Le migliori pratiche per memorizzare in modo utile i codici di backup di autenticazione a due fattori?

5

Per molti servizi Web che offrono l'autenticazione a due fattori, dopo aver configurato il sistema, viene fornito un breve elenco di codici di backup (blocchi temporali) lunghi circa 7-10 caratteri. Questi sono pensati per essere usati nei casi in cui non hai accesso al tuo secondo fattore di autenticazione, come un dispositivo perso, in viaggio, ecc.

Quali sono alcuni buoni modi / idee per essere in grado di portare in giro i codici di backup della tua persona in modo che siano:

  1. Not obviously identify what service they are connected to, so that others won't see "Google Acct: 9824 24 312"
  2. Not easily able to be used by someone who steals a notecard with the backup codes on it for example.
  3. Easy for the user to understand and use without the means of anything more advanced than a basic calculator (just an example, there could be means without any device at all)
    
posta 0d0h0m0s 19.12.2014 - 20:05
fonte

3 risposte

3

Utilizza il metodo One-Time Pad per crittografare i codici. Quindi puoi facilmente decrittografarli con carta e penna finché ricordi la chiave. Dal momento che i caratteri del codice 2fa sono quasi uniformi (tutti i personaggi hanno la stessa probabilità di apparire in ogni posizione chiave), puoi usare una chiave non uniforme come una frase facile da ricordare.

Un bonus per crittografare i tuoi codici è che puoi trasportarne più copie (una nella tua valigia, una nel portafoglio, una su un URL pubblico) e non preoccuparti che vengano perse o rubate.

Un punto debole di questo è se si utilizza la stessa chiave per utilizzare un One-Time Pad per crittografare tutti i codici di backup 2fa e uno dei codici viene sottoposto a forzatura bruta, l'utente malintenzionato può derivare la chiave e quindi decrittografare tutti i codici . Mentre per i provider di account è prassi standard l'accesso con limite di velocità per impedire attacchi di forza bruta, alcuni fornitori di account potrebbero avere una protezione peggiore di altri e non si dovrebbe presumere che tutti i fornitori di account dispongano di una protezione adeguata. La sicurezza del codice di backup 2fa è valida solo quanto il fornitore di account più debole. Pertanto, dovresti utilizzare una chiave diversa per ogni account che annulli uno dei principali vantaggi di questo metodo: devi solo memorizzare una chiave.

sull'uniformità dei codici 2FA

Se si utilizza One-Time Pad (OTP) per crittografare una frase, la chiave deve essere uniforme da custodire contro l'analisi di frequenza. Ma in generale il testo in chiaro o la chiave devono essere uniformi. Google Authenticator e altri provider 2fa utilizzano un hash generato da SHA-1 per generare i codici 2fa, che è lo standard per HOTP (RFC4226) e TOTP (RFC6238) . Mentre SHA-1 potrebbe non essere perfettamente uniforme, SHA-1 è quasi uniforme e abbastanza vicino alla divisa quell'analisi di frequenza non è un attacco fattibile. Pertanto, qualsiasi chiave non ovvia, come una frase o frase facile da ricordare, può essere utilizzata per crittografare i codici 2fa.

    
risposta data 01.03.2018 - 20:28
fonte
1

Un'idea che avevo era di applicare una sorta di semplice processo (o cifratura) ai codici di backup in modo che fossero oscurati, ma in grado di decodificare ricordando il processo. Forse qualcosa come ROT13 o xor. Successivamente, li stamperesti su un modello di biglietto da visita e li imposterai come informazioni di contatto. Questo si riduce alla sicurezza attraverso l'oscurità, ma almeno parzialmente aiuta a risolvere il problema.

    
risposta data 19.12.2014 - 20:06
fonte
0

Memorizzarli sulla tua persona è una cattiva idea.

I codici di backup sono password di bypass. Sono essenzialmente una backdoor al tuo account protetto da 2FA . Sono più potenti della normale password dell'account.

Con questo in mente, dovresti considerare se vuoi mantenerli affatto. Dopo tutto, se i codici di backup esistono, diventano più preziosi della password del tuo account. Il tuo account sarebbe più sicuro se nessuna di queste password di backup esistesse: sono l'antitesi del perché 2FA esista in primo luogo. Dovresti trattarli come password di prima classe. Portate le vostre password normali in forma scritta nel vostro portafoglio?

C'è un'alta probabilità che questi codici siano per il tuo account GMail, o il tuo account iCloud, o il tuo account Amazon ... Non è necessario specificare a quale servizio sono destinati, il più comune e ovvio sarà testato e molto probabilmente il ladro avrà ragione. Con questo detto, non penso che ci sia una buona pratica per questo.

I (solo parzialmente) non sono d'accordo con la risposta che consiglia di utilizzare un pad singolo per i codici di backup. Per fare questo è necessario generare e ricordare tante chiavi quante sono le password, il che equivale a ricordare le password stesse. Se i tasti possono essere passphrase facili da ricordare o meno, puoi ricordarne solo tanti (e di solito ottieni codici di backup in gruppi di dieci, e non puoi scrivere i tasti ). Se insisti a scrivere i codici di backup, considera questa soluzione.

Ma il mio consiglio è, se davvero devi mantenere i codici di backup su "te stesso", prendere in considerazione l'apprendimento di uno (o due) per servizio e disabilitare il resto. Per favore non scriverli.

    
risposta data 02.03.2018 - 18:41
fonte