Quanto è sicura un'app per la password che memorizza sia la password che il segreto di due fattori in un'unica posizione?

5

Prendi ad esempio 1Password, che ora può archiviare la tua password e una sola password segreta in un unico posto (il tuo 1Password vault).

So che non è più realmente a due fattori, ma quanto è migliore rispetto all'autenticazione a fattore singolo?

Per essere più chiari, diciamo che ho un account Dropbox con autenticazione a due fattori abilitata, e memorizzo sia la mia password Dropbox sia il segreto OTP in 1Password - quindi entrambi accessibili da un fattore, la mia password principale 1Password. Supponendo che ho una password master strong e la mia password Dropbox è strong e non si ripete da nessuna parte, c'è qualche sicurezza per ottenere dall'uso di due fattori per Dropbox?

    
posta kolossal7 03.02.2015 - 12:51
fonte

2 risposte

4

Sì, c'è un leggero vantaggio in termini di sicurezza se l'autenticazione a due fattori (2FA) è abilitata su un sito anche se si memorizza il codice di generazione / ripristino 2FA nel gestore password. In uno scenario in cui l'utente malintenzionato può monitorare le sequenze di tasti o le credenziali che si inviano al sito Web ma non scaricare il database delle password, non sarà in grado di accedere al proprio account con 2FA attivato perché non sarebbe in grado di determinare il proprio codice seme / reset. Non è uno scenario comune, ma uno script kiddy potrebbe ottenere il software di keylogger pur non avendo l'abilità tecnica per trovare e rubare il database delle password. Un attacco man-in-the-middle raccoglierà anche le tue credenziali senza avere accesso al tuo database delle password.

Una soluzione migliore sarebbe quella di mantenere i codici di generazione / reset 2FA in un database di password separato, bloccato con una password conservata in quella primaria e archiviata in una posizione separata. Quindi anche qualcuno con il tuo database delle password e la tua chiave principale non sarà in grado di accedere ai tuoi account protetti con 2FA e sarai in grado di recuperare i tuoi account se il tuo telefono cellulare (o altro dispositivo 2FA) andrà perso.

    
risposta data 23.04.2015 - 00:17
fonte
1

Sono d'accordo con la risposta di Aron, ma aggiungerò che avere i codici OTP nel password manager sconfigge lo spirito dell'autenticazione multi-fattore che è quello di integrare qualcosa che conosci - una password-- con qualcosa di te avere - di solito il tuo telefono.

L'utilizzo di 2FA per accedere a Gestione password può essere una protezione sufficiente, ma essere chiaro che quando si memorizza il generatore OTP accanto alla password, non è più un vero secondo fattore. Sono entrambi ora un fattore singolo di qualcosa che conosci che potenzialmente può essere compreso nello stesso momento tempo nel gestore delle password.

Potrebbero esserci situazioni in cui avere il generatore OTP nella password manager è l'opzione meno peggio. Considerare a fornitore utilizzato dalla tua azienda che non offre account per utente, quindi i membri del team devono condividere un singolo accesso. Il servizio potrebbe non consentire più dispositivi 2FA o potrebbe non essere possibile impostare tutti i 2FA dispositivi per i membri del team che potrebbero aver bisogno del login. Data questa situazione, condividere la password e il generatore OTP attraverso una gestione delle password soluzione potrebbe essere l'opzione meno peggio, se combinata con 2FA per il servizio di gestione delle password. Questo sarebbe meglio dell'alternativa di disabilitare 2FA del sito di destinazione in modo che l'accesso possa essere condiviso.

    
risposta data 12.02.2016 - 02:32
fonte