Possibile usare * solo * l'autenticazione U2F?

5

Utilizzare una chiave di autenticazione USB U2F per accedere a servizi come Google sembra una buona idea. Tuttavia, questi servizi spesso consentono di registrare un metodo di autenticazione a due fattori di backup (2FA), che è possibile utilizzare nel caso in cui si perda il dispositivo fisico U2F.

Il fatto che si possa semplicemente usare un "metodo di backup" per accedere a questi servizi sembra sconfiggere il punto di avere la chiave U2F in primo luogo. Se la sicurezza è strong solo quanto il link più debole, un hacker con accesso tramite password a un account può semplicemente bypassare il dispositivo U2F affermando che la chiave è scomparsa, usando (per esempio) SMS.

D'altra parte, le persone potrebbero non voler rischiare che tutti i loro account web accedano a un singolo dispositivo USB. Se è collegato alle loro chiavi, ci sono tutte le possibilità che si perda, lasciato fuori dalla pioggia, ecc. Ecc. Idealmente, sarebbe possibile acquistare due dispositivi U2F registrati con lo stesso "segreto" identico. Non consentendo alcun altro metodo 2FA, quindi nel caso in cui il dispositivo U2F scomparisse, avrei conservato un backup in modo sicuro a casa.

Domanda : è possibile duplicare i dispositivi U2F e impostare servizi online (come Google) su solo consentire U2F, con nessun altro metodo di backup ? Ovviamente se un utente acquistasse due dispositivi U2F e questi dovessero perdere entrambi , l'utente verrebbe bloccato in modo irreversibile dai propri account online, ma questo sarebbe un rischio che l'utente firmi consapevolmente fino a. Non riesco davvero a vedere il punto nel passaggio ai dispositivi U2F a meno che questa non sia un'opzione.

    
posta CaptainProg 16.12.2017 - 23:22
fonte

3 risposte

1

Google offre ora la protezione avanzata, che fa quello che vuoi (con due chiavi di sicurezza).

    
risposta data 02.08.2018 - 11:16
fonte
2

Se il servizio che si sta utilizzando supporta più dispositivi U2F diversi, è possibile aggiungerne più di uno al servizio. Nel caso di Google, credo che supportino più dispositivi collegati. Per dissuadere i codici di sicurezza del backup puoi semplicemente usarli tutti.

Non puoi duplicare il tuo dispositivo U2F, ma potrebbero esserci produttori che vendono coppie. In base alla progettazione, il dispositivo U2F dovrebbe essere di sola scrittura, ovvero restituire solo le risposte alle sfide, non il segreto memorizzato. Permettere di leggere il segreto (al fine di creare un duplicato dopo la creazione) può rappresentare un rischio per la sicurezza poiché chi ottiene il tuo dispositivo U2F può creare un duplicato a tua insaputa.

    
risposta data 19.12.2017 - 14:51
fonte
1

Risposta breve: alcuni siti consentono di disattivare l'opzione di backup se si utilizza un dispositivo U2F, ma farlo è a proprio rischio.

Risposta lunga: la convenienza e la sicurezza sono spesso in contrasto tra loro. Hai ragione, avere una soluzione di login di backup vanifica lo scopo di avere la chiave U2F, dato che tecnicamente potresti usare il tuo metodo di fallback per aggirarlo. Qualsiasi account è sicuro quanto l'autenticazione di fallback. Se non è fallback , allora sei sicuro. Sei anche pro soluto se perdi il tuo dispositivo U2F. A mia conoscenza, non vengono creati due dispositivi U2F con la stessa chiave privata, o almeno non dovrebbero esserlo. Se avessi due dispositivi U2F duplicati, anche questo sarebbe un punto debole della tua sicurezza. È necessario notare che un'applicazione TOTP è un metodo di riserva relativamente sicuro a condizione che il dispositivo che si sta utilizzando sia protetto correttamente.

    
risposta data 20.12.2017 - 18:59
fonte

Leggi altre domande sui tag