L'autenticazione a 2 fattori aiuta con HeartBleed?

13

Stavo parlando con un amico di HeartBleed, e ha detto che aveva l'autenticazione a 2 fattori abilitata su tutti i siti che l'avevano supportata, quindi anche con il suo nome utente e password nessuno sarebbe stato in grado di accedere senza il suo telefono.

Gli ho detto di cambiare la sua password comunque.

Ma sono interessato a sapere; aveva ragione sull'autenticazione a 2 fattori che lo proteggeva dal peggio?

Grazie!

evamvid

    
posta evamvid 10.04.2014 - 01:55
fonte

2 risposte

7

Non sono d'accordo con Mark. Un obiettivo principale di SSL / TLS è la protezione della chiave a lungo termine (cioè il certificato privato). Se un utente malintenzionato può ottenere la chiave, l'implementazione deve essere considerata interrotta.

Non importa se usi l'autenticazione a due fattori o meno. Se conosco la chiave segreta del server, posso decodificare il tuo traffico direttamente (senza PFS) o tramite MITM (con PFS). Posso rubare i cookie di sessione o qualsiasi altra cosa e fare tutto senza il tuo token. Posso persino rubare le tue sessioni TCP.

    
risposta data 10.04.2014 - 18:31
fonte
5

L'autenticazione a due fattori corretta (autenticazione con una password e un token monouso inviati tramite un canale esterno) fornisce protezione contro l'attacco Heartbleed. Un utente malintenzionato può ottenere sia la password che il token, ma con un'implementazione corretta, il token è inutile per tentare effettivamente un login proprio: è monouso e non fornisce alcun indizio su quale sarà il prossimo token essere.

L'autenticazione "wish-it-was-two-factor" utilizzata da troppi siti (nome utente, password, domande trivia su di te) non fornisce assolutamente alcuna protezione.

    
risposta data 10.04.2014 - 07:36
fonte

Leggi altre domande sui tag