Protezione di 2 dati dei fattori da app collocate nello stesso dispositivo?

Naviga le tue risposte
3

Diverse app come GMail, Coinbase, Yahoo e altri richiedono l'utilizzo del dispositivo mobile per accedere ai dati all'interno dell'app.

Ad esempio

  • Gmail richiede TOTP in Google Authenticator (solitamente collocato nello stesso telefono)
  • Yahoo invia un messaggio SMS (allo stesso telefono)
  • Coinbase utilizza Authy utilizza un'app (di solito co-localizzata sullo stesso telefono)
  • Microsoft Azure / O365 (simile ad Authy) utilizza un'app (di solito co-localizzata sullo stesso telefono)

Qualsiasi compromissione del telefono o, più specificamente, comunicazioni tra processi tra applicazioni, potrebbe consentire a un'entità canaglia di accedere ai miei dati protetti.

Domanda

  • Quale approccio è generalmente più sicuro? (app, vs SMS, ecc.)
  • È un rischio che PhoneFactor (Azure, 0365) abbia un pulsante di approvazione in-app che consente l'accesso, o è un giusto compromesso tra facilità d'uso e sicurezza?
  • Qualcuno può spiegare il rischio di un'app di stile OTP (sopra elencata) che ha compromesso i segreti?

Suppongo che il rischio sia maggiore per gli iPhone Jailbroken e gli Androidi con radici.

    
posta random65537 10.03.2015 - 00:11
fonte

1 risposta

1

SMS o app:

L'accesso in stile app è più sicuro su entrambe le piattaforme principali poiché i dati delle app sono in modalità sandbox mentre il provider SMS è accessibile pubblicamente da tutte le app. Android è un po 'più sicuro di iOS poiché fornisce all'utente un elenco di privilegi che l'app sta utilizzando, fornendo quindi un indizio per l'utente per essere più cauto quando l'app richiede l'accesso tramite SMS (oppure, se si utilizza CyanogenMod, può essere persino protetto dagli SMS da Privacy Manager).

D'altra parte, se il dispositivo è compromesso, sandbox non ti aiuterà molto a meno che la sandbox non sia crittografata. Credo che iOS lo faccia ma non ne sono sicuro, dovresti chiederlo a un iGeek. Una violazione sandbox cancella la differenza tra sms o altre app in quanto l'app sms è solo un'altra app. Alcune app OTP crittografano i loro segreti usando un PIN e alcuni dispositivi hanno una sorta di circuito TPM che potrebbe essere sfruttato.

Compromissione segreta OTP:

Se i tuoi segreti OTP sono trapelati, l'OTP non può più essere considerato sicuro. Dovresti negoziare nuovi segreti al più presto. È uguale al tuo token OTP hardware rubato.

    
risposta data 23.03.2015 - 00:48
fonte

Leggi altre domande sui tag

Come posso eseguire con successo un attacco xss su un sito Web fittizio? [chiuso] Come progettare una connessione VPN giusta per un'organizzazione (link MPLS interconnesso o FW individuale)