Gestione delle password con autenticazione a due fattori

Naviga le tue risposte
2

Stavo dando un'occhiata al sito Dashlane e ho notato che supportano l'autenticazione a due fattori per la password 'vault'. Una delle mie maggiori preoccupazioni riguardo l'utilizzo di un gestore di password è stato il fatto che è possibile utilizzare un singolo pezzo di dati (la tua password principale) per accedere a ogni singolo account che hai inserito.

Ho ragione nel ritenere che l'autenticazione con qualcosa come Google Auth o Yubikey non rende più vulnerabile il tuo vault ad un cattivo attore che potrebbe aver installato un keylogger o uno strumento di amministrazione remota sulla tua macchina?

Ero molto interessato anche a 1Password ma ho notato che in realtà non supportano l'autenticazione a due fattori nello stesso modo. Invece generano una "chiave segreta".

I due metodi usati da Dashlane o 1Password offrono una maggiore protezione da questi tipi di malware?

    
posta Luke Glazebrook 09.12.2017 - 23:08
fonte

1 risposta

2

Dashlane

Dashlane ha la possibilità di utilizzare 2FA per aumentare la sicurezza dei dati degli utenti.

At any time, a user can link his Dashlane account to a 2FA application on his mobile. When he attempts to connect into a new device, instead of sending him a One-Time Password by email, Dashlane asks the user to provide a One-Time password generated by the 2FA application.

Da link

Non solo Dashlane usa 2FA quando autorizza un nuovo dispositivo ad accedere al tuo account, ma può anche essere utilizzato ogni volta che accedi al tuo account.

Questo protegge dal malware sul computer di un utente impedendo la password principale e tentando di accedere ai propri dati sensibili. Questo perché per poter accedere ai dati dell'utente, deve essere fornita una password una tantum: se un keylogger acquisisce questa password monouso quando viene digitata, sarà resa inutilizzabile per un utente malintenzionato poiché ne dovrà essere utilizzata una nuova la prossima volta.

1Password

1Password è un po 'diverso da Dashlane in quanto 1Password non usa 2FA. Usa qualcosa chiamato Chiave segreta . Questa chiave segreta è composta da 34 lettere e numeri creati da

a non-secret version setting, (“A3”), your non-secret Account ID, and a sequence of 26 randomly chosen characters.

Da link

Ha 128 bit di entropia e funziona insieme alla tua password principale per proteggere i tuoi dati.

Un esempio di chiave segreta potrebbe essere A3-ASWWYB-798JRY-LJVD4- 23DC2-86TVM-H43EB . La chiave segreta viene generata quando viene creato per la prima volta un account 1Password e impedisce a un utente malintenzionato che ha acquisito dati utente archiviati in remoto di indovinare la password principale necessaria per accedere a tali dati.

La chiave segreta viene utilizzata ogni volta che si registra un nuovo client sul dispositivo e quando è necessario autenticarsi sul server. Puoi visualizzarlo nuovamente nel whitepaper per 1Password :

When enrolling a new device, the user will provide the client with the add-device link (possibly in the form of a QR code) and her Master Password. The add-device link is generated at the user’s request from an already enrolled client and includes the domain name for the team, the user’s email address, and her Secret Key.

Generale

Un problema con 1Password è che se la chiave segreta e la password principale sono conosciute, ad esempio da un keylogger, i tuoi dati utente possono essere visualizzati. Questo è diverso da Dashlane in quanto è possibile utilizzare una password monouso per proteggere i dati, rendendo inefficiente il keylogging.

Tuttavia, Dashlane non è sicuro contro tutti i tipi di malware. Può essere sensibile al malware che cattura gli screenshot di una password visualizzata nell'applicazione Dashlane, come farebbe con 1Password.

Quando usi un gestore di password, devi accettare che esiste la possibilità che le tue password vengano scoperte poiché sono archiviate in un posto diverso dalla tua testa.

    
risposta data 10.12.2017 - 16:09
fonte

Leggi altre domande sui tag

Chiarimento sulla definizione di Cipher Suite in Wikipedia In che modo i server DNS di CleanBrowsing fanno "Youtube, Google e Bing forzati su SafeMode"?