Authy 2FA best practice

8

Ho usato l'app mobile di auth per un po 'di tempo per i token OTP, ma ho disattivato il backup / sincronizzazione. Ho notato che hanno un'app desktop, che sarebbe molto più comoda la maggior parte del tempo, ma mi chiedo se ci sia stata qualche ricerca sulla sicurezza nella loro implementazione e se questa è una buona idea oppure no.

Sembra che per usare l'app per desktop devi abilitare la sincronizzazione di authy tra i dispositivi. Questo sembra esattamente lo stesso di un gestore di password: il seme OTP si sincronizza tra i dispositivi, crittografato con una password principale, lo stesso delle mie password 1Password generate casualmente. E probabilmente conserverei la password principale auth in 1Password comunque non devo ricordare una nuova password sicura.

Quindi la mia domanda è, vale la pena utilizzare o sarebbe quasi lo stesso per disattivare 2FA dal momento che è approssimativamente lo stesso modello di dati e non è più un secondo fattore indipendente?

    
posta danny 07.09.2016 - 19:39
fonte

2 risposte

6

Divulgazione completa, sono un architetto di soluzioni per Authy e conosco abbastanza bene il nostro prodotto. :)

Prima di tutto, NON spegnere assolutamente 2FA! Il vero caso d'uso che stai impedendo con 2FA è qualcuno che compromette il database del sito web e sta scappando con la combinazione login / password. Usa sempre 2FA!

Con 2FA attivato, ti viene anche notificato che qualcuno sta tentando di accedere e puoi successivamente negargli l'accesso. Se disattivi 2FA, tu 1) non sarai avvisato e 2) non sarà in grado di negargli l'accesso.

Per quanto riguarda i tuoi problemi di sincronizzazione, ti assicuro che abbiamo pensato a molti di questi problemi e abbiamo una solida soluzione tecnica.

Prima di tutto, la sincronizzazione è attiva (come hai notato). In secondo luogo, i semi di OTP Authy tra ciascuno di questi dispositivi sono DIVERSI . Ecco un'immagine affiancata dell'app Authy Desktop e dell'app iPhone di Authy. Si noti che i valori sono diversi!

IsemidiGoogleAuthenticatorchesonomemorizzatiinAuthysarannoglistessiinquantohannosolounsingolovaloresemechedeveesserememorizzatoecondiviso.Questaèunalimitazionedell'approcciodiGoogleAuthenticator.Questivalorisemevengonocrittografatitramitelatuapassworddibackup.

Seiltuotelefonovienesmarritoorubato,puoidisabilitarel'accessodiqueldispositivotramiteunodeglialtrituoidispositivi.

Perulterioriinformazionisullasicurezzadelsupportomulti-dispositivodiAuthy,controllaquestoscambioQ/A: Authy - il mio backup è protetto solo dalla mia password o dal mio 2FA

Spero che questo aiuti! Fammi sapere se hai altre domande.

Saluti, - Josh @ Authy

P.S. Uso anche 1Password e uso una password piuttosto grossa per backup & sync.

    
risposta data 13.09.2016 - 00:02
fonte
0

Come note su cornelinux , questo non è il vero secondo fattore.

Tuttavia, è abbastanza vicino per i casi d'uso della maggior parte delle persone e sicuramente molto più sicuro che basarsi solo sulla password.

Per impostare Authy in primo luogo è necessario un "secondo fattore" verificato tramite chiamata / SMS , che non è vero secondo fattore neanche. Tuttavia, di nuovo abbastanza vicino per la maggior parte dei casi d'uso.

Qualsiasi utente malintenzionato che acceda alla tua password di Authy dovrebbe intercettare anche l'autenticazione del telefono / SMS, quindi direi che aggiunge una sicurezza significativa sulla sola password.

    
risposta data 08.09.2016 - 15:26
fonte

Leggi altre domande sui tag