Autenticazione a vapore e a due fattori

Penso che funzioni un po 'come un segnale di sistema di allarme domestico . Il solo segno nel tuo prato anteriore scoraggerà i ladri persino nel tentativo di entrare nella tua casa a causa di quanto più difficile sarà.

In un senso simile, avere questo risultato si comporta come il segno: se un attaccante ha visto questo, potrebbe anche non provare a entrare in questo account perché è aumentata la difficoltà percepita.

Aumenta la probabilità che un altro account venga scelto come target?

• Direi sì dato che il pool di potenziali obiettivi è appena diventato più piccolo, ogni individuo in quel pool ha una maggiore possibilità di essere un bersaglio

Cosa possono fare quelli senza il risultato di ridurre la possibilità di essere attaccati?

• Crea un segno di sicurezza domestica (Abilita autenticazione a due fattori!)

Riepilogo : non compromette l'autenticazione a due fattori, ma si spera , incoraggia gli altri a seguire le migliori pratiche per proteggere i loro account.

Non compromette lo scopo di 2FA, ma potrebbe influire sulla sicurezza degli utenti che non utilizzano 2FA.

L'obiettivo di 2FA è modificare l'accesso per richiedere, ben due fattori. In particolare, qualcosa che conosci e qualcosa che hai. La pubblicazione di un elenco di utenti che utilizzano 2FA non riduce la sicurezza di 2FA. Un utente malintenzionato deve comunque ottenere la password e il dispositivo.

D'altra parte, potrebbero esserci strategie di attacco che funzionano solo per gli account che non utilizzano 2FA. Ad esempio, se un attacco del dizionario delle password è possibile, gli autori di attacchi possono utilizzare l'elenco pubblicato per identificare account che non utilizzano 2FA e quindi sono vulnerabili all'attacco della password.

Penso che sia importante distinguere tra tre diverse domande che si potrebbero chiedere:

1. Questo compromette la sicurezza di un particolare utente che usa 2FA? Risposta: No. Se utilizzi l'autenticazione a due fattori, renderla pubblica non aiuta l'utente malintenzionato nel tuo account. Se non altro, ti aiuta, scoraggiando alcuni attaccanti di attaccarti.

2. Questo compromette la sicurezza di un particolare utente che non usa 2FA? Risposta: Sì, un po ', perché potrebbe rendere più facile per gli attaccanti di attaccare attacchi mirati a utenti che non lo fanno usa 2FA.

   Detto questo, è importante tenere questo in prospettiva. Non è innocuo, ma non è nemmeno devastante. Non penso che sarà un punto di svolta. Supponiamo che il 50% degli utenti utilizzi 2FA. Quindi un utente malintenzionato che tenta di attaccare un gruppo di account in successione sarà in grado di ridurre il numero di account di cui ha bisogno per tentare al massimo un fattore due, utilizzando la perdita di informazioni indicata nella domanda. Detto questo, ho il sospetto che molti aggressori probabilmente non si preoccuperanno nemmeno di controllare il profilo pubblico e che per gli aggressori questa perdita di informazioni non avrà alcun effetto.

3. Questo compromette la sicurezza dell'ecosistema nel suo insieme? Risposta: Sì, un po '. Naturalmente, questo è principalmente rilevante per Valve, piuttosto che per i suoi utenti. Hanno incentivi per proteggere la propria linea di fondo.

Come utente, se sei preoccupato, una possibile risposta è di abilitare 2FA sul tuo account Steam.

Dovresti contattare Valve per divulgare questa perdita di informazioni? Certo - perché no?