Quali sono i punti deboli del mio schema di autenticazione?

6

Quindi, recentemente, dopo aver frequentato un corso di infosec (FutureLearn's Introduction to Cyber Security, che consiglio vivamente come materiale per principianti ben spiegato), ho deciso di fare il grande passo e finalmente la sicurezza della mia autenticazione in password protetta sistemi informatici. I miei obiettivi erano ...

  • Utilizza password univoche per tutti i servizi protetti da password a cui posso accedere
  • Rendili resilienti alla supposizione, alla forza bruta e agli attacchi di dizionario come fattibili praticamente
  • Utilizza l'autenticazione a due fattori basata su qualcosa che ho quando possibile
  • Evita di affidarti troppo alla disponibilità di un computer specifico (ad es. cellulare), oggetto o servizio (ad esempio copertura di rete), fondamentalmente roba che può essere facilmente violata e rubata
  • Automatizza qualsiasi tipo di sincronizzazione dei dati richiesta

Mi è venuto in mente uno schema di cui sono abbastanza soddisfatto, ma vorrei verificare con qualcuno più esperto che comprendo pienamente i suoi punti di forza e di debolezza. Ed è qui che ho bisogno del tuo aiuto di esperti, se hai del tempo per aiutarmi in questo. Naturalmente, sentiti libero di riutilizzare questa procedura anche per te, non c'è alcun copyright su di esso.

Quindi ecco:

  1. Nel caso generale in cui ho accesso a un computer fidato con una connessione Internet e una porta USB, utilizzo LastPass per generare, gestire e sincronizzare password per-service casuali, con una password master avanzata e un Yubikey come secondo fattore di autenticazione. 2FA è abilitato per i servizi che lo supportano in modo sano.
  2. Per i casi in cui i computer fidati o le connessioni di rete non sono disponibili, ho anche configurato Lastpass per accettare accessi offline sul mio cellulare, utilizzando solo la password principale. L'autenticazione a due fattori viene mantenuta configurando LastPass per accettare solo accessi online dall'UUID di questo cellulare.
  3. Infine, per accedere a sessioni di computer, incluso il mio cellulare, ho scelto di assumere la disponibilità di nessun software e di usare passphrase. Queste passphrase sono generate nella mia testa in base all'identificazione del servizio e cose che sono abbastanza ridicole che me ne ricorderò. Esempi falsi di questo tipo potrebbero essere "HeyAmigo! IDonQuichoteDemandAccessToThisMac" o "OMG! Raptors! ToTheUNIXSystem!".

Ora, nessun sistema è perfettamente sicuro, naturalmente, ed è per questo che volevo essere sicuro di capire dove si trovano i punti deboli di questo schema di autenticazione:

  • Come con qualsiasi gestore di password, ho bisogno di scegliere una password master molto buona per LastPass, in quanto l'incentivo per il cracking è elevato.
  • Devo confidare che il client LastPass sia sicuro su qualsiasi piattaforma, nel senso che funzioni come pubblicizzato (ad esempio, genera password veramente casuali) e non trasmette dati sensibili.
  • Mi devo fidare che il mio schema di accesso in sola scrittura di YubiKey sia efficace e che i server Yubico non perdano la mia chiave AES, perché l'autenticazione YubiKey rimanga protetta.
  • I miei computer fidati, incluso il mio cellulare, devono essere privi di keylogger e altri tipi di malware che potrebbero intercettare le password di master e di servizio di LastPass.
  • Il meccanismo UUID per cellulari di
  • LastPass ', per il quale non ho trovato documentazione tecnica, deve essere sicuro: gli ID devono essere effettivamente unici e la loro creazione deve essere impossibile.
  • Il mio meccanismo di passphrase di accesso è probabilmente meno sicuro delle password generate casualmente che uso altrove. Con lunghe passphrase (10 o più parole, incluse quelle non comuni), confido che sia invulnerabile agli attacchi di forza bruta e dizionario, ma potrebbe essere vulnerabile a indovinare da qualcuno che mi conosce. Quindi può essere abbastanza duro per l'accesso locale, dove ho anche un secondo fattore di autenticazione (accesso fisico alla macchina), ma per l'accesso remoto potrei desiderare qualcosa di più strong.

