Quanto è sicuro CertiVox M-PIN?

5

CertiVox ha progettato un sistema con l'obiettivo di "eliminare le password".

Essenzialmente il sistema autentica gli utenti con due fattori di autenticazione: un PIN di 4 cifre e un token memorizzati nella memoria HTML5 del browser. C'è anche la possibilità di autenticare con un telefono cellulare immettendo un codice di accesso unico che viene visualizzato sullo schermo del computer sul sito Web con cui si sta tentando di autenticarsi. Credo che ciò richieda anche la presenza del token di archiviazione HTML5. Suppongo che una sorta di chiamata interdominio consentirà al JavaScript di ottenere ciò di cui ha bisogno per convalidare il token memorizzato nell'origine del server di autenticazione in entrambi i casi.

Non esiste un database delle password in quanto il sistema utilizza la crittografia e la prova della conoscenza zero per poter autenticare l'utente con il servizio al quale si sta effettuando l'accesso. I tasti sono suddivisi tra il loro server principale e il tuo server hostato (nel caso di SSO M-PIN).

CertiVox è la stessa società che gestiva PrivateSky, che era rimosso alla fine del 2013 . C'è una domanda relativa a PrivateSky qui ( Come può PrivateSky non vedere il tuo dati? ) e sembra avere somiglianze nel modo in cui funziona con M-PIN. Vedi Brian dalla risposta di CertiVox qui .

Alla prima impressione mi ricorda ciò che SQRL cerca di ottenere. I post correlati a SQRL sono qui:

Una pagina che copre M-PIN in profondità è qui .

I miei pensieri sono:

  • Lo scenario MITM non è possibile come con SQRL perché il MITM non avrà il token nel browser.
  • Poiché il token è memorizzato nel browser, diventa l'obiettivo principale per qualsiasi utente malintenzionato.
  • La voce PIN nel browser è suscettibile alla navigazione a spalla, anche se inutile senza il token del browser.
  • Un attacco di phishing potrebbe recuperare il PIN, ancora inutile senza il token del browser.

Le mie supposizioni sopra sono corrette? Ci sono altri punti deboli o vantaggi rispetto all'utilizzo di qualcosa come LastPass Enterprise (ad esempio utilizzando password generate al 100% con entropia a 128 bit e login Yubikey 2FA per LastPass)?

    
posta SilverlightFox 29.05.2015 - 12:42
fonte

1 risposta

3

questo è Brian di CertiVox.

Risponderò alle tue domande riga per riga:

The MITM scenario is not possible like it is with SQRL because the MITM will not have the token in their browser.

Sei corretto, lo scenario MITM non è possibile in quanto M-Pin è un protocollo di risposta alla sfida a prova di conoscenza zero. Un attaccante del MITM vedrebbe solo grandi numeri volare. Il peggiore che un utente malintenzionato potrebbe fare è modificare la sfida o la risposta, nel qual caso l'autenticazione fallirebbe.

As the token is stored in the browser, this becomes the prime target for any attacker.

È vero. Tuttavia, consigliamo ai nostri clienti di utilizzare l'intestazione HTTP CONTENT-SECURITY-POLICY poiché il PinPad M-Pin funziona senza problemi con questa impostazione attivata. Questo protegge da quasi tutti i possibili attacchi XSS noti. Gli attacchi offline a LocalStorage sono possibili solo se il browser (computer) è stato infettato da un malware. Non esiste una soluzione di autenticazione a dispositivo singolo che possa risolvere il problema, per quanto ne so. Inoltre, abbiamo un'app M-Pin Mobile (HTML5, iOS e Android) che mantiene il tuo token nel tuo cellulare invece del tuo browser, come hai detto. Ciò abilita la modalità "Global Authenticator" in modo da poterlo utilizzare per l'accesso remoto alle sessioni desktop. Aggiungendo il supporto TEE, il token non è solo sul tuo cellulare ma in un hardware sicuro all'interno del tuo cellulare.

Tuttavia, penso che potresti perdere il punto di M-Pin; Come dici tu, l'obiettivo dell'attaccante (l'individuo) è ora l'unico modo per compromettere le loro credenziali di autenticazione.

Il grosso problema nel ciclo delle notizie in questo momento è che gli hacker stanno rubando le password di tutti dal database delle password o dei file delle credenziali all'interno dei grandi sistemi aziendali - fuori dal server, non dal client.

QUESTO È IL VERO PROBLEMA SOLUZIONI M-PIN.

Un server M-Pin non memorizza mai credenziali di autenticazione. Non importa se sali e li fai fuori con 30 round. Se sei in un settore regolamentato, sei obbligato a dire al mondo che sei stato hackerato e consigliare agli utenti di cambiare le loro password. Questo può portare a una perdita di fiducia tra i clienti. Vedi Yahoo, eBay, Evernote, LinkedIn, ecc. Ecc.

Quindi, se sei un'impresa o stai eseguendo un'app mobile o un'app Web, l'implementazione di M-Pin come piattaforma di autenticazione elimina il vettore delle minacce e il rischio di danni alla reputazione.

The PIN entry in the browser is susceptible to shoulder surfing, although useless without the browser token.

Esattamente. Rispetto alla sola password, ovviamente elimina il rischio.

Quindi hai ragione, la navigazione a spalla è inutile senza il token come mezzo di attacco.

Inoltre, nella nuova versione 3.4 (che è in fase di test), abbiamo implementato il supporto per l'input da tastiera che ti aiuterà a digitare il numero PIN senza preoccuparti che qualcuno lo vedrà sul tuo monitor.

A phishing attack could retrieve the PIN, again useless without the browser token.

Questo è in realtà uno dei potenti punti di forza di M-Pin. Qualsiasi sito Web di spoof può richiedere a un utente di inserire alcune informazioni private. Nel caso di M-Pin, l'informazione può essere solo il PIN. Tale PIN è completamente inutile senza il token e senza l'ID M-Pin (che è diverso per ogni browser registrato). Inoltre, il sito spoof non può conoscere l'identità dell'utente - viene visualizzato nel PinPad quando si richiede il numero PIN.

In confronto a LastPass, stanno cercando di aiutare a gestire le password. CertiVox M-Pin ha lo scopo di eliminarli completamente. La nostra proposta di valore "M-Pin Core" non è rivolta all'individuo (come LastPass), il nostro è rivolto a sviluppatori e / o CISO / professionisti della sicurezza che stanno implementando applicazioni su larga scala su Internet e vogliono eliminare i rischi derivanti da utilizzando l'autenticazione basata su password.

Il nostro server 'M-Pin SSO' è rivolto alle Aziende che desiderano federare l'Autenticazione M-Pin Strong alle applicazioni abilitate SAML / RADIUS internamente o esternamente.

Spero che ti aiuti.

Saluti, Brian

    
risposta data 30.05.2015 - 06:41
fonte

Leggi altre domande sui tag