Perché l'autenticazione popolare a due fattori utilizza chiavi condivise

Question

Perché l'autenticazione popolare a due fattori utilizza chiavi condivise

#1 da (1 voti)
#2 da (0 voti)

2

Per favore correggimi se sbaglio dovunque, ma da quello che ho capito, i comuni autori di autenticità a due fattori come Google Authenticator implementano TOTP che usa una chiave segreta condivisa che è condivisa tra il telefono e il server di autenticazione.

Perché hanno deciso di utilizzare una singola chiave segreta condivisa quando avrebbero potuto usare una coppia di chiavi pubblica / privata? Il telefono memorizzerebbe la chiave privata e può firmare un contatore / timestamp di incremento e il server di autenticazione potrebbe verificare la firma con la chiave pubblica. Sembra più sicuro in quanto una violazione del server di autenticazione non sarebbe in grado di compromettere la chiave segreta dell'utente? Ci sono dei vantaggi che fornisce una chiave segreta condivisa?

authentication

posta abba abba 05.12.2014 - 22:21

fonte

2 risposte

1

I metodi attualmente conosciuti per usare "una coppia di chiavi pubblica / privata" richiedono troppe comunicazioni; cioè,
entrambe le estremità avrebbero bisogno di Bluetooth o il token avrebbe bisogno di un computer-screen-reader o del processo
potrebbe diventare noioso "una chiave segreta condivisa" riduce al minimo la quantità di comunicazione richiesta.

risposta data 05.12.2014 - 22:29

fonte

Leggi altre domande sui tag authentication

Strumenti automatici per gestire o monitorare authorized_keys? [chiuso] Per fidarsi o non fidarsi? Aggiunta di eccezioni all'elenco dei certificati attendibili in (firefox) Light

score 0 · Accepted Answer

Percorso di minor resistenza.

I segreti condivisi sono più facili da usare, il che significa più facile scrivere contro le implementazioni. I sistemi a chiave pubblica sono molto più difficili da scrivere contro le implementazioni, quindi meno persone lo faranno.

Esistono protocolli asimmetrici basati su chiavi che offrono più / diverse protezioni e modificano significativamente i requisiti di sicurezza, ma sono fondamentalmente più difficili da implementare.

È lo stesso motivo base per cui le persone continuano a chiedersi perché esistono ancora password statiche e perché non sono state eliminate 20 anni fa con certificati e PKI - perché è una PITA e un investimento significativo da fare correttamente.