Implicazioni sulla sicurezza del riutilizzo della password monouso non utilizzata

2

Scenario:

  1. Accedi al sito (utilizzando 2SV).
  2. Password One-Time (OTP) viene inviata al dispositivo del cliente.
  3. Il client non terminerà il processo di autenticazione.
  4. Il giorno successivo (diciamo dopo 24 ore) gli utenti si collegano nuovamente al sito.
  5. L'OTP generato ieri è ancora valido (è stato inviato nuovamente al dispositivo del cliente).

Per quanto ho capito, con l'OTP (TOTP) basato sul tempo questo non dovrebbe mai accadere, se l'implementazione è corretta. Domande:

  1. Si tratta di un approccio valido per schemi OTP basati su HMAC o questo scenario indica un errore nell'implementazione (vale a dire che il contatore dovrebbe aumentare dopo il login successivo)?
  2. Se lo scenario non è considerato sicuro, quali sono le implicazioni sulla sicurezza?
posta bayotop 18.04.2016 - 08:38
fonte

1 risposta

2

L'RFC 4226 è stato definito molto prima che google formasse l'espressione "verifica in due passaggi". La verifica in due passaggi non deve necessariamente fare nulla con HOTP o TOTP. Ovviamente puoi utilizzare HOTP per creare codici "non supponibili", ma non è necessario.

Il tuo servizio potrebbe semplicemente ricordare quale codice è stato inviato all'utente.

In ogni caso dovresti:

  1. crea un codice per ogni tentativo di accesso e
  2. il codice (anche con HOTP) dovrebbe essere valido solo per un certo tempo.

L'implementazione in privacyidea funziona in questo modo. Può inviare codici via SMS o e-mail all'utente. Questi codici sono calcolati in base a HOTP. Ma i codici sono validi solo per un certo periodo di tempo. E il codice è valido solo per questa sessione di accesso.

La domanda è, se è probabile che il codice che risiede nello smartphone o nell'account di posta elettronica sia più vulnerabile. Un attaccante dedicato probabilmente non si preoccuperebbe se il codice è sul telefono cellulare per 30 secondi o per 30 ore. Ma chiediti. Mi sentirei a disagio nel portare in giro il mio smartphone, sapendo che c'è un codice in esso, che può ancora essere utilizzato per accedere a uno qualsiasi dei miei account. A volte lo smartphone non è bloccato o potrebbe essere installato un malware solo in questo momento, dopo aver ricevuto il codice e prima di utilizzare il codice. Ci sono ulteriori vettori di attacco. Quindi dovresti invalidare il codice dopo alcuni minuti.

    
risposta data 18.04.2016 - 21:03
fonte

Leggi altre domande sui tag