Autenticazione a 2 fattori - Chi sono fiducioso?

Un'app autenticatore TOTP (Time-based One-Time Password) non avrà il tuo nome utente e password. Quello che avrà è un token segreto che viene utilizzato per generare una sequenza pseudo-casuale specifica di numeri che cambia in base al tempo (in genere ogni 30 secondi). L'app non ha nemmeno bisogno di connettività di rete - è solo a scopo di backup nel caso in cui si perda il telefono. Il suo compito è semplicemente calcolare, per l'ora corrente, quale dovrebbe essere il numero pseudo-casuale. Il sito al quale si effettua l'accesso avrà lo stesso token memorizzato e associato al proprio account e calcolerà lo stesso valore pseudo-casuale in qualsiasi momento. Pertanto, quando si accede, richiede il valore corrente visualizzato dall'app.

Chi ti fida?

In generale, la risposta è "nessuno", il che è positivo:

• Modifica : naturalmente, ti stai sempre fidando che l'app che hai installato sul telefono fa quello che pretende di fare, non ha brutte vulnerabilità di sicurezza, ecc ... Non puoi mai fidarti veramente di "nessuno" quando si tratta di computer, a meno che non si ricominci da zero (come nella sabbia) e si crei da solo il proprio hardware; -)

• Google Authenticator memorizza solo i token localmente sul telefono. Se il tuo telefono è stato violato, qualcuno avrebbe i tuoi token TOTP, ma a parte questo, stai bene.

• Authy crittografa apparentemente i token localmente sul tuo telefono usando una password che inserisci, in modo tale che stia semplicemente memorizzando un blob crittografato per te (vedi il loro blog postare su questo per i dettagli) . Ciò significa che anche se i server di Authy vengono violati, nessuno sarà in grado di determinare i token TOTP a meno che non indovinino la password utilizzata per crittografarli.

• Anche se qualcuno ha preso i token TOTP, questo li lascia solo sconfiggere il secondo fattore: non fornisce loro alcuna informazione sul tuo nome utente / password.

** App Best Practice **

Per quanto riguarda le migliori pratiche, ecco alcuni pensieri:

• Questo post favorisce Authy e sembra dare una chiara spiegazione dei problemi con Google Authenticator, così come alcune informazioni sulle funzionalità che vorresti. Nello screening di un potenziale candidato, sembra che l'elenco delle caratteristiche desiderabili includerebbe:

  1. Un modo per autorizzare un particolare dispositivo se si perde
  2. Un modo per eseguire il backup dei token di autenticazione, nel caso in cui il telefono venga cancellato. Questo metodo di backup dovrebbe crittografare i token localmente sul telefono con una chiave / password che l'entità che fa il backup non ottiene mai: altrimenti ti stai fidando di non dare i token TOTP a un cattivo. Ancora una volta, si tratta di token TOTP ed è completamente separato dal tuo nome utente e password.
  3. L'abilità di de-autorizzare un dispositivo usando un altro, nel caso in cui il dispositivo venga perso / rubato. Ciò significa che ogni dispositivo ha i propri token TOTP (non lo stesso token condiviso su più dispositivi).

Bene, l'enigma piuttosto interessante con 2FA o multiFA è l'endpoint e il modo in cui i token attraversano la rete. Se utilizzi il servizio SMS di Google o l'autenticatore, nota come viene passata la chiave segreta condivisa. All'indicatore più debole, almeno per i servizi SMS, se la telco memorizza gli SMS e ha accesso al tuo stream, allora dovrai fidarti della telco o di chiunque non utilizzi il tuo cookie condiviso così come il codice di autenticazione per accedere al tuo account. Con un telefono compromesso, stai anche guardando qualcuno che può leggere gli sms e la tua passphrase.

Prima di tutto, ogni volta che installi qualsiasi software di qualsiasi varietà, ti stai fidando dell'autore di quel software. Non c'è modo di aggirare questo. Ti stai fidando che l'autore non è malizioso, che non è sciatto, che sa quello che sta facendo, che la sua implementazione è corretta, e una dozzina di altri punti pure.

Allo stesso modo ti stai fidando del proprietario del sito in molti degli stessi modi. Oltre a ciò, è solo matematica. Ti stai fidando della matematica.

Google Authenticator è indiscutibilmente affidabile come è possibile in quanto la società è ben consolidata e ha costruito una reputazione sui suoi strumenti e servizi essendo a prova di proiettile. Non c'è letteralmente alcun incentivo per loro a imbrogliare, e un strong incentivo (e ampie risorse) per creare una soluzione ben progettata.

Ma prendono alcune decisioni di sicurezza che molte persone trovano scomode (come non consentire l'esportazione di chiavi). Quindi potrebbe essere una ragione sufficiente per usare un'alternativa.

Vorrei precisare che, se possibile, utilizzare il token U2F . Io personalmente lo uso e sono molto soddisfatto dell'esperienza. Mentre TOTP / HOTP è davvero buono, U2F fa un ulteriore passo avanti fornendo una protezione assoluta contro il phishing - qualcosa di cui nessun altro prodotto di cui sono a conoscenza può vantare. U2F è stato progettato appositamente per questo scopo e fa davvero la differenza. Solo 2 settimane fa ho incontrato un rapporto di una vittima che stava usando il TOTP ma è stato indotto a digitare il suo token di autenticazione in un attacco di phishing e ha perso il controllo del suo account. U2F lo avrebbe protetto.