Esistono sistemi di autenticazione a due vie + due fattori?

Naviga le tue risposte
3

La mia banca, Google, ecc. usano due sistemi di fattori in cui mi inviano una password One Time tramite mezzi fuori banda. per esempio. SMS o un'app sul mio cellulare o un generatore di token RSA standalone.

Questo sembra buono, tranne per il fatto che è vulnerabile a un tentativo di phishing / sito di rouge che può farmi inserire l'OTP & quindi usarlo al volo per ottenere l'accesso.

Mi stavo chiedendo, sarebbe più sicuro se anche la pagina di accesso autentica mostrasse un PIN inverso, dipendente dal tempo, che potrei abbinare a un PIN simile sul mio dispositivo fuori canale prima di entrare nel vero PIN sul sito web. Sarebbe un buon modo per verificare che il sito che richiede il token sia autentico?

Questo è ingenuo? O migliorerebbe le cose? Se è così, è già stato fatto da eventuali siti / protocolli?

PS. Penso che i fob sicuri come FIDO U2F ecc. Si occupino di questo. Ma sto pensando a un modo per proteggere un sistema di app SMS / Android legacy che genera il secondo fattore.

    
posta curious_cat 27.05.2015 - 06:44
fonte

4 risposte

4

This seems good except that it is vulnerable to a phishing attempt / rouge site that can get me to enter the OTP & then use it on the fly to get access.

Questo è ciò che il certificato x.509 / TLS dovrebbe impedire. Se:

  1. ti fidi della matematica sottostante del certificato x.509 e TLS,
  2. sia il server che il client hanno implementato TLS correttamente,
  3. la macchina client si fida della CA del server (ovvero il certificato di origine della CA è nell'archivio fidato del cliente),
  4. ci si fida del processo di verifica della CA del fornitore del browser (o di un controllo dell'archivio di fiducia) e si ha fiducia nel processo di rilascio del certificato della CA,
  5. ti fidi del tuo browser per convalidare il certificato, come controllare il CN del certificato /, scadenza, elenco di revoca, ecc.
  6. ci si fida che il server abbia implementato le precauzioni per controllare che la sua chiave privata venga utilizzata in modo improprio,
  7. ritieni che il nome di dominio appartenga all'organizzazione con cui vuoi comunicare,
  8. il server passa l'handshake TLS,

quindi puoi essere sicuro che il server dall'altra parte è quello che pensi sia.

In ogni caso, se la macchina che esegue il client dal quale ti stai connettendo è compromessa, sei comunque fregato dato che inserirai sia le tue credenziali che OTP usando la macchina.

    
risposta data 27.05.2015 - 14:42
fonte
2

"Account Microsoft" è probabilmente il più vicino possibile per l'autenticazione di fascia consumer con l'autenticazione a fattore di banda 2

Come funziona quando accedi a un sito (utilizzando l'account MS) che richiede l'autenticazione a due fattori, avvia l'app sul telefono e poi concedi l'accesso.

Non c'è inserimento di pin o codici. È completamente fuori dalla band. (supponendo che tu stia utilizzando la tua rete di provider cel)

Se era presente una richiesta in sospeso, questa viene mostrata di seguito nell'elenco delle richieste che richiedono approvazione.

    
risposta data 27.05.2015 - 15:15
fonte
1

Sì, ci sono le funzionalità OTP di Challenge / Response disponibili sui token di autenticazione hardware e mobile.

Ho sviluppato molti componenti client e server per abilitarmi negli ultimi anni, a nome del mio datore di lavoro, che è un grande player in quel mercato. Vedi le specifiche OCRA, per i dettagli.

Solo un'altra cosa: nemmeno questo protegge dagli attacchi MITM o da un browser / dispositivo compromesso, anche se la semplice cattura dei valori dei secondi fattori che cercano di riutilizzarli in un'altra interazione è inutile.

    
risposta data 27.05.2015 - 14:32
fonte
1

L'autenticità di un sito è sempre qualcosa che gli utenti finali saranno a rischio per essere in grado di verificare. In condizioni ideali, l'utente finale è sempre il link più debole. Possiamo combatterlo fino a un certo punto, ma esistono limitazioni al miglioramento del design e della formazione degli utenti.

Ecco perché abbiamo Certificati SSL con convalida estesa , che ti danno il nome del nome dell'organizzazione giusto per la posizione bar, nel verde intenso. Questo è il motivo per cui i browser non danno più il favicon del sito sulla barra degli indirizzi (la favicon potrebbe essere un lucchetto ). Questo è il motivo per cui molte aziende in realtà registrano i propri dipendenti per addestrarle per quando (non se!) Accade per davvero.

L'intero punto dietro la password monouso fuori banda è che è più difficile da replicare. Un SMS ideale direbbe dove pensa di essere, forse notando che non hai mai usato quel sistema prima. Ciò direbbe a un utente colto che potrebbero essere inviati tramite proxy e ciò potrebbe indicare un attacco Man in the Middle .

Molte banche ti daranno qualcosa di simile al tuo PIN inverso proposto. Ti mostreranno un'immagine che hai selezionato insieme a una frase che hai dato loro. Qualsiasi attacco di phishing dovrebbe interrogare i server della banca per ottenere tali informazioni e il team di sicurezza della banca sarebbe in grado di notarlo e agire. Questo sarebbe anche vero per un proxy. I dati sono potenti e non tutti gli statistici lavorano sulla pubblicità.

Penso che i certificati client SSL siano un bel fuori da questo inceppamento, sebbene ci sia più lavoro necessario per l'implementazione (iirc, qualsiasi sito può richiederlo, quindi può essere usato per tracciarti, devi essere in grado di assegnarlo a un particolare certificato di server corrispondente). / p>     

risposta data 02.06.2015 - 07:13
fonte

Leggi altre domande sui tag

Importa un sottoinsieme di sottochiavi private in GPG Sconfiggi gli attacchi ROP in x86