I token di Authy sono insicuri?

2

Ho provato Authy , un'alternativa di Google Authenticator con una funzione opzionale di poter eseguire il backup dei token. Hanno due tipi di token: token generati automaticamente e token OTP regolari aggiunti mediante la scansione di un codice QR (come faresti con Google Authenticator).

Se io comprendo correttamente , i backup dei token OTP standard sono crittografati con una password prima di caricarli su Authy. La tua password di backup non viene inviata ai loro server, ma semplicemente memorizzano un blob crittografato di dati per te. Sembra buono finora.

Tuttavia, quando ho impostato Authy su un nuovo dispositivo, ho notato che i token generati da Authy non sembrano beneficiare dello stesso livello di sicurezza. Quando imposti Authy su un nuovo computer, puoi accedere al tuo account tramite la verifica tramite SMS (qualcosa che hanno criticato per essere insicuro). L'inserimento di un passcode SMS ti consente di accedere e di accedere immediatamente ai token generati da Authy (presumendo di aver attivato il supporto multidevice). I token Authenticator sono ancora crittografati a questo punto e possono essere decifrati se inserisci la password di backup.

Quali sono le implicazioni per la sicurezza di questo? La procedura di accesso basata su SMS non rende i token generati da Authy abbastanza vulnerabili all'acquisizione?

    
posta Pieter 02.08.2018 - 18:32
fonte

1 risposta

0

Esaminiamo la minaccia: MiTM - Attacco SS7 per recuperare gli SMS per Authy. Se questo scenario accade, l'attaccante avrà una presa sui tuoi token crittografati che significa che l'attaccante ha bisogno della password (o di un difetto nell'algoritmo di crittografia, che è meno probabile dal momento che usano algoritmi standard del settore) per decrittografarli.

In tal caso, la complessità della password determinerà quanto tempo ci vorrà per recuperare i token.
Tuttavia, sono d'accordo sul fatto che potrebbero aver migliorato il loro meccanismo di autenticazione (usando un utente / password aggiuntivo, segreto di un ordinamento) come nel metodo attuale, è facile abusare di SS7 per ottenere i token crittografati e forse parallelizzare il processo di forza bruta .

    
risposta data 02.08.2018 - 18:51
fonte

Leggi altre domande sui tag