AWS ha rifiutato di fornirmi dettagli sulla procedura di ripristino dell'autenticazione multi-fattore

6

Ho chiesto ad AWS:

  1. Come faccio a ripristinare l'accesso all'Account AWS in caso di perdita del dispositivo con installato Google Authenticator?
  2. Nel caso in cui la mia email sia stata compromessa, cosa impedirà all'hacker di rimuovere MFA?

La loro risposta era essenzialmente:

https://aws.amazon.com/forms/aws-mfa-support

When you fill up the form, there is specialized team (Not from Premium Support) will contact you via phone ONLY within 15 minutes to verify your identity and ownership of this account. They have a very strict procedures to be followed before removing MFA from the root account. Any incorrect answer for their questions will result rejecting this request and ending the phone call.

Poiché ho bisogno di sapere come funziona il processo di verifica per proteggere le informazioni richieste, ho chiesto maggiori dettagli. Dopo alcuni avanti e indietro la loro risposta finale era:

We know customers care deeply about privacy and data security, and that’s why our customers retain control of what security they choose to implement to protect their own content, platform, applications, systems and networks, no differently than they would for applications in an on-site datacenter. Disclosing our processes violate our privacy and security policies.We encourage you to refer to resources on the AWS Site for best practices in securing your account, as provided earlier, including the AWS Security Blog: https://aws.amazon.com/blogs/security/

Thank you for your understanding.

Perché non rendono trasparente il processo di verifica, altrimenti non è una specie di sicurezza attraverso l'oscurità?

Che cosa posso fare per assicurarmi che non venga escluso dal mio account root AWS?

Come fare in modo che l'hacker che ha rotto il primo livello di autenticazione non sia in grado di ripristinare l'MFA?

    
posta Oleg M 29.12.2016 - 21:44
fonte

2 risposte

2

AWS ha già risposto alla tua domanda sulla trasparenza

Disclosing our processes violate our privacy and security policies.

Per evitare di essere escluso dall'account root, eseguire il backup dei token di autenticazione a due fattori. Questo sarà specifico per la soluzione che usi.

Se si utilizza l'app Authy per l'autenticazione a due fattori, è possibile eseguire il backup dei due accessi dei fattori e renderli disponibili su più dispositivi. Authy è protetto da una password.

Per quanto riguarda la tua domanda "Come fare in modo che l'hacker che ha rotto il primo livello di autenticazione non sia in grado di ripristinare l'MFA?"

L'autenticazione a due fattori significa che l'hacker non può accedere al tuo sito web senza il tuo telefono o token o, nel caso di Authy, senza i dettagli dell'account authy. Questo è il punto principale di 2FA: qualcosa che conosci (password) e qualcosa che hai (token).

    
risposta data 23.02.2017 - 01:41
fonte
0

When you fill up the form, there is specialized team (Not from Premium Support) will contact you via phone ONLY within 15 minutes to verify your identity and ownership of this account. They have a very strict procedures to be followed before removing MFA from the root account. Any incorrect answer for their questions will result rejecting this request and ending the phone call.

Gli errori grammaticali in questa citazione mi fanno pensare esattamente a chi ti ha dato quella risposta. Sono sicuro che la pagina web di Amazon sul ripristino del tuo MFA indica un preventivo migliore:

Please tell us about the problem you are experiencing with your MFA device and provide the phone number we can use to reach you. We will call you within 15 minutes of your request for assistance.

E gli errori di ortografia sono a volte buoni indicatori .

Tuttavia,

Why don't they make verification process transparent, otherwise isn't it some kind of security through obscurity?

La risposta a questo dovrebbe essere davvero "perché no?". Potrebbe essere la sicurezza attraverso l'oscurità, ma molto probabilmente è un processo che sta cambiando troppo rapidamente per documentarlo ampiamente. In altre parole, AWS sta ancora lavorando al processo attraverso il quale un MFA può essere recuperato, e documentarlo sarebbe solo dare più lavoro per continuare a documentare ogni cambiamento.

(Sono spesso in contatto con un pentest team su AWS (all'interno di un pub il venerdì la maggior parte delle volte, ma ciò conta ancora) e posso immaginare che il laater sia molto più probabile.)

What can I do to make sure I don't get locked out of my AWS root account?

Nella stessa pagina viene visualizzato un modulo da richiedere agli amministratori di AWS, che ti parleranno e verifica la tua identità. Se riescono a verificare la tua identità (cioè riesci a dimostrare di essere te stesso), reindirizzeranno una parte dell'autenticazione a più fattori.

How to make sure that hacker who broke first layer of authentication is not able to reset MFA?

Supponendo che un hacker che ha superato la prima parte del MFA segnalerebbe il tuo dispositivo come rubato, la prima cosa che un amministratore / operatore AWS farebbe sarebbe chiamare il dispositivo. Se rispondi al dispositivo, è una domanda se sei più capace di dimostrare che sei te stesso o che un hacker è in grado di dimostrare che sei tu. Potrebbe sembrare qualcosa di semplice da fare per un hacker, ma non è così facile, dopotutto:

  • Per quanto tempo hai il tuo account AWS?
  • Con quale frequenza accedi all'interfaccia web?
  • Quanti computer EC-2 sono attualmente in esecuzione su questo account?
  • ...

Quindi sì, come già detto da @Tim, questo è l'aspetto principale del MFA: qualcosa che conosci più qualcosa che hai. Questo, esteso a più cose che potresti conoscere / non avere (ad esempio il dispositivo "rubato" che è stato segnalato) può fare una buona identificazione.

Inoltre, se l'account AWS è molto importante (ad esempio, sei l'amministratore principale dello IAM per la tua organizzazione) puoi scegliere e l'opzione MFA con l'hardware fornito da Amazon . Diventa quindi un'autenticazione a 3 fattori: password, smartphone con app e un portachiavi. Se riesci a perdere lo smartphone e il portachiavi allo stesso tempo, devi essere particolarmente sfortunato.

    
risposta data 23.02.2017 - 02:36
fonte

Leggi altre domande sui tag