È un tokenless (in particolare SMS) 2FA un compromesso di sicurezza sui token OTP?

a) Il tokenless 2FA (in particolare basato su SMS) è un compromesso di sicurezza rispetto ai token tradizionali?

Sì, SMS è meglio di una semplice password, ma la più debole delle forme di 2FA.

I principali rischi per la sicurezza sono:

• Reindirizzamento numeri
• Telefono rubato
• Operazione eseguita sul telefono. Questo è uno dei maggiori con la crescita di smartphone e tablet in grado di ricevere messaggi di tipo iMessage

Anche come hai detto le considerazioni operative:

• Copertura SMS. Le opzioni che hai dichiarato come l'invio di due codici o un codice di giorno riducono la forza della password una tantum in quanto è valida per un periodo molto più lungo e quindi offre una finestra più ampia per il compromesso
• Costo di invio degli SMS, soprattutto se è necessario inviare a livello internazionale
• Richiede batteria

Detto questo è ancora il più conveniente per gli utenti perché:

• La maggior parte delle persone ha un telefono capace di SMS e lo porta sempre con sé.

Ha anche un vantaggio in termini di sicurezza:

• gli utenti hanno maggiori probabilità di notare un telefono mancante anziché un token mancante
• se il file seme e / o l'algoritmo sono compromessi (ad es. culatta RSA) è molto più facile sostituire una flotta di token soft o modificare il file seme e l'algoritmo SMS OTP piuttosto che una flotta di hard token

b) I tokens fisici sono ancora popolari solo perché sono provati e testati, con aziende come RSA che fanno trading sulla reputazione che hanno stabilito, o c'è ancora un motivo oggettivo per attaccare con i token fisici?

Esiste un caso obiettivo in quanto fornisce un adattamento a seconda del modello di minaccia.

Ovviamente c'è anche resistenza al cambiamento. Le grandi aziende che hanno implementato un'infrastruttura con token hardware, hanno distribuito token, hanno addestrato i propri utenti a creare un business case per il progetto, non solo per dire che gli SMS o soft token sono meno costosi e più convenienti. Sebbene con la violazione di RSA, ad esempio, conosco un bel po 'di aziende che hanno colto l'opportunità di passare a token soft.

c) Le persone hanno scoperto che la funzione 2FA basata su SMS non è pratica per gli utenti regolari e si è trovata a distribuire token fisici a quegli utenti?

Le uniche volte che ho sentito questo sono:

• Una popolazione abbastanza numerosa di utenti non ha telefoni o telefoni capaci di token soft e la società non può essere vista discriminare
• Gli utenti sono già addestrati all'uso di token duri
• Gli utenti hanno già un token difficile ed è più facile da riutilizzare rispetto a distribuire e addestrare per SMS
• Gli utenti internazionali e il costo di sms o difficoltà nell'invio di sms locali sono proibitivi

d) Le soluzioni come i codici di "uso quotidiano" e più codici in un singolo SMS sono molto più di un compromesso di sicurezza rispetto al default dei singoli codici inviati e memorizzati in un SMS?

Sì in quanto riducono la forza della password una tantum in quanto è valida per un periodo molto più lungo e quindi offre una finestra più ampia per il compromesso

e) Per gli utenti di smartphone, è un gioco da ragazzi non implementare token soft piuttosto che fare affidamento su SMS basato su 2FA?

Non necessariamente. Un modello di minaccia ancora necessario, un token software può ancora essere compromesso più facilmente rispetto a un token hardware. Gli smart phone sono computer, possono ancora ottenere malware, le applicazioni possono accedere al tuo seed o OTP e trasmetterlo altrove.

Anche le considerazioni operative menzionate sopra. Se si tratta di un ambiente minerario è un hard token che ha bisogno di una nuova batteria ogni pochi anni ed è più resistente allo sporco, alle variazioni di temperatura, i liquidi saranno migliori?

f) Qualcuno può indirizzarmi ad una letteratura appropriata che dovrei leggere per avere un'idea di alcuni dei problemi sopra riportati?

Oldie ma una chicca: link

a) Il tokenless 2FA (in particolare basato su SMS) è un compromesso di sicurezza rispetto ai token tradizionali?

Si potrebbe dire che SMS e telefoni cellulari sono meno sicuri come mezzo. Aziende come RSA spesso sottolineano i punti deboli, ma ricorda che RSA è ovviamente di parte. Ovviamente, RSA stessa ci ha mostrato che le soluzioni basate su token sono anche vulnerabili al compromesso.

Ci sono argomenti per i token basati su sms che sono più sicuri. Come ho detto, un token hardware ha un algoritmo fisso che potrebbe essere potenzialmente compromesso e riprodotto senza che l'utente lo sappia. Tuttavia, un token SMS non deve seguire alcun algoritmo prevedibile; il codice può essere completamente casuale. Inoltre, i token SMS possono avere alcuni vantaggi quando si tratta di ripudio (o non ripudio) perché viene localizzata la posizione fisica di un telefono cellulare e si può tornare indietro e correlarlo con un particolare accesso.

