HOTP / simile - che ne dici dei backup standard dei dispositivi mobili?

Naviga le tue risposte
2

Stavo considerando l'aggiunta di HOTP come opzione per il mio sito web (insieme a cose come i token SMSed One Time che ho già). Ma stavo considerando un problema che HOTP ha intrinsecamente:

Solitamente le cose come l'iPhone vengono sottoposte a backup insieme a tutti i dati delle app. Ciò significherebbe, ad esempio, che sto usando Authy per generare i miei token OTP, anche le chiavi segrete di Authy verranno incluse in tali backup. Bene, l'intero scopo di OTP è che le informazioni sul computer non sono sufficienti per entrare in un account e serve quel secondo fattore nel caso in cui qualcosa come il malware entri nel computer (se ho capito bene). Ma questo backup significa, se ho accesso al tuo computer, posso ottenere la tua password attraverso modi convenzionali come un keylogger, ma posso anche guardare attraverso i backup del tuo cellulare per la chiave segreta HOTP e senza il tuo telefono, accedere correttamente.

Quindi cosa impedisce alla gente di farlo, e perché dovrei anche offrire HOTP o è meglio per me continuare a utilizzare solo token SMSed?

    
posta Jesse W 29.12.2013 - 04:52
fonte

2 risposte

2

Alcuni telefoni inviano messaggi SMS a un computer in tempo reale quando si trovano nelle vicinanze (Samsung ha una piccola cosa per i loro telefoni Android che lo fanno, o lo hanno fatto), e se il telefono è collegato a un computer e supporta i comandi del modem Hayes, quelli puoi leggere messaggi di testo anche in tempo reale.

In realtà, ciò che ottengono gli OTP è la protezione contro le persone che indovinano le password, anche se a volte sono utili anche con quelle rubate. Detto questo, il TOTP sarebbe meglio per questo dato che è effimero e quindi le possibilità di farlo correttamente non aumentano come fa il numero di tentativi. L'HOTP non è molto meglio di una password composta da chiave e contatore (a mio parere), tranne per il fatto che ha effettivamente un'autentica sfida per l'anti replayability.

Se hai bisogno di essere sicuro contro le persone che rubano i token dai backup del telefono o altro, dovresti davvero rilasciare token hardware.

    
risposta data 29.12.2013 - 08:03
fonte
1

Gli SMS e le app per smartphone sono vulnerabili a diversi attacchi. Non chiamerei SMS un metodo sicuro per trasportare una password monouso. Come Falcon faceva notare: se si desidera realmente eseguire l'autenticazione a due fattori (2FA), è necessario utilizzare un secondo fattore che non può essere annusato e non può essere copiato. Il primo non è valido per gli SMS e il secondo non è valido per le app per smartphone. Quindi, per un vero 2FA non dovresti usare un pezzo di hardware connesso.

Tuttavia, la sicurezza è sfumature di grigio. Quindi, l'invio di un SMS o l'utilizzo di un'app per smartphone (indipendentemente dal fatto che HOTP, TOTP o mOTP) oltre alla password siano migliori della sola password. Devi solo essere a conoscenza di "quanto meglio" è.

Avere un'app per smartphone presenta alcuni vantaggi rispetto all'invio di SMS:

  1. non hai costi per gli SMS
  2. sarai anche in grado di autenticarti, anche se non hai il servizio GSM (come nei datacenter con grandi muri o sotto terra).

Ofcourse SMS offre un processo di registrazione più semplice per l'utente finale rispetto all'installazione di un'app mobile e alla condivisione della chiave HMAC con il server.

Quindi fornire SMS e HOTP è principalmente una comodità per l'utente finale.

    
risposta data 29.12.2013 - 19:43
fonte

Leggi altre domande sui tag

Le implicazioni sulla sicurezza della concessione della cartella del gruppo di utenti di IIS modificano le autorizzazioni Isolamento delle reti guest