Vulnerabilità nonostante FIDO U2F?

2

FIDO U2F sembra molto più sicuro delle password one-time-password (OTP), in particolare TOTP, a causa dell'architettura challenge-response. In che modo un utente U2F è ancora vulnerabile?

Suppongo che se il computer di un utente è compromesso o se l'utente perde il dongle U2F, tutte le scommesse sono disattivate, giusto? Ma il phishing non funziona più? (Non sono un aspirante hacker, solo un ragazzo che cerca di capire una tecnologia.)

EDIT: c'è una domanda correlata su U2F collegata ai commenti. Quella domanda chiede quanto sia sicuro U2F. Mi chiedo in particolare sulle vulnerabilità non risolte da U2F.

Grazie.

    
posta Jeff 01.09.2015 - 01:45
fonte

3 risposte

6

A mio parere, l'U2F non ha una cosa al momento: La privacy della tua chiave segreta.

Ogni dispositivo viene fornito con la sua chiave segreta. Una chiave specifica del sito deriva da questa chiave segreta per eseguire la risposta alla sfida quando si accede a un sito. Questo è per tenerti anonimo e registrarti facilmente e autenticarti in un sito.

Ma! Ogni dispositivo U2F che viene venduto al giorno d'oggi viene fornito con una chiave segreta inizializzata non modificabile. Quindi devi fidarti dei venditori, che hanno creato questa chiave segreta.

Mi piacerebbe avere un dispositivo U2F, in cui l'utente può creare la propria chiave segreta! Finché questo non è disponibile, questo è il più grande svantaggio. La mia opinione.

Modifica il 25 febbraio 2017

Questo era vero per i dispositivi Yubikeys e Plugup e molti altri produttori OEM di questi. In effetti oggi ci sono dispositivi / venditori che pretendono di creare e non derivare le coppie di chiavi per la registrazione. (Non ho ancora provato e verificato questo.

    
risposta data 01.09.2015 - 22:47
fonte
3

I presume if a user's computer is compromised or the user loses their U2F dongle then all bets are off, right? But phishing no longer works?

La documentazione che sto facendo dichiarazioni riguardo a questo viene dal documento Protocol Design + Flussi utente su link

I malware su una macchina possono generare falsi messaggi di origine e acquisire risposte risultanti dal dispositivo. L'anti-malware è specificamente etichettato come fuori ambito per la progettazione di U2F.

Come con qualsiasi dispositivo a 2 fattori in qualcosa che hai categoria, perdere il controllo del dispositivo è un segnale che dovrebbe essere disabilitato.

Ora, con questi avvertimenti, il phishing è protetto perché il software richiedente passa un identificatore di origine al dispositivo U2F. Ciò significa che g00gle.com non può acquisire le credenziali del 2 ° fattore per google.com perché hai fatto clic su un link nella tua email.

    
risposta data 02.09.2015 - 01:02
fonte
-2

In generale, l'autenticazione a 2 fattori è richiesta in applicazioni molto sensibili come le transazioni finanziarie militari e altamente sensibili. Nota che molte applicazioni di home banking non usano più 2 fattori.

2 fattore contro TOTP è un trade off di minaccia di rischio contro il costo di contromisura.

BTW - la maggior parte delle risposte alle tue domande sono qui link

Come si dice Si raccomanda agli utenti di registrare almeno due dispositivi U2F con ogni fornitore di servizi, il quale può facoltativamente fornire all'utente un codice di backup nel caso in cui un dispositivo U2F sia posizionato male.

Quindi ora hai 2 dongle a $ 18 / pop. Non è una soluzione per il consumatore a quei prezzi.

HTH

    
risposta data 01.09.2015 - 12:10
fonte

Leggi altre domande sui tag