Come archiviare e gestire in modo sicuro i codici di backup una tantum per 2FA?

Naviga le tue risposte
20

Sto già utilizzando 31 servizi con l'autenticazione secondo fattore e il numero è in crescita. Oltre ad avere più dispositivi di autenticazione, ho deciso o dovuto generare un set separato di codici di backup monouso (chiamiamoli OTBC).

Uso il gestore delle password con 2FA per memorizzare tutte le mie password. Eseguo il gestore delle password solo sulle macchine che possiedo e gestisco. Tuttavia, io sono mobile, quindi non posso usare un deposito fisico (ad esempio per memorizzare OTBC stampato). Password manager ha introdotto il proprio set di OTBC.

Sto valutando quale sia la prassi migliore per la gestione sicura di OTBC. Presumo che potrei perdere tutti i dispositivi 2FA e questo non dovrebbe impedirmi di accedere ai servizi utilizzando l'OTBC.

Sono a conoscenza del fatto che OTBC dovrebbe essere trattato con lo stesso livello di precauzioni di sicurezza delle password. Altrimenti rendono 2FA inesistente.

Uno degli scopi 2FA è la protezione contro l'utilizzo di password ottenute violando il gestore password su dispositivi non autenticati. Quindi OTBC ai rispettivi servizi non può essere memorizzato insieme alle loro password nel gestore delle password altrimenti ciò renderebbe 2FA inesistente.

Di conseguenza ho la necessità di due gestori di password separati uno per le password, uno per OTBC.

Ora, ciascuno dei gestori di password introduce il proprio set di OTBC (per eseguire il backup dei 2FA per la password principale) che non possono essere memorizzati.

Dovrebbero essere memorizzati al di fuori dei rispettivi database dei gestori di password. Quindi posso memorizzarli al di fuori del sistema o in modo incrociato: 

Passwords-DB <== passwords for services  +  OTBC for OTBC-DB
OTBC-DB <== OTBC for services  +  OTBC for Passwords-DB

Fornite le password: una per Password-DB e una per OTBC-DB non sono memorizzate al di fuori del mio cervello, è il metodo più semplice per gestire OTBC e ci sono difetti di sicurezza o rischi nascosti in questo schema?

    
posta techraf 24.10.2015 - 11:56
fonte

3 risposte

3

Il problema con la memorizzazione di OTBC sul dispositivo è che se il tuo dispositivo è compromesso dal punto di vista del software, ad esempio l'infezione da virus, il trojan, l'attacco di copia ecc., allora sei brindato.

Si noti che una volta sbloccato il DB password, un'entità maligna potrebbe accedere a OTBC per il database OTBC e quindi accedere anche a quest'ultima.

Il mio suggerimento per una gestione sicura di questi è l'utilizzo di 2 database separati, una volta per OTBC e uno per password / 2FA. Certo, NON si accede al database OTBC se non è necessario.

L'OTBC per entrambi questi gestori di password, si archivia in un file di testo crittografato. Nello stesso file di testo si memorizza il seed per il DB OTBC, ad esempio NON si ha accesso 2FA al database OTBC se non in caso di emergenza assoluta.

Per accedere a password-DB / 2FA, è necessario quanto segue:

  • 1: Your Brain Password A.
  • 2: codice 2FA o codice OTBC preso dal file di testo crittografato.

Per accedere al DB OTBC, è necessario quanto segue:

  • 1: Your Brain Password B.
  • 2: il contenuto del file crittografato (sempre!).

Il file crittografato viene quindi ospitato nel tuo servizio cloud.

Ora come criptare il file di testo:

Suggerirei di usare un servizio, che su una password segreta si innesca, inviare la chiave di crittografia ad una email, MA, solo dopo aver aspettato almeno diciamo 24 ore, dopo aver ricevuto una email per "cancellarla".

Quindi quando perdi tutti i tuoi dispositivi 2FA, digiti la "password di emergenza" segreta nel servizio. Quindi attendi 24 ore, quindi hai la tua password casuale nel file crittografato, che viene utilizzato insieme alla password Brain B per accedere al tuo database OTBC.

Tuttavia, se un hacker tentasse di accedere alla chiave di emergenza, ti sarebbe stata data l'opportunità di annullarlo, e quindi l'hacker non potrebbe accedervi.

    
risposta data 07.11.2015 - 03:50
fonte
2

Uso YubiKey NEO per tutti i metodi a 2 fattori, incluso TOTP. Il supporto NFC in esso consente di utilizzarlo con il mio telefono. Ho scritto un po 'più a lungo su perché ne ho acquistati due che è piuttosto pertinente alla tua domanda.

Ecco come questo ha finito per funzionare in base alla tua domanda:

Disponibilità

Una chiave viaggia sempre con me sul mio portachiavi e una chiave rimane memorizzata a casa. Sospetto che l'unico modo probabile per me di perdere entrambi coinvolga un incendio in cui non prendo le chiavi all'uscita. Non memorizzo alcun codice OTBC, ma se dovessi incorporarlo, lo farei stampandoli e conservandoli in una cassetta di sicurezza. Hai menzionato che la mobilità è un problema per te che limita la stampa delle cose, ma lo rivisiterò perché è difficile ottenere una risposta migliore. Una persona fidata che puoi contattare o un sistema di archiviazione online sono le tue uniche altre opzioni e quel sistema di storage è una tartaruga fino in fondo.

Poiché è un dispositivo dedicato e fisicamente durevole, è diventato utile quando ho rotto il telefono. Posso utilizzare qualsiasi computer con una porta USB o qualsiasi telefono con supporto NFC per l'autenticazione con.

Sicurezza

YubiKey non ha un'API "get secret", solo una richiesta di token di lettura basata su un timestamp. Pertanto, a meno che tu non possiedi la mia chiave o la volta in cui tu abbia generato un futuro token, non puoi accedere a un servizio. Ciò limita il rischio di compromissione del dispositivo. Inoltre, non è in genere in contatto con un dispositivo che fornisce anche alcune limitazioni di finestre temporali per l'accesso.

Se non riesco a rendere conto di entrambe le chiavi, so che la mia disponibilità è bassa e la mia sicurezza considerata sospetta. A quel punto andrei a ruotare le mie credenziali e registrare una nuova chiave.

    
risposta data 06.11.2015 - 01:07
fonte
1

Li memorizzerei in un deposito di password crittografato (qualcosa come Dashlane, Lastpass o 1password) nella sezione delle note. Sarà in grado di sincronizzare anche via cellulare e crittografato. Supponendo che tu non stia usando la stessa password della tua password master, saresti al sicuro.

    
risposta data 13.05.2016 - 03:08
fonte

Leggi altre domande sui tag

Utilizzo degli iframe nel codice non sicuro della sandbox Software libero / libero per gestire le unità di crittografia automatica (SED) compatibili con OPAL 2.0 TCG?