C'è un vantaggio nell'impostare un codice di sicurezza su un account che ha già un 2FA basato sul telefono?

3

Sto esaminando le opzioni 2FA per il mio account Google e ho notato che ora consentono di aggiungere una chiave di sicurezza al tuo account. Sono un po 'novizio per l'infosec, ma sto lottando per vedere il vantaggio per me. Il mio telefono copre già il componente "qualcosa che hai" della sicurezza dell'account.

L'unico pensiero che ho è che un phisher potrebbe chiedermi di inserire il mio codice 2FA e usarlo per accedere, e potrei non accorgertene. Ma non vedo alcun motivo per cui un phisher non potrebbe chiedermi di toccare il pulsante sulla mia chiave di sicurezza, anche.

Ci sono ulteriori vantaggi per la chiave di sicurezza che non vedo?

    
posta Zyerah 04.04.2018 - 09:39
fonte

1 risposta

2

Suppongo che la chiave di sicurezza a cui ti stai riferendo sia una chiave di sicurezza U2F.

U2F ha diversi vantaggi rispetto ad altri schemi 2FA come OTP, uno dei più grandi miglioramenti è quello di prevenire il problema che si sottolinea. Con la maggior parte degli schemi 2FA, un phisher potrebbe semplicemente fungere da proxy tra te e il servizio legittimo e ottenere la tua password e il codice 2FA in questo modo. U2F impedisce questo con l'aiuto del browser.

L'autenticazione funziona come segue: (in qualche modo semplificato)

  1. Il sito Web invia un richiesta di firma
  2. Il browser convalida l'AppID nella richiesta di firma corrisponde al dominio visitato (o che il dominio è un attendibile sfaccettatura )
  3. Il browser inoltra la richiesta di firma al dispositivo U2F
  4. Il dispositivo utilizza l'AppID e l'handle della chiave per recuperare la chiave privata, che viene utilizzata per firmare la sfida
  5. La firma viene inviata nuovamente al browser e sul sito Web per verificarlo

Se un MitM agisce semplicemente come un semplice proxy, questo non riuscirà nel passaggio 2, in quanto il dominio non corrisponderà all'appID nella richiesta di firma. Se MitM filtra la richiesta di firma e modifica l'AppID in modo che corrisponda al dominio di phishing, non riuscirà nel passaggio 4, poiché l'AppID e l'handle della chiave non specificano più una chiave valida.

Ovviamente, il phisher ha già la tua password a questo punto, quindi dovresti cambiarlo, ma almeno non possono entrare nel tuo account.

    
risposta data 04.04.2018 - 17:30
fonte

Leggi altre domande sui tag