Authy: il mio backup è protetto solo dalla mia password o da 2FA

6

Ho letto il sito di Authy e fatto alcune ricerche su Google, ma non è chiaro per me se un utente malintenzionato che ha compromesso la mia password di backup dell'account di Authy possa accedere alle mie chiavi senza dati aggiuntivi.

Ad esempio, quando installo l'app Authy, scelgo una password di "B4dpassw0rd" e scelgo di eseguire il backup delle mie chiavi. Se un utente malintenzionato indovina la mia password errata, sarà in grado di recuperare le chiavi crittografate e decrittografarle?

La ragione per cui spero che non sia così, è che quando ho installato l'app sul mio telefono, l'ho registrata con un numero di telefono e ho ricevuto un token 2FA via SMS. Pertanto, sembra che ci sia qualche verifica del dispositivo / account, ma questo può o meno far parte dei dati utilizzati per crittografare il mio backup.

    
posta Steve Campbell 22.08.2016 - 15:49
fonte

2 risposte

9

Sono un architetto di soluzioni con Authy e sono felice di chiarire questo problema per te.

Come hai notato, è necessaria una password per crittografare e archiviare le "chiavi di backup".

Abbiamo anche una funzione di attivazione che consente la sincronizzazione di questi tasti su più dispositivi (iPhone, Android, Chrome Extension). Quando aggiungi un secondo dispositivo, devi fornire il primo numero di telefono per accedere a tali chiavi. A questo punto, puoi scegliere una notifica SMS / vocale o "Usa dispositivo esistente" (il tuo telefono iniziale) per accedere al tuo account Authy.

Se scegli SMS o Voice, il tuo numero di telefono inizialmente registrato riceverà una notifica con un token per accedere all'account Authy.

Se scegli di "Utilizzare dispositivo esistente", riceverai il seguente messaggio sul tuo dispositivo registrato inizialmente come mostrato qui:

Dopoaveraggiuntoundispositivo,puoisemprevedere(erimuovere)idispositiviassociatialtuoaccountdaqualsiasidispositivo.

Perrispondereallatuadomanda,primacheunutentemalintenzionatopossasincronizzarelechiaviconundispositivoaggiuntivo,dovràapprovarel'aggiuntadiunaltrodispositivotramiteuntokenolafunzione"Utilizza dispositivo esistente" in il tuo dispositivo inizialmente registrato. Se sono in grado di fornire questa approvazione, hanno già accesso al tuo telefono principale ... che non è l'ideale.

Spero che questo chiarisca tutto per te.

Cheers! - Josh @ Authy

tl; dr Anche con la tua password, questo vettore di attacco richiede ancora l'approvazione dell'utente dal tuo numero di telefono inizialmente registrato.

stl; dr Il tuo ID Authy è strettamente associato al numero di telefono inizialmente utilizzato durante la registrazione. Avere il "B4dpassw0rd" non aiuterà l'aggressore.

    
risposta data 23.08.2016 - 01:03
fonte
2

Senza richiedere alcun accesso al telefono di un utente, un hacker potrebbe utilizzare l'opzione SMS / Voice & sfruttare le vulnerabilità documentate nel protocollo Signaling System 7 (SS7) per intercettare un token. Potrebbero anche usare un ricevitore IMSI per intercettare i token in transito. Questo non è unico per Authy, dal momento che nessun sistema 2FA basato su SMS ha meccanismi per impedirlo.

    
risposta data 18.07.2017 - 19:43
fonte

Leggi altre domande sui tag