U2F impedisce il phishing delle password?

2

U2F è pubblicizzato come un nuovo standard di autenticazione a 2 fattori che si è costruito in difesa dagli attacchi di phishing. A quanto ho capito, funziona registrando il dispositivo con ciascun servizio, creando così una coppia di chiavi unica. Se un sito di phishing finge di essere qualcuno, fallirà quel controllo crittografico e il key fob non si attiverà

Ma a quanto ho capito, il sito di phishing potrebbe ancora essere in grado di rubare la password dell'utente. Nulla impedisce all'utente di inserire inavvertitamente la propria password su un sito dannoso (anche se la singola password non è sufficiente per rompere l'account). È corretto?

    
posta David Grinberg 15.11.2018 - 22:47
fonte

2 risposte

5

No, e non dicono che possono impedire il phishing delle password. Stanno dicendo che il phishing della password da solo non darà l'accesso all'attaccante al tuo account.

Puoi inserire la tua password Gmail nella tua domanda sopra e U2F non la impedirà. Allo stesso modo, un sito di phishing può raccogliere credenziali e U2F non è coinvolto in alcun punto.

L'obiettivo è che per entrare con successo nell'account, è necessario la password e il dispositivo U2F. La password è ancora compromessa, ma l'account è protetto da chiunque non abbia anche il portachiavi fisico.

    
risposta data 15.11.2018 - 22:55
fonte
0

No, U2F non impedisce il phishing di alcun tipo (password o altro). La resilienza al phishing e agli U2F sono 2 preoccupazioni completamente separate.

Il primo è umano (imparare a identificare ed evitare di essere phishing) e il secondo è tecnico (creare un prodotto più incisivo in caso di compromissione della password).

Essenzialmente, U2F ti offre un ulteriore livello di sicurezza se sei stato colpito con successo. In questo scenario, avere un secondo metodo di autenticazione che non può essere condiviso digitalmente fa sì che, se sono phishing e il tuo nome utente / password / ecc. sono completamente compromessi, l'attaccante non può ancora accedere alla risorsa protetta. Quindi, in questo senso, è certamente destinato a fornire resilienza contro gli effetti del phishing di successo.

Tuttavia, il phishing è un attacco di ingegneria sociale. L'unico modo per impedirlo è rafforzare i controlli umani ("amministrativi"), in modo che le persone siano in grado di evitare di fornire informazioni a fonti non attendibili. L'U2F non ha alcun impatto qui (a parte forse convincere gli umani a dare più importanza alla sicurezza).

    
risposta data 16.11.2018 - 21:41
fonte

Leggi altre domande sui tag