Che domanda!
Ok, quindi l'autenticazione a più fattori è d'aiuto? Sì. Non puoi intercettare ciò che viene prodotto sul tuo normale lettore di carte di credito senza una seria tecnologia tecnologica (o una fotocamera particolarmente ben posizionata). In modo che le informazioni di accesso possano essere intercettate; la prossima volta che verrai autenticato, il token dovrebbe essere diverso.
Tuttavia , e questo è grande. Supponiamo (penso) che ogni comunicazione con questo servizio remoto sia monitorata e che non si effettui nuovamente l'autenticazione per ogni azione specifica. Nel qual caso, se è possibile intercettare e dirottare quella sessione, sarai in grado di fare qualsiasi cosa il servizio lo consenta.
Ciò potrebbe includere la modifica delle credenziali di autenticazione come il componente password. Questo ti bloccherà sicuramente dal tuo servizio remoto la prossima volta che accedi al servizio remoto, ma per un accesso ripetuto l'attaccante richiede quel token fisico o l'algoritmo che usa. Possiamo tranquillamente presumere che possano acquisire un lettore di schede appropriato, ma a meno che non possano acquisire la carta e il PIN, non saranno in grado di eseguire nuovamente l'autenticazione.
Quindi, quando il primo fattore viene compromesso, la sicurezza cade sul secondo fattore, il generatore di numeri fisici o qualsiasi altra cosa sia, e la sicurezza della sessione in corso. Probabilmente la tua banca lo copre anche con ogni probabilità; se voglio effettuare un pagamento, ora devo autorizzarlo anche con il mio lettore di schede, perché mentre chiunque potrebbe dirottare la mia sessione, non avrà accesso alla mia carta fisica (in teoria). Lo stesso, sulla mia banca, va a fare cambiamenti di credenziali. Tuttavia, è diverso per il tuo account di posta elettronica, ad esempio.
Consideriamo anche altre possibili idee: il problema con i dati biometrici è che non cambia nel tempo. Questo significa che, come una password, una volta intercettata, è valida per sempre. È assolutamente bene usare al posto di una password; infatti, memorizzato in modo appropriato potrebbe anche essere migliore, non ho letto abbastanza bene sull'argomento da dire, ma ha la stessa costanza che è probabile che abbia una password.
Quindi, in pratica, Douglass arriva lì. Le password una tantum sono un'ottima scelta; in questo caso, quelle che sembrano essere password di un tempo generate da un lettore di schede in base all'input di una scheda protetta da un PIN.
Vale la pena notare, tuttavia, che la sicurezza della carta di credito è un argomento spesso discusso in Light Blue Touchpaper , il computer dell'Università di Cambridge Security Lab, dove la sicurezza dell'implementazione di Chip e PIN viene frequentemente messa sotto tiro.
Tutto sommato, è un gioco di equilibrio. In che misura ritieni che i controllori di questo computer eseguano un simile attacco? In che misura è la loro capacità di accedere alla tua e-mail o qualsiasi altra preoccupazione? Esiste un'equazione che dice qualcosa come severity = likelihood x risk
- valuta le preoccupazioni in questo modo e decidi se, per le tue circostanze particolari, il rischio è quello che sei disposto a prendere.