2FA mi proteggerà in caso di violazione della password?

4

Per farla breve, non sono particolarmente preoccupato per un utente malintenzionato che ruba la mia password quando effettuo l'accesso a un sito web. Di solito non mi collego a reti non fidate, e quando lo faccio faccio un punto di verifica dei certificati SSL. Non tengo mai le mie password sul mio computer. Esco sempre da siti Web sul mio portatile, che è l'unico computer che lascia la mia casa. E così via.

Quindi l'unico vero modo in cui posso vedere un utente malintenzionato accedere a un account online è:

  1. Forza brutalmente la mia password attraverso una pagina di accesso.
  2. Accesso a un database di password dal sito web di destinazione.

Nel primo caso capisco in che modo 2FA mi proteggerà. Ma mi proteggerà in quest'ultimo caso? Allo stesso modo, che dire dell'autenticazione della chiave pubblica (non 2FA, ma non c'è nessuna password da perdere)?

    
posta Micheal Johnson 27.03.2017 - 10:06
fonte

1 risposta

3

Dipende da cosa esattamente è stato violato

Se la violazione è solo nomi utente e password, allora in questo caso 2FA ti proteggerà.

Tuttavia, se l'utente malintenzionato può estrarre le password, chissà che altro possono estrarre? Le password monouso si basano su una chiave segreta condivisa tra client e server. Se la violazione consente a un utente malintenzionato di estrarre le chiavi segrete, è possibile generare OTP falsi, quindi 2FA non ti protegge.

È buona prassi utilizzare le password hash prima di memorizzarle in un database, che fornisce una certa protezione in caso di violazione. Non è possibile hash la chiave segreta per un OTP - il server ha bisogno della chiave segreta originale per verificare l'OTP inviato. Per questo motivo, è buona norma disporre di un microservizio dedicato per la verifica OTP. Se l'applicazione principale è compromessa, si spera che il microservice non lo sia.

Autenticazione della chiave pubblica

In questo caso il server ha solo la chiave pubblica. Una violazione del server non può rivelare la chiave privata. Nel caso di una violazione del database di sola lettura, un utente malintenzionato non può accedere come utente. Tuttavia, se c'è stata una violazione di read-and-write, un utente malintenzionato potrebbe sovrascrivere la tua chiave pubblica con la propria e procedere per impersonare te.

    
risposta data 27.03.2017 - 10:38
fonte

Leggi altre domande sui tag