiva esistenza del token (ma richiede anche una connessione Internet per autorizzare). I token fisici possono anche essere combinati con le carte di prossimità per l'accesso fisico. E naturalmente i token fisici come le smart card possono contenere certificati PKI che possono essere utilizzati per altri scopi di crittografia o autenticazione. Quindi sì, ci sono benefici per loro.

e) Per gli utenti di smartphone, è un gioco da ragazzi non implementare token soft piuttosto che fare affidamento su SMS basato su 2FA?

Nel complesso, non penso che si possa sostenere che ognuna di queste tecniche sia significativamente più strong o più debole di qualsiasi altra dal punto di vista della sicurezza (tutte hanno i loro punti di forza e di debolezza). In entrambi i casi, qualsiasi token combinato con una password utente aumenterà notevolmente la sicurezza.

D'altra parte, ci può essere un'enorme differenza nel prezzo, nella gestibilità e nel sovraccarico di supporto tra le diverse tecnologie.

Se fai qualcosa come HOTP o TOTP puoi usare token soft, token fisici o anche token basati sul web se necessario. Uso google authenticator sul mio telefono e ho sei diversi token provenienti da luoghi diversi. È gratuito e supporta entrambi gli standard HOTP e TOTP. Ma uso anche un Yubikey per alcuni account, il token DIGIKEY per accedere a PayPal e basato su SMS per accedere a Facebook.

    
risposta data 07.05.2012 - 08:11
fonte
1

IMO il livello di sicurezza dell'autenticazione basata su SMS è molto più elevato rispetto ai token tradizionali in alcuni scenari importanti. Vale a dire che è sicuro nel caso comune di un PC infetto da trojan per il banking online, mentre la maggior parte dei token tradizionali falliscono completamente in questa situazione.

La differenza è che il telefono visualizza la quantità di denaro e il conto di destinazione, mentre il numero prodotto da un token tradizionale può essere riproposto dal trojan. Ad esempio potrebbe visualizzare "Trasferisci 100 $ ad Alice" ma usa il token per "Trasferire 1000 $ a Eve".

    
risposta data 07.05.2012 - 14:52
fonte
1

Sono d'accordo con Rahkki e Mark sopra. La cosa fondamentale da capire è che SMS non è un token software che include un tipo di crittografia che controlli. Gli SMS sono fondamentalmente e-mail e altrettanto sicuri. I vettori non sono incentivati a proteggere gli account dei loro utenti, utilizzare la crittografia, ecc. Ecc. Più qui: link

    
risposta data 05.09.2012 - 18:26
fonte
1

Perché SMS 2FA è migliore e probabilmente più sicuro della sua controparte Token.

  1. Non hai bisogno di un server con la sua debolezza di sicurezza per installare il software per Token 2FA.

  2. Hai un dispositivo separato che fornisce 2FA dove puoi isolarlo nella rete. Hai mai visto qualcuno installare software per Token 2FA nello stesso server in cui sono installati LDAP e RADIUS?

  3. La maggior parte delle persone ha un telefono cellulare.

    1. Una persona di solito valorizza il suo telefono più del token.

    2. Quando una persona perde il telefono, fa immediatamente un rapporto di polizia.

    3. Dato che un token è più piccolo del telefono, la probabilità di perderlo senza notarlo immediatamente è alta.

  4. Da quanto ho capito, RSA è stata compromessa nel 2011.

Non esiste una sicurezza al 100%. Devi essere un passo avanti all'hacker o è un passo avanti a te. La sicurezza non è solo se il prodotto che si sta utilizzando proviene da un gigante, affidabile e testato fornitore. Non li rende di Dio in sicurezza.

    
risposta data 29.06.2012 - 10:41
fonte
0

Ok, ecco le mie risposte alle tue domande.

(a) Un grande NO. Non vi è alcun compromesso di sicurezza in tokenless 2FA (basato su SMS o altro). L'autenticazione a fattore 2 senza token è ugualmente sicura se non di più su qualsiasi 2FA basato su token.

(b) Credo che i token fisici siano ancora in uso perché le aziende li hanno scelti inizialmente e ora è scomodo passare a un 2FA senza problemi. Ma le aziende che implementano 2FA per la prima volta scelgono tokenless 2FA rispetto ai tradizionali 2FA.

(c) No, in realtà è il contrario. Sempre più persone optano per autenticazione a due fattori

(d) Potrebbero esserci dei rischi associati ai codici "" uso quotidiano "" e ai codici multipli in un SMS, ma non è molto significativo.

(e) I token software hanno le proprie minacce, come virus informatici e attacchi software.

(f) Puoi leggere la pagina wiki su 2FA. link

    
risposta data 16.01.2013 - 13:27
fonte

Leggi altre domande sui tag