Durante la valutazione del il nuovo servizio Teams di 1Password , ho notato un'assenza piuttosto curiosa di supporto per l'autenticazione multifactor.
Quando ha chiesto della mancanza di MFA, hanno risposto :
We use an Account Key combined with the Master Password for security that is better than two-factor. https://teams.1password.com/security/
Quella pagina dice:
Security professionals recommend using multiple authentication factors: “something you know”, like your password, and “something you have”, like an authenticator app on your phone.
The Account Key takes this idea to the next level. It doesn’t just authenticate you with our servers; it also plays a direct role in encrypting your data. That’s important, because it strengthens your Master Password exponentially. And since it never gets sent over the network, your Account Key can’t be reset, intercepted, or evaded.
Il "tasto account" è essenzialmente una seconda password che viene generata per te. Quando ti registri per il servizio 1Password Teams, ti viene inviato un "Kit di emergenza" PDF che intendi stampare. Contiene la chiave dell'account e ti incoraggia persino a scrivere la tua password principale.
La chiave dell'account è memorizzata nella memoria locale del browser. Se esegui il login da un nuovo dispositivo, devi inserire manualmente la chiave dell'account dopo aver inserito la tua password.
Per quanto posso dire, questo approccio è notevolmente peggiore rispetto all'autentica autenticazione a due fattori. Un aggressore che:
- Ottieni il tuo kit di emergenza stampato
- Ottieni una copia del PDF
- Può MITM la tua connessione con 1password.com
- Installa malware sul tuo computer
- che può rubare la chiave dell'account dall'archivio locale o
- osserva quando lo inserisci (insieme alla tua password principale)
... ha tutto il necessario per un accesso illimitato, continuo, remoto e non rilevabile a un account estremamente sensibile.
Contrasto con autentica autenticazione a due fattori: la chiave secondaria viene memorizzata in modo sicuro su un dispositivo separato.
- Ottenere la password principale da solo non aiuta; un utente malintenzionato deve prendere possesso del dispositivo di autenticazione.
- Anche se accedi con un dispositivo / connessione compromessa, un utente malintenzionato non ottiene accesso continuo al tuo account. La password monouso (TOTP) generata dal dispositivo authenticatior è inutile per l'accesso futuro.
Cosa mi manca qui?