È sicuro memorizzare un seed di autenticazione a due fattori in un gestore di password?

Naviga le tue risposte
6

Mi chiedo se sia davvero sicuro archiviare il codice seme di Autenticazione a due fattori (ad esempio la chiave segreta per TOTP) all'interno di un gestore di password insieme all'utente e alla password per il servizio.

Se qualcuno ottiene l'accesso al database delle password decodificato (ad es. mentre il gestore password è sbloccato o forzando brute la password master), l'utente malintenzionato ha anche accesso al token TOTP, il che rende l'autenticazione Two Factor piuttosto inutile.

Ai miei occhi, memorizzare il codice dell'autenticazione a due fattori nel gestore delle password è tutto oltre la sicurezza.

    
posta Programie 05.02.2017 - 17:47
fonte

3 risposte

6

Supponendo che si intenda il codice di inizializzazione per una determinata serie 2FA, come richiesto quando si configura per la prima volta un generatore TOTP per un servizio specifico, allora sì, memorizzarlo con gli altri dettagli di accesso non è l'ideale.

Come dici tu, se qualcuno dovesse ottenere l'accesso alla password sicura, sarebbe in grado di accedere senza problemi utilizzando il proprio generatore TOTP con le stesse inizializzazioni.

Se si desidera mantenere i valori di inizializzazione 2FA, una seconda password sicura, tenuta separata dal proprio giorno per giorno, non sarebbe una pessima idea, ma non si vorrebbe mantenere la password nella cassastrong principale! Dal momento che è necessario richiedere i valori solo di rado, non è necessario che siano facilmente accessibili. Anche una stampa in una cassastrong può essere accettabile.

Alcuni servizi consentono di generare un codice di utilizzo per riottenere l'accesso al proprio account in caso di perdita o guasto del dispositivo 2FA. In tal caso, probabilmente è meglio fare affidamento su questi, piuttosto che mantenere i valori di inizializzazione intorno, poiché di solito non possono essere utilizzati per ottenere l'accesso senza che venga inviata una notifica.

    
risposta data 05.02.2017 - 22:45
fonte
2

Non penso che sia una cattiva idea come si suppone. Pensa a quali minacce stai cercando di evitare usando TOTP e pensa a quali scenari di attacco sono resi più facili (o meno) se memorizzi i seed TOTP nella tua password sicura.

Con il seed nel tuo database delle password, TOTP proteggerà ancora:

  • Violazione della password del sito Web in cui si tiene il proprio account
  • Registratore di tasti su computer non attendibili (su cui presumo non eseguirai effettivamente il tuo gestore di password, ma leggi una password da un dispositivo fidato e digita manualmente)
  • Cattura di rete su reti WiFi aperte, ecc.
  • Phishing / social engineering di tu , l'utente

Le cose NON protette comprendono:

  • Ingegneria sociale del servizio clienti / supporto tecnico del proprietario del sito web
  • Un database delle password rubato e una password principale

Il primo caso non può essere aiutato a prescindere da dove è memorizzato il seme TOTP. Il secondo caso merita qualche considerazione aggiuntiva. In particolare, come possono essere violati il database e la password principale? O:

  • L'utente malintenzionato ottiene una copia del database dall'archivio cloud o un backup scartato e incrina la password principale. Una strong password principale (80+ bit di entropia) e l'implementazione sicura di un KDF da parte degli sviluppatori di password manager dovrebbero impedire completamente questo attacco.
  • L'utente malintenzionato mette sul tuo computer malware che è specificamente progettato per indirizzare il tuo gestore di password. Ma considera: se hai malware così mirato sul tuo computer, perché non scrivere malware per dirottare una sessione del browser? O forza-installare un'estensione del browser per rubare tutte le informazioni desiderate? O installare un certificato personalizzato per consentire un attacco MITM? Un'estensione per il browser potrebbe anche visualizzare pagine che fanno sembrare che stavi semplicemente registrando di nuovo il sito, mentre in realtà fornivi le credenziali necessarie per disabilitare completamente 2FA!

Ora, alcuni avvertimenti: esistono malware già pronti (o almeno un codice proof-of-concept) che possono già essere indirizzati a specifici gestori di password. Non sono a conoscenza di malware preconfezionati che interagiscono con un account per disabilitare 2FA.

Ma il punto è che lo scenario solo in cui il seme TOTP causa problemi, è uno scenario che anche causa problemi anche se il seme TOTP è stato memorizzato altrove . Con questo in mente, non ho visto argomenti convincenti contro il mantenimento del codice TOTP nel mio gestore di password, specialmente per i gestori di password che possono utilizzare il seme TOTP per generare i codici al posto di Authenticator, Authy, ecc.

    
risposta data 09.02.2017 - 17:58
fonte
0

Memorizzare i semi TOTP all'interno del gestore password significa: Chiunque abbia accesso alle informazioni memorizzate nel tuo gestore di password può eludere 2FA completamente e ha accesso a tutto.

Non memorizzare i semi TOTP all'interno di Gestione password significa: Chiunque abbia accesso alle informazioni memorizzate nel gestore delle password può non aggirare 2FA e non può ancora accedere a tutti gli account protetti da 2FA.

" Accesso completo a tutto " rispetto a " ancora nessun accesso ai login protetti 2FA ".

Questo è un grosso problema e ho sentito il bisogno di questa risposta dato che è a questo che tutto si riduce.

Avere le sementi TOTP memorizzate separate dal resto ti offre più sicurezza e ha no svantaggi quando parli di sicurezza rispetto all'archiviazione di semi TOTP nel tuo gestore di password.

L'unico vantaggio derivante dall'unione di tutto nello stesso posto è la qualità della vita. Al prezzo della sicurezza!

    
risposta data 08.01.2019 - 23:04
fonte

Leggi altre domande sui tag

'exploit basato su rsync -K' Le coppie di chiavi RSA sono uniche?