L'utilizzo di client desktop 2FA come Authy Desktop è una buona pratica?

5

Fondamentalmente la 2FA si basa sull'idea che invece di una cosa che sai, l'utilizzo di un servizio richiede anche qualcosa che possiedi.

Sono piuttosto fiducioso, soprattutto se usato su iOS (che ha una segregazione delle app a livello di sistema migliore), che offre una sicurezza piuttosto buona. Anche se non sono sicuro di aggiungere un'utilità 2FA desktop.

A mio avviso, un utente malintenzionato dovrebbe intercettare la mia password (probabilmente tramite un keylogger sulla mia macchina desktop se registro di più) e un accesso al mio telefono o alla chiave memorizzata sul mio telefono. Ma posso probabilmente immaginare che qualcuno in grado di configurare un keylogger possa rubare informazioni sufficienti per riutilizzare qualsiasi sistema 2FA disponibile sul mio computer desktop.

Scrivendo questo sto capendo che questo è basato sulla percezione che:

Integrità del computer < Integrità del telefono < Integrità iOS

I computer hanno maggiori probabilità di essere corrotti attraverso la pila di cianfrusaglie che sto installando su di essa e la loro più importante "apertura" ai cambiamenti di sistema.

Gli smartphone hanno un ecosistema più restrittivo e una vita più breve, quindi una probabilità più leggera di essere infetto.

iOS, è comparativamente l'ecosistema più chiuso in cui, a differenza di Android, la maggior parte degli accessi non viene aperta in API e il controllo dell'app è più completo.

    
posta AsTeR 17.12.2017 - 17:10
fonte

1 risposta

5

Hai fatto un'ipotesi che influenzi il tuo risultato, e non puoi dimenticare che stai facendo questa ipotesi: quella "probabile" ottiene la tua password tramite il computer desktop (cioè keylogger). Se questa è la tua analisi delle minacce, va benissimo, non dimenticare che hai fatto questa differenziazione.

Poiché l'analisi delle minacce è basata su desktop, allora sì, la conclusione è corretta: l'aggiunta di una funzione di sicurezza al desktop già presunto compromesso non aggiunge un livello di sicurezza. Se uno può ottenere la tua password, allora si può ottenere il tuo codice 2FA.

Tuttavia, un'opzione desktop 2FA non è inutile se cambiamo le nostre ipotesi. Supponendo che sia più probabile ottenere le nostre password dai servizi che usiamo (anziché dai nostri desktop), o anche che si possano ottenere password dai nostri dispositivi mobili, allora la misura di sicurezza del desktop aggiunge legittimamente una funzione di sicurezza utile.

L'ultima domanda diventa: quale è il vettore più probabile di compromissione della password? E quella domanda cambia costantemente. Ed ecco perché essere consapevoli delle nostre valutazioni delle minacce e rivederle di volta in volta è molto importante.

Quindi, l'opzione desktop 2FA è valida, a seconda dell'analisi delle minacce.

    
risposta data 18.12.2017 - 17:22
fonte

Leggi altre domande sui tag