Autenticazione a 2 fattori e domande di sicurezza

Naviga le tue risposte
6

Ho un account con una banca con un'opzione di sicurezza aggiuntiva.

Quando non riconosce un dispositivo utilizzato per accedere all'account, sarà:

  1. Chiedi conferma con 1 delle 3 domande di sicurezza
  2. Invia un token unico via SMS al cellulare.

Ho determinato che "riconosce" un dispositivo tramite cookie (quando cancello i cookie del mio browser è quando mi viene nuovamente richiesto l'opzione di sicurezza aggiuntiva).

Supponiamo che le domande / risposte sulla sicurezza che ho scelto non siano soggette all'ingegneria sociale dalla navigazione su facebook / linkedin / etc.

Ho solo alcune domande:

  1. Qualcuno può aiutarmi a enumerare tutti i motivi per cui il token one-time è più sicuro delle domande di sicurezza? Ecco alcuni di quelli che potrei pensare:

    • È vero 2 Factor: cosa-sai-(credenziali di accesso / password), cosa-tu-hai (telefono cellulare).
      Contrariamente a quanto sapete (credenziali di accesso / password) e un'altra cosa-sapete (domanda / risposta segreta)
    • È dinamico e fornisce solo l'accesso per un determinato periodo di tempo.
    • Ci sono altri che mi mancano?

  2. È il fatto che stanno usando i cookie per "riconoscere" un dispositivo e quindi non richiedono più il token una tantum che sovverte questo meccanismo di sicurezza (come mettere un cancello di ferro davanti e lasciare la porta posteriore sbloccata) ?

  3. Avere un account con una banca diversa che utilizza sicurezza simile. Tuttavia, quando cancello i miei cookie, loro riconoscono il mio dispositivo. Suppongo che stiano monitorando i dispositivi noti per indirizzo IP e possibilmente altre informazioni di intestazione HTTP. Questo sarebbe un modo migliore / più sicuro per "riconoscere" rispetto al cookie?

Grazie,

    
posta Philip Tenn 15.08.2015 - 02:07
fonte

3 risposte

6
  1. Are there others I am missing?

La password monouso ha più entropia del nome del cane ed è meno vulnerabile agli attacchi di enumerazione / dizionario.

Su un sito di phishing, è abbastanza facile visualizzare alcune semplici domande personali (ad esempio, qual è il nome del tuo cane). Il sito di phishing non ha bisogno di sapere la risposta. D'altra parte è piuttosto difficile falsificare una password unica inviata al tuo telefono, dal momento che il phisher non conoscerà il tuo numero.

  1. putting an iron gate out front and leaving the back door unlocked?

Forse un po '. Probabilmente non è una preoccupazione se il cookie ha sufficiente entropia, cioè è abbastanza difficile da indovinare. Se l'hacker ha qualche mezzo per ottenere effettivamente il cookie-- ad es. ha accesso fisico al computer-- sei fottuto comunque

  1. when I clear my cookies, they still "recognize" my device

Ci sono un paio di possibili spiegazioni per questo.

Una spiegazione, come hai notato, è l'indirizzo IP, anche se questo non funzionerebbe molto bene per i dispositivi mobili o determinati ISP (gli indirizzi IPv4 cambiano di volta in volta).

Un'altra spiegazione è che il cookie viene eseguito il backup di un diverso token, ad es. un token Flash, che non viene cancellato quando si cancellano i cookie.

Una terza spiegazione è che non stanno realmente controllando se "conoscono" il tuo computer. Al contrario, stanno eseguendo un'analisi delle basi di rischio dell'impronta digitale, dei cookie, dell'indirizzo IP, ecc. Del tuo browser e derivano un punteggio. Se il tuo punteggio non è abbastanza buono, ti viene richiesto il MFA. Una mancanza di cookie non lo fa necessariamente scattare.

    
risposta data 15.08.2015 - 02:35
fonte
1
  1. Can anyone help me enumerate all the reasons that the one-time token is more secure than the security questions?

Per valutare la sicurezza di un sistema non dobbiamo solo elogiare i suoi vantaggi ma anche i suoi inconvenienti. Quindi mi concentrerò piuttosto su quest'ultimo aspetto, dato che tu e @JohnWu avete menzionato i lati positivi e positivi degli OTP ma che sono vulnerabili a questi attacchi:

Alcune soluzioni sono implementate per risolvere alcuni aspetti di queste vulnerabilità, una delle quali è browser rinforzati , altri hanno suggerito l'uso dei token crittografati . Personalmente preferisco i token OATH utilizzati ad esempio da Google.

Ci sono anche altre considerazioni (anche se sono casi estremi ma ancora possibili) come quando il tuo dispositivo (laptop / telefono) viene rubato prima di usare il token che hai. Tieni presente che, a seconda del Paese e del metodo utilizzato per generare e consegnare il token, alcune banche hanno utilizzato i client per ricaricarlo (almeno nel passato).

  1. Have an account with a different bank that uses similar security. However, when I clear my cookies, they still "recognize" my device. I would assume they are tracking the known device(s) by IP Address and possibly other HTTP header information. Would this be a better / more secure way to "recognize" than the cookie?

Controlla la mia risposta alla tua seconda domanda:

  1. Is the fact that they are using cookies to "recognize" a device and thus no longer prompting for the one-time token subverting this security mechanism (like putting an iron gate out front and leaving the back door unlocked)?

Ci sono molte cose che un attaccante può fare con un cookie dirottato ma nel contesto che descrivi (sistema bancario), è inutile se il tuo cookie è compromesso. La tua domanda è troppo seria se i cookie sono l'unico fattore utilizzato dalle banche per riconoscere il tuo dispositivo, ma per fortuna altre tecniche efficaci come fingerprinting del browser sono usati in parallelo (alcuni altri metodi sono elencati anche qui: In che modo le banche determinano quando chiedere l'autenticazione a due fattori?

    
risposta data 15.08.2015 - 08:21
fonte
1

Il token di una volta offre molta più sicurezza della domanda segreta semplicemente perché implementa l'autenticazione a 2 fattori; a parità di condizioni, 2FA (password + codice via SMS, password + token RSA SecurID, ecc.) è sempre più sicuro di una semplice password.

D'altra parte, la famigerata "domanda segreta" - così spesso offerta dai servizi Web come un miglioramento della sicurezza simile a 2FA - non solo non offre alcun miglioramento rispetto a una password, ma diminuisce la sicurezza. Questo perché le risposte segrete hanno molta meno entropia ("Qual è il tuo colore preferito?") E sono soggette a indovinare ("Qual era il nome del tuo liceo?").

Il fatto che la tua banca ti consenta di bypassare 2FA tramite cookie è fatto per migliorare l'accessibilità degli utenti (in qualche modo contrassegna il tuo computer come "sicuro", quindi tutti gli accessi successivi verranno effettuati tramite una semplice password). Potrebbe essere un rischio per la sicurezza se il tuo laptop viene rubato o infettato da un trojan. Personalmente ti consiglio di cancellare i cookie dopo ogni sessione in modo da essere costretti ad autenticarti sempre tramite 2FA.

    
risposta data 15.08.2015 - 16:54
fonte

Leggi altre domande sui tag

Il personale che gestisce i datacenter AWS accede alle mie istanze ec2 e monitora i dati in uso nella mia applicazione? Ci sono dei rischi associati all'uso di una singola chiave U2F / FIDO con più serie di credenziali?