Pensi di aver capito bene o di vedere un altro punto debole nel mio schema di autenticazione che potrei voler diffidare e cercare di indurire in futuro?

    
posta Hadrien G. 06.11.2014 - 14:33
fonte

2 risposte

4

L'UUID del tuo cellulare non è un secondo fattore significativo in quanto può essere falsificato.

Nelle password lunghe, è ragionevolmente sicuro utilizzare lunghe password basate su frasi, ma la quantità di sicurezza fornita scende DRASTICAMENTE se ha qualcosa a che fare con ciò a cui ci si sta connettendo. Può sembrare ancora difficile indovinarlo, ma stabilire una relazione piuttosto che una pura entropia significa che c'è un lotto molto più lontano di possibili password da cui scegliere. Questo è un problema per la sicurezza della password. Anche se lo riduce a poche milioni di possibilità, è comunque facilmente forza bruta.

    
risposta data 06.11.2014 - 16:02
fonte
2

Io sono molto simile e il modo in cui lo vedo ci sono due principali punti di errore potenziali e non ho davvero una buona soluzione per uno di essi.

Il primo grosso rischio è che LastPass stesso venga violato e che i dati vengano scaricati. Mentre i dati vengono crittografati localmente, la mia password utilizzata per crittografare tali dati non è molto strong. LastPass ha riconosciuto che inserendo una password sicura ogni. singolo. tempo. per accedere al tuo vault può essere un PITA, quindi ora hanno quel codice PIN opzionale per accedere a una sessione aperta.

Il PIN non viene utilizzato per la crittografia, solo per accedere alla sessione. Quindi la mia debole password del passaporto è un problema personale che non ho ancora risolto. Uso anche il multifactor con determinati computer affidabili, che non funzionano completamente sul mio computer portatile Windows 8, il che è fastidioso.

Puoi accordare la barella nelle impostazioni del vault, aumentare le ripetizioni e, eventualmente, cambiare l'alg anche se questo è un po 'sfocato.

Ad ogni modo, il primo grande rischio non è veramente rilevante per te, ma per quelli come me con password master deboli. Questi devono essere aggiornati con password master avanzate e abilitare il codice pin.

L'altro grande rischio non riguarda i tuoi dati, ma la tua capacità di accedere ai tuoi dati. Se perdi il tuo yubikey e il telefono allo stesso tempo in spiaggia o qualcosa del genere, e non hai un portatile fidato in hotel, ti troverai per dei brutti momenti.

Per me il mio telefono è anche il mio autenticatore, quindi tutto ciò che devo fare è perdere il telefono e SOL, spero di non essere in vacanza.

Per questo, ci sono opzioni molto limitate a cui posso pensare. La mia soluzione è avere il mio Windows laptop anche come dispositivo affidabile con sia lastpass che google-auth su di esso.

Se entrambi i dispositivi vengono persi, il grosso problema diventa l'accesso al mio account email che protegge lastpass, anch'esso protetto dal mio autenticatore.

Google supporta le password monouso per la stampa, che ne ho alcune a casa, ma ciò non mi aiuta in spiaggia.

Ho preso in considerazione l'idea di procurarsi un telefono a linea di vita per tenere sempre a noleggio veicoli / camere d'albergo, ma quando si tratta di recuperare da tutti i dispositivi fidati persi o rubati all'estero, non ho una soluzione infallibile . Si riduce a essere in grado di accedere alle tue informazioni da un dispositivo non fidato senza nessuno dei tuoi strumenti multi-fattore, che è esattamente ciò che sono progettati per prevenire.

    
risposta data 06.11.2014 - 17:45
fonte