LastPass Grid Authentication vs Google Authenticator quale è più sicuro?

Naviga le tue risposte
12

Recentemente, mi sono spostato su Google Authenticator invece di utilizzare l'autenticazione a griglia come protezione a 2 fattori. Per me, trovare e riempire lettere da una matrice così densa è un compito piuttosto goffo.

Ho delle nozioni di base su Grid, Google e alcuni altri lavori di autenticazione dei fattori LastPass 2 (Yubikey / Sesame, ...) In generale, Yubikey è considerato leggermente più sicuro di GoogleAuth, quindi mi chiedo solo il confronto tra la griglia e l'app di autenticazione di Google.

Esempio di un numero casuale a 6 cifre generato dall'app Google Authenticator:

Adesempio:iltelefonopuòessereperso(puòessererubatooqualcosa).Intalcaso,nonèverochetuttiinumeripseudocasualigeneraticostantementedall'appsonofacilmenteespostialladro?(Sesiusal'appGoogleAuthinmodoestesoesenonproteggemoltoseriamenteilpropriotelefono-beh,cosìfacendorallentailnostroprocessoperaprireiltelefono,quindinormalmentelepersoneapplicanosolounsempliceschema)

EccocomeappareunagrigliaLastPass:

Per Grid, la scelta normale è stamparlo e metterlo in un portafoglio. Naturalmente, il tuo portafoglio può anche essere perso, ma se non hai bisogno della griglia molto frequentemente, puoi tenerlo in un posto sicuro a casa. Non portare la griglia in giro riduce la possibilità che qualcuno possa ottenerlo. Questo è diverso dal telefono: devi sempre portare il telefono.

Quindi la griglia cartacea può essere maldestra, ma da una certa prospettiva (come nell'esempio sopra), sembra migliore. Consideriamo ora l'aspetto della "sicurezza", che può essere considerato più sicuro (teoricamente / praticamente) rispetto all'altro, e perché? O sono solo allo stesso livello?

Non è molto facile trovare rapidamente il contenuto corrispondente delle coordinate:

Modifica:questoragazzohafattoun'ottimadiapositivasull'autenticatorediGoogle.Bene,ilcasodeltelefonopersoèinqualchemodo"banale", ma il seme da alimentare per TOTP è memorizzato in testo semplice .

link

    
posta Jim Raynor 29.04.2014 - 14:04
fonte

2 risposte

19

I personalmente preferisco Google Authenticator che è fondamentalmente un'elegante implementazione di Algoritmo per password monouso basato sul tempo ma non mi sentirei a mio agio nel dire che "è più sicuro".

Per utilizzare una delle mie parole d'ordine preferite ... tutto si riduce a Modellazione delle minacce . Che cosa stai cercando di proteggere esattamente? È un attaccante tecnico che potrebbe essere in grado di ottenere malware sul telefono? O uno dei tuoi amici che cerca di pubblicare cose sporche sulla tua pagina di Facebook? Penso che la differenza più importante tra i due metodi sia: l'utente malintenzionato potrebbe avere un accesso fisico?

Ci sono anche un numero enorme di variabili, crittografate il telefono? Il telefono si blocca automaticamente? Hai lasciato il tuo portafoglio non frequentato? È impossibile dare una risposta finita, ma ognuno ha i suoi pro e contro e le fiere meglio in alcune aree rispetto ad altri. Alcuni punti interessanti sono:

Accesso fisico

Quando un utente malintenzionato ha accesso fisico hai perso, ma alcune cose reggono meglio di altre.

  • Griglia : qualcuno può scattare una foto. Prende circa 2 secondi.
  • Authenticator : per quanto ne so, è necessario l'accesso come root per ricevere le chiavi. Senza una pianificazione seria, difficilmente riuscirai a farli entrare in pochi minuti. Molti telefoni hanno tracker GPS in modo da poterli trovare se vengono rubati.

Accesso remoto / malware

  • Griglia : non conosco alcun malware che infetta la carta. Detto abbastanza.
  • Authenticator : ci sono state diverse app dannose nel play store, genraly sono state tirate abbastanza velocemente ma succede. Alcuni possono persino diventare root. Ci sono molti modi per mantenere aggiornato il tuo telefono e pulirlo dipende molto dalle tue pratiche se installi applicazioni non fidate o leggi il manifest per ognuna, ecc ...

Host compromesso

Questo è interessante perché ritengo che Authenticator abbia un leggero vantaggio. Ci sono stati diversi trojan bancari che usano attacchi Man in the Browser . Nessuno di questi fermerà quello ma:

  • Grid : se sei su un host compromesso che ha installato un keylogger dopo un po 'potrebbe creare una copia della tua griglia e poi essere utilizzato da un utente malintenzionato in un secondo momento. (ad esempio, scopri cosa sono U7, M8, I5 e così via e crea la tua copia della griglia)
  • Authenticator : ogni codice deve essere computazionalmente indistinguibile da casuale, quindi anche se hai gli ultimi 5.000 codici utilizzati, non puoi calcolare quale sarà il prossimo.

Convenienza

Questo è un massiccio fattore che spesso viene trascurato nella sicurezza. Anche se uno era molto più sicuro dell'altro, ciò che è importante è renderlo utilizzabile e senza interruzioni abbastanza da far sì che le persone lo usino effettivamente.

  • Grid : se molti siti diversi lo utilizzano, ne occorrerebbe uno per ciascun sito con due fattori. Non penso che sia in scala.
  • Authenticator : ho sempre il mio telefono con me e ho alcuni siti che usano due fattori, continui ad aggiungerli, è abbastanza scalabile. Inoltre, come dici tu, è più facile digitare le 6 cifre che cercare una griglia per il contenuto corrispondente. Questo è molto soggettivo ma trovo ciò più conveniente.
risposta data 28.07.2014 - 07:56
fonte
2

(Ho lavorato per il team Account di Google, specializzato in problemi di sicurezza utilizzabile come questo.)

Nell'autenticazione, ci sono tre fattori fondamentali: "ha un", "sa un" o "è un". I due sistemi in discussione sono entrambi "ha un". Nel caso di LastPass, l'utente ha un pezzo di carta. Nel caso di GAuthenticator, l'utente ha uno smartphone particolare.

In tal caso, direi che sono approssimativamente simili. Forse i compromessi sono quelli,

  1. Tutti hanno già uno smartphone.
  2. Le persone non prestano il proprio smartphone ad altri, non così facilmente come copiare un pezzo di carta comunque.
  3. La digitazione di un numero è più semplice rispetto alla risposta alla tabella di ricerca 4 passaggi.

Entrambi sono ancora vulnerabili a sofisticati attacchi man-in-the-middle, o furti.

    
risposta data 30.07.2014 - 05:39
fonte

Leggi altre domande sui tag

Sicurezza iPhone 5S: data l'impronta digitale di qualcuno posso usare una stampante 3D per creare un dito falso con un'impronta reale su di esso? Ho incontrato codice di attacco JavaScript: come faccio a cercare informazioni sulle specifiche dell'exploit?