Attenuazione della perdita di un telefono cellulare utilizzato per l'accesso al secondo fattore

Naviga le tue risposte
16

Adotta il seguente scenario: John sta utilizzando GMail per il suo account di posta principale e LastPass come sistema di gestione delle password. Entrambi questi account utilizzano l'applicazione mobile Google Authenticator come autenticazione del secondo fattore per l'accesso. John perde il suo telefono cellulare e in quanto tale non è in grado di accedere a GMail poiché non conosce la sua password. John non è inoltre in grado di accedere a LastPass poiché mentre conosce la password principale, non ha il secondo fattore, né è in grado di disabilitare il secondo fattore in quanto non ha accesso al proprio account di posta elettronica. John ora è bloccato dai suoi account.

Le soluzioni correnti che John potrebbe aver utilizzato per fermare la perdita dell'accesso all'account a causa della mancanza del suo secondo dispositivo di fattore includono l'installazione di attenuazioni come:

  • Codici di backup / codice principale
  • SMS / Telefonata
  • Email alternativa

Tuttavia, la fattibilità di queste soluzioni varia su molti fattori.

Mentre lo scenario sopra è specifico, chiedo in generale cosa si può fare per attenuare gli effetti della perdita di un telefono cellulare utilizzato come dispositivo di secondo fattore?

    
posta Luke 25.04.2013 - 04:07
fonte

2 risposte

10

Ciò che posso dire, in generale, è che dovresti not avere un singolo punto di errore. Sia il tuo telefono cellulare (può essere perso, danneggiato, rubato), qualche altro computer o dispositivo (può essere danneggiato), un pezzo di carta (può essere perso, danneggiato) o anche la memoria (può dimenticare le cose, soprattutto se non utilizzate troppo spesso).

Proprio come le password di solito hanno fallback per il recupero (es .: avendo un link di reimpostazione della password inviato a un indirizzo e-mail alternativo), anche l'autenticazione del secondo fattore dovrebbe fare lo stesso, e se non c'è niente di built-in devi fare il tuo Più facile a dirsi che a farsi, vero, dal momento che ogni "step" aggiuntivo risolve un problema ma ne introduce uno nuovo (es .: se dimentico la mia password di posta elettronica, posso resettarla usando una alternativa, ma ora ho bisogno anche di un ripiego per la mia password e-mail alternativa).

Il tuo problema, IMHO, è che hai creato un "ciclo chiuso" nella tua strategia di fallback: per accedere alla tua e-mail hai bisogno del tuo gestore di password e per recuperare l'accesso al tuo gestore di password hai bisogno del tuo indirizzo e-mail. Quando pianifichi il recupero di LastPass, non puoi contare su cose che dipendono dall'avere accesso a LastPass ...

Non penso che esista una soluzione unica per ovviare a questo problema, e tutti i tuoi suggerimenti sono validi a seconda delle circostanze. Personalmente, ecco come proteggi il mio account GMail (non uso ancora i gestori di password, quindi la password e-mail è stata trasferita nella mia memoria):

  • Il mio personal computer (desktop) è contrassegnato come "trusted", quindi non richiede codici e richiede solo la mia password di tanto in tanto (ogni 30 giorni, penso);
  • Il mio dispositivo Android ha Google Authenticator, ma per aprirlo (o per aprire l'app GMail in sé, o l'intera cosa a 2 fattori sarebbe praticamente inutile ...) Devo fornire un PIN per un App Blocker (quindi anche se qualcuno accede al mio telefono non può leggere la mia e-mail)
  • C'è un numero di telefono alternativo registrato, quindi un SMS può essere inviato ad esso se non posso usare il mio.

Questo mi protegge dalla maggior parte degli scenari "catastrofici":

  • Se dimentico la mia password e il mio telefono è perso allo stesso tempo, posso comunque accedere a GMail dal mio desktop (il recupero dell'accesso amministrativo è un po 'più complicato).
  • Se dimentico la mia password e il mio desktop è rotto allo stesso tempo, posso comunque accedere a GMail dal mio telefono (supponendo che possa ancora ricordare il PIN - qualcosa che uso spesso).
  • Se il mio desktop è rotto e il mio telefono perso allo stesso tempo, posso ancora usare la mia password e l'SMS al telefono alternativo per accedere a GMail da un altro computer.

Pur mantenendo la proprietà a 2 fattori a tutti i livelli:

  • Per accedere al mio desktop, ho bisogno di un accesso fisico e delle credenziali di accesso;
  • Per accedere al mio telefono, ho bisogno di un accesso fisico e del mio PIN;
  • Per accedere alla mia e-mail da qualche altra parte, ho bisogno di un accesso fisico a un telefono (primario o alternativo) e alla mia password.

(Nota: in senso stretto, nei primi due casi è richiesto solo l'accesso fisico, se è coinvolto un attaccante abile e silenzioso / rapido, ma questo va oltre lo scopo di questa risposta)

    
risposta data 25.04.2013 - 10:07
fonte
2

L'autenticazione a due fattori di Google supporta l'uso di password singole.

Si suppone che l'utente stampi fuori dall'elenco (contiene circa 10 password utilizzabili una sola volta se ricordo correttamente) e le conserva in un luogo sicuro, nel caso in cui si verifichi lo scenario sopra descritto.

    
risposta data 25.04.2013 - 17:34
fonte

Leggi altre domande sui tag

Come funziona esattamente il cracking a 4-way-handshake? Costruire in modo sicuro un laboratorio pentest locale in una VM