Perché i (molti) dispositivi TOTP o le app TFA non usano nessuna o password di accesso semplice?

L'hai chiamato - è una banca!

Le banche sono istituzioni finanziarie e confrontano numeri e probabilità. Sappiamo tutti che un quattro cifre !!!!! (non caratteri) la password è assolutamente insicura. Tuttavia, la banca calcola la probabilità e i costi di un utente che viene violato e la probabilità e i costi per gli utenti di dimenticare la loro password di app più complessa e quindi di creare richieste di supporto.

Ci sarebbe comunque un motivo per utilizzare una vera password sull'app: l'app sullo smartphone memorizza una chiave simmetrica per generare la password unica. È possibile utilizzare questa password per crittografare questa chiave, quando non viene utilizzata. Ancora una volta, sappiamo che un PIN di quattro cifre non creerà una buona chiave di crittografia.

Il dispositivo che hai collegato con il tastierino è probabilmente un dispositivo di risposta alla sfida? Presumo che tu non inserisca sempre lo stesso PIN nel dispositivo !? Il PIN è la sfida: dovrebbe contenere qualche tipo di informazione sulla transazione. Il dispositivo ha anche una chiave segreta e creerà una risposta in base a questa sfida / dati della transazione. Se è implementato correttamente, è un meccanismo piuttosto strong. Potrebbero tuttavia averlo creato in base all'algoritmo OCRA (RFC6287 link ).

I TOTP sono molto diversi dalle password convenzionali.

Per convalidare il TOTP, il server deve avere accesso al testo in chiaro del segreto (potrebbe essere scritto in memoria in un formato crittografato), ma poi c'è il problema di pollo / uovo su dove conservare la chiave di crittografia) . Quindi il database dei segreti deve essere protetto.

Un TOTP a 6 cifre ha molta meno entropia di, diciamo, una password di 8 caratteri con almeno un maiuscolo, uno .... ma mentre quest'ultimo sarà persistente per almeno un mese. la finestra corta del primo esiste per il fatto che è improbabile che il tentativo di accesso alla forza bruta testando tutti i possibili valori sul servizio, piuttosto che offline, abbia successo. Effettivamente con una limitazione molto piccola le possibilità di ottenere la password corretta al momento giusto sono piccole. E questo presuppone che il servizio consenta un numero molto grande di ipotesi sbagliate.

In effetti puoi fare i calcoli - per forzare brutamente una password di 8 caratteri in un mese, avrai bisogno di fare circa 2 milioni di tentativi al secondo. Da OTOH alla forza bruta un codice pin di 10 cifre in 30 secondi, è necessario eseguire circa 150 milioni di tentativi al secondo.

Come probabilmente saprai, le password convenzionali dovrebbero essere sottoposte a hashing in modo sicuro usando un salt. Quindi, anche se un utente malintenzionato si impossessa del database, non può invertire le password né eseguire una ricerca di forza bruta di tutte le password possibili per trovare una corrispondenza. Se la password è solo un pin di quattro cifre, allora hanno solo bisogno (una media di) di 5.000 iterazioni per trovare il valore - il che non richiederebbe molto tempo - infatti potrebbe essere fatto entro 30 secondi TTL per un TOTP raccomandato da rfc6238. Ma dal momento che il meccanismo TOTP non fornisce intrinsecamente protezione contro un attacco offline nel database dei segreti, non ha molto senso avere questa protezione né richiedere livelli elevati di entropia per la password memorizzata.

Un'ulteriore considerazione è che, data la riduzione degli sforzi e delle competenze necessarie per operare legittimamente il servizio, il fornitore di servizi può essere molto meno indulgente nei confronti delle password errate - sospendere gli account e richiedere il completamento di convalide complesse prima di ripristinare l'accesso.

Quindi anche se 6 cifre o anche 6 + 4 cifre hanno entropia intrinseca molto bassa, quando è limitata nel tempo, è un modo molto efficace per autenticare le persone.

Di solito, TOTP (o simile) è usato in combinazione con una password sul sito stesso. Pertanto, vi sono pochi motivi per bloccare il dispositivo TOTP, in quanto ciò che si sa è controllato dal server web sotto forma di password. In un certo senso, questo è più sicuro, poiché puoi provare gli attacchi fisici sul dispositivo TOTP ma i server web sono fisicamente protetti.

La password prodotta da TOTP non deve necessariamente essere lunga, perché essendo utilizzata sul Web, è ragionevolmente facile limitare la richiesta e diversamente da una normale password, non devi preoccuparti di qualcuno che ti vede digitarlo, in quanto di solito sono solo un uso.

Se tuttavia una password o altra forma di autenticazione "what-you-know" non viene utilizzata con il TOTP, è meno sicuro utilizzare un PIN no o corto per proteggere il dispositivo TOTP.

Il motivo principale per cui molti token hardware rimangono lontani da pin o challenge entry è il costo ed evita il lavoro associato alla protezione dai rischi derivanti dall'immissione dei dati.

Lo stato (deludente) dei token software (senza pin o impronte digitali) può essere spiegato solo con una strana modellazione delle minacce. E alcune app sono mal gestite (come FreeOTP su iOS che non supporta TouchId o la corretta memorizzazione di portachiavi). Né Google Authenticator né Microsoft Authenticator sono migliori.

Uso gestori di password (KeePass con plugin OTP sul desktop) che richiedono la password. Penso che "SAP Authenticator" e "OTP Auth" (incluso TouchId / FaceId) siano app per iPhone che consentono di chiedere una password per l'applicazione.