Quali sono i principali punti deboli dei generatori OTP basati su software come il DigiPass di Vasco per dispositivi mobili?
Questa domanda ha più senso quando la inverti. Il che vuol dire che il principale punto debole dei generatori OTP basati su software è lo stesso della forza dei dispositivi OTP basati su hardware.
In particolare, i dispositivi basati su software possono essere clonati se è possibile recuperare la chiave segreta. I dispositivi hardware implementano idealmente misure di sicurezza fisica per rendere difficile estrarre i dati segreti. Idealmente, il materiale chiave non lascia mai il chip associato e ulteriori misure di sicurezza (ad esempio l'involucro in resina epossidica attorno all'elettronica) inibiscono i tentativi di estrarre informazioni usando sonde hardware.
Al contrario, i dispositivi basati su software memorizzano il materiale chiave allo stesso modo di qualsiasi altra informazione memorizzata: nella memoria fisica di uso generale. Ciò significa che la chiave è sicura quanto il sistema su cui gira. Qualsiasi tipo di exploit basato sul software potrebbe essere sfruttato per estrarre la chiave segreta e quindi clonare il generatore OTP. In particolare, il proprietario del dispositivo potrebbe non sapere mai che la chiave è stata clonata, poiché l'originale continuerà a funzionare e l'accesso fisico al dispositivo potrebbe non essere nemmeno necessario per l'autore dell'attacco.
Inoltre, più dispositivi vengono utilizzati (ad esempio, più app installate sul telefono), maggiore è la potenziale superficie di attacco e maggiore è l'opportunità di exploit. I token hardware, d'altra parte, sono dispositivi monouso, il che rende molto bassa la probabilità di attacco o exploit.
Tipo di una domanda vaga, ma in cima alla mia testa:
Lasciare la protezione della chiave / seme al dispositivo mobile significa che è possibile estrarre la chiave su varie piattaforme a differenza dei dispositivi hardware dedicati con memoria protetta
Perdi il telefono perdi la chiave
Un generatore di password una tantum è un sistema che, come intero, contiene un master secret da cui vengono generate le password monouso. I dettagli variano a seconda dell'algoritmo OTP specifico, ma si applica il concetto generico: vi sono alcuni dati segreti memorizzati nel sistema e tali dati rappresentano un obiettivo molto prezioso per l'autore dell'attacco.
Il sistema consiste in alcuni software (l'implementazione dell'algoritmo) e alcuni hardware (su cui viene eseguito il software). Quando si utilizza un "generatore di OTP basato su software" sullo smartphone, si sta effettivamente affermando che la parte hardware del sistema è, in effetti, lo smartphone. Ciò implica che nel perimetro di sicurezza sono inclusi alcuni software aggiuntivi: il sistema operativo del telefono e tutte le sue applicazioni. Gli smartphone sono computer complessi e sono soggetti a pirateria informatica, soprattutto dal momento che sono, per essenza, dispositivi di rete.
Rispetto alla memorizzazione di una password molte volte (un segreto di autenticazione fisso) nel telefono (che è esattamente ciò che accade quando si ha un cookie sicuro di lunga durata nel browser Web), un generatore di OTP basato su software mobile ti protegge (in una certa misura) contro le carenze del protocollo in cui si utilizza l'OTP; ma non oltre.
Leggi altre domande sui tag one-time-password