Un'altra cosa è che un codice SMS potrebbe anche essere efficace nel prevenire un MITM o almeno richiedere che sia così elaborato da eliminare la fattibilità della maggior parte di questi attacchi (una cosa interessante sarebbe un codice SMS combinato con un soft token per poter autenticare sia il server che il client).

b) I tokens fisici sono ancora popolari solo perché sono provati e testati, con aziende come RSA che fanno trading sulla reputazione che hanno stabilito, o c'è ancora un motivo oggettivo per attaccare con i token fisici?

I token fisici hanno il vantaggio di essere in grado di produrre un codice indipendente da qualsiasi canale elettronico che potrebbe potenzialmente essere snoopato o altrimenti compromesso. Hanno anche la capacità di essere standardizzati in una società, non richiedono un dispositivo che potrebbe guastarsi o una batteria che si esaurisce di frequente, può essere impermeabile e più robusta in generale. Alcuni token come Yubikey devono essere collegati a una porta USB che verifica l'effettiva esistenza del token (ma richiede anche una connessione Internet per autorizzare). I token fisici possono anche essere combinati con le carte di prossimità per l'accesso fisico. E naturalmente i token fisici come le smart card possono contenere certificati PKI che possono essere utilizzati per altri scopi di crittografia o autenticazione. Quindi sì, ci sono benefici per loro.

e) Per gli utenti di smartphone, è un gioco da ragazzi non implementare token soft piuttosto che fare affidamento su SMS basato su 2FA?

Nel complesso, non penso che si possa sostenere che ognuna di queste tecniche sia significativamente più strong o più debole di qualsiasi altra dal punto di vista della sicurezza (tutte hanno i loro punti di forza e di debolezza). In entrambi i casi, qualsiasi token combinato con una password utente aumenterà notevolmente la sicurezza.

D'altra parte, ci può essere un'enorme differenza nel prezzo, nella gestibilità e nel sovraccarico di supporto tra le diverse tecnologie.

Se fai qualcosa come HOTP o TOTP puoi usare token soft, token fisici o anche token basati sul web se necessario. Uso google authenticator sul mio telefono e ho sei diversi token provenienti da luoghi diversi. È gratuito e supporta entrambi gli standard HOTP e TOTP. Ma uso anche un Yubikey per alcuni account, il token DIGIKEY per accedere a PayPal e basato su SMS per accedere a Facebook.

IMO il livello di sicurezza dell'autenticazione basata su SMS è molto più elevato rispetto ai token tradizionali in alcuni scenari importanti. Vale a dire che è sicuro nel caso comune di un PC infetto da trojan per il banking online, mentre la maggior parte dei token tradizionali falliscono completamente in questa situazione.

La differenza è che il telefono visualizza la quantità di denaro e il conto di destinazione, mentre il numero prodotto da un token tradizionale può essere riproposto dal trojan. Ad esempio potrebbe visualizzare "Trasferisci 100 $ ad Alice" ma usa il token per "Trasferire 1000 $ a Eve".

Sono d'accordo con Rahkki e Mark sopra. La cosa fondamentale da capire è che SMS non è un token software che include un tipo di crittografia che controlli. Gli SMS sono fondamentalmente e-mail e altrettanto sicuri. I vettori non sono incentivati a proteggere gli account dei loro utenti, utilizzare la crittografia, ecc. Ecc. Più qui: link

Perché SMS 2FA è migliore e probabilmente più sicuro della sua controparte Token.

1. Non hai bisogno di un server con la sua debolezza di sicurezza per installare il software per Token 2FA.

2. Hai un dispositivo separato che fornisce 2FA dove puoi isolarlo nella rete. Hai mai visto qualcuno installare software per Token 2FA nello stesso server in cui sono installati LDAP e RADIUS?

3. La maggior parte delle persone ha un telefono cellulare.

   1. Una persona di solito valorizza il suo telefono più del token.

   2. Quando una persona perde il telefono, fa immediatamente un rapporto di polizia.

   3. Dato che un token è più piccolo del telefono, la probabilità di perderlo senza notarlo immediatamente è alta.

4. Da quanto ho capito, RSA è stata compromessa nel 2011.

Non esiste una sicurezza al 100%. Devi essere un passo avanti all'hacker o è un passo avanti a te. La sicurezza non è solo se il prodotto che si sta utilizzando proviene da un gigante, affidabile e testato fornitore. Non li rende di Dio in sicurezza.

Ok, ecco le mie risposte alle tue domande.

(a) Un grande NO. Non vi è alcun compromesso di sicurezza in tokenless 2FA (basato su SMS o altro). L'autenticazione a fattore 2 senza token è ugualmente sicura se non di più su qualsiasi 2FA basato su token.

(b) Credo che i token fisici siano ancora in uso perché le aziende li hanno scelti inizialmente e ora è scomodo passare a un 2FA senza problemi. Ma le aziende che implementano 2FA per la prima volta scelgono tokenless 2FA rispetto ai tradizionali 2FA.

(c) No, in realtà è il contrario. Sempre più persone optano per autenticazione a due fattori

(d) Potrebbero esserci dei rischi associati ai codici "" uso quotidiano "" e ai codici multipli in un SMS, ma non è molto significativo.

(e) I token software hanno le proprie minacce, come virus informatici e attacchi software.

(f) Puoi leggere la pagina wiki su 2FA. link