Stavo parlando con un amico di HeartBleed, e ha detto che aveva l'autenticazione a 2 fattori abilitata su tutti i siti che l'avevano supportata, quindi anche con il suo nome utente e password nessuno sarebbe stato in grado di accedere senza il suo telefono.
Gli ho detto di cambiare la sua password comunque.
Ma sono interessato a sapere; aveva ragione sull'autenticazione a 2 fattori che lo proteggeva dal peggio?
Grazie!
evamvid
Non sono d'accordo con Mark. Un obiettivo principale di SSL / TLS è la protezione della chiave a lungo termine (cioè il certificato privato). Se un utente malintenzionato può ottenere la chiave, l'implementazione deve essere considerata interrotta.
Non importa se usi l'autenticazione a due fattori o meno. Se conosco la chiave segreta del server, posso decodificare il tuo traffico direttamente (senza PFS) o tramite MITM (con PFS). Posso rubare i cookie di sessione o qualsiasi altra cosa e fare tutto senza il tuo token. Posso persino rubare le tue sessioni TCP.
L'autenticazione a due fattori corretta (autenticazione con una password e un token monouso inviati tramite un canale esterno) fornisce protezione contro l'attacco Heartbleed. Un utente malintenzionato può ottenere sia la password che il token, ma con un'implementazione corretta, il token è inutile per tentare effettivamente un login proprio: è monouso e non fornisce alcun indizio su quale sarà il prossimo token essere.
L'autenticazione "wish-it-was-two-factor" utilizzata da troppi siti (nome utente, password, domande trivia su di te) non fornisce assolutamente alcuna protezione.
Leggi altre domande sui tag authentication openssl tls multi-factor heartbleed