Come risolvere le condizioni di gara nelle soluzioni di autenticazione a 2 fattori come i token di sicurezza RSA o Google Authenticator?

6

Uno dei motivi per cui optiamo per l'autenticazione a 2 fattori è la riduzione dell'impatto dei keylogger. La teoria è che anche se un utente malintenzionato è in grado di osservare il tipo di utente nei numeri di token, non sarebbe in grado di utilizzare queste informazioni, poiché la natura delle password monouso impedisce il loro riutilizzo. Tuttavia, se un utente malintenzionato è in grado di osservare i tasti in tempo reale, ci sarà sempre un breve intervallo di tempo tra il momento in cui vengono digitate le cifre del token e quando viene premuto il pulsante "Invio". Uno strumento di attacco può essere facilmente copiato per trarre vantaggio da questo ritardo per autenticare per conto dell'attaccante.

So che yubikeys invia "Invio" come parte della stringa di caratteri che inviano, ma come risolverlo per i token RSA e Google Authenticator? C'è una soluzione?

    
posta mricon 04.01.2013 - 15:56
fonte

1 risposta

8

Non proprio, a quel punto hai a che fare con un cliente compromesso e praticamente tutte le scommesse sono andate via. Il meglio che puoi fare è assicurarti che l'utente sia consapevole del fallimento che (si spera) risulterà in loro fare domande o riprovare. Quando un utente si connette, il vecchio utente dovrebbe essere avviato. Ciò dovrebbe rendere consapevole l'utente legittimo del problema anche se non lo capisce.

Inoltre, se un cliente è così compromesso, probabilmente non c'è bisogno di una condizione di competizione, l'attaccante potrebbe semplicemente usare il client compromesso che l'utente sta legittimamente utilizzando come punto di lancio per le sue nefande azioni. Ciò non genererebbe alcun allarme in quanto sia il buono sia il cattivo provengono dallo stesso cliente.

    
risposta data 04.01.2013 - 16:07
fonte