Sta usando il segreto 2FA sulla stessa macchina che utilizza le credenziali, rimuovendo un fattore di 2FA?

2

In altre parole: sta salvando o utilizzando l'autenticazione a due fattori (2FA) segreta sulla stessa macchina per generare password monouso (OTP), interrompendo il concetto di autenticazione a due fattori (2FA) poiché è tutto fatto su uno macchina.

KeePass ha alcuni plugin che facilitano questo:

  1. link
  2. link

Ci sono anche tonnellate di plug-in del browser che facilitano questo, che sembrano ancora più insicuri a mio parere e c'è persino una versione HTML5 .

    
posta Bob Ortiz 24.06.2016 - 12:30
fonte

3 risposte

3

Sì. Il concetto di due fattori è quello di autenticarsi utilizzando qualsiasi combinazione dei seguenti metodi

  • Qualcosa che conosci (password)
  • Qualcosa che hai (token OTP con segreto)
  • Qualcosa che sei: impronte digitali, retina, scansione palmare ecc.

Se nascondi entrambi con la terza password (o anche senza password), stai indebolendo l'intero concetto. Se l'utente malintenzionato riesce a superare questa singola password, ottiene l'accesso completo (cosa che non sarebbe accaduta con il 2FA corretto).

Ma le persone sono pigre e quindi questi plugin esistono. La necessità di utilizzare 2FA potrebbe anche essere attivata da alcuni criteri di sicurezza e gli utenti potrebbero non vederne il vantaggio.

    
risposta data 24.06.2016 - 13:01
fonte
1

Quando si utilizza OTP in base a HOTP o TOTP localmente, è necessario memorizzare il seme da qualche parte. Quindi memorizzi il seme su questo computer locale.

Ora dipende dalle tue minacce.

Questo può benissimo proteggerti da surfisti spalla o forse keylogger. Ma non ti proteggerà dagli attacchi locali. Ma la domanda è, se non si dispone di un problema più grande, se qualcuno è in grado di eseguire un attacco locale.

Se si tenta di utilizzare OTP per la crittografia, questo è solo un piacere per gli occhi. Stai crittografando le cose per proteggerti dagli attacchi locali. Crittografa il tuo disco fisso, perché vuoi evitare che un ladro entri nei tuoi dati. Stai usando keepass, perché vuoi evitare un ladro che sta afferrando il file per accedere a questo file.

Come funziona la crittografia? Hai una chiave AES simmetrica che è crittografata con la tua passphrase o che viene generata o la tua passphrase. Tutti sceglierebbero il primo, per poter cambiare la passphrase. La minaccia è il furto fisico del tuo file. ... protetto dalla tua passphrase.

Quindi, come @Jakuje ha sottolineato: come dovrebbe aiutarti OTP? Devi conservare il seme. Come proteggi il seme contro un ladro con accesso locale? Criptalo! Come? Con una passphrase? = > un solo fattore.

Potresti comunque creare uno scenario più complesso con HOTP (non TOTP!) e criptare il seme con il valore next OTP. Quindi, il prossimo valore OTP decrittografa il seme, la prossima volta che desideri accedere ai tuoi dati. Allora è necessario ricodificare il seme con il valore OTP successivo. Ma raccomanderei un sacco di misure di sicurezza, perché per molte macchine da stampa vuote ti darebbe un valore OTP, che non decodificherà più il seme ...

    
risposta data 24.06.2016 - 17:55
fonte
1

Se interrompe l'autenticazione 2FA o meno, dipende dall'implementazione. Quelle implementazioni specificate rimuovono il "2factor" da 2FA e lo riducono a singolo fattore (il seme diventa quindi una seconda "password" per il tuo account). Lo stesso vale per l'utilizzo di un soft-token in un dispositivo Android / iPhone, a meno che il token non usi specificamente il Keystore Android sicuro associato all'hardware.

Tuttavia, esistono implementazioni in cui la memorizzazione delle sementi è effettivamente sicura. Un esempio potrebbe essere la memorizzazione della chiave in un TPM (Trusted Platform Module) in modo che i codici possano essere generati, il seme non può mai essere recuperato dal TPM.

Un altro esempio è Yubikey Nano inserito in modo permanente in una porta USB. Un terzo esempio è un chip di sicurezza integrato su alcuni processori Intel, che può essere utilizzato per 2FA: link

Quando il token è memorizzato in modo sicuro, non annulla la 2FA, poiché in tal caso, la macchina è legata in modo sicuro al servizio in questione, ad esempio se la macchina viene compromessa, la 2FA non viene compromessa permanentemente, solo temporaneamente compromesso (ad esempio, l'attaccante può ancora utilizzare la macchina per generare codici, ma non ottenere informazioni sufficienti per generare codici senza la macchina). Se si recupera dal compromesso della macchina, ciò significa che è possibile continuare a utilizzare 2FA anche se il seme non viene modificato.

    
risposta data 26.06.2016 - 03:52
fonte

Leggi altre domande sui tag