Autenticazione a due fattori (mobile)

1

Considera tale autenticazione a due fattori sul sito web: diciamo quando l'utente inserisce nome utente / password sul sito web e riceve SMS sul numero di cellulare. Affinché l'attaccante possa accedervi, deve conoscere il tuo nome utente / password e rubare anche il tuo cellulare.

Ma se voglio proteggere l'applicazione per cellulari in questo modo, penso che il secondo fattore non sia più utile. Perché nell'attaccante l'accesso alla tua applicazione per cellulari, deve comunque rubare il telefono - ora se lo ha rubato E sa che nome utente e password possono accedere all'app del tuo telefono.

Quindi penso che lo schema di autenticazione a due fattori che ho descritto sopra non porti molta sicurezza se usato per l'applicazione di telefonia mobile; Naturalmente questo non è il caso se si utilizza questo metodo per l'autenticazione con il sito web. Ho ragione?

Quindi quale secondo fattore viene in genere utilizzato per proteggere le applicazioni di telefonia mobile? (oltre alla password).

    
posta 13.02.2015 - 13:25
fonte

3 risposte

3

Il punto dell'autenticazione a due fattori consiste nel scegliere due dei seguenti:

  • qualcosa che sei (biometrica, ...)
  • qualcosa che conosci (password, pin, ...)
  • qualcosa che hai (token, telefono, ...)

Se vuoi proteggere qualcosa che è localmente memorizzato su un telefono, ovviamente non chiedi all'utente di avere accesso al telefono. Puoi ancora utilizzare l'autenticazione a 2 fattori scegliendo un "qualcosa che hai" che non è il telefono (ad esempio un token), o cambia i criteri in "qualcosa che sei" (esempio di impronta digitale). Per alcuni motivi, i dati biometrici non sono necessari il modo migliore per andare, perché genera alcuni problemi.

Alla fine, alcuni hanno provato a utilizzare nuovi criteri come "qualcuno che conosci", ad esempio emettendo un token da una sessione già autenticata, per connettere un nuovo dispositivo. Mozilla Firefox l'ha fatto per un po 'di tempo per sincronizzare le preferenze tra i browser.

    
risposta data 13.02.2015 - 13:46
fonte
1

Lascia che ti porti a fare qualche passo là, Qualsiasi attaccante può intercettare e cambiare i dati lasciando un sito web che consente loro di cambiare il numero di telefono in qualcos'altro, non è poi così difficile, mi è stato dato personalmente il permesso di testare anche questo, lo fa e può accadere tutto il tempo con poca traccia.

    
risposta data 13.02.2015 - 13:58
fonte
1

(Disc: lavoro per i sistemi WiKID).

È una buona domanda, specialmente quando entriamo in SSO su dispositivi mobili e desktop. Penso che sia il momento di superare i tipici "fattori" e pensare a come vengono implementati e come questo influisce sui rischi. (Penso che ci siano anche domande su quali informazioni si desidera essere responsabili della conservazione.)

WiKID richiede una passphrase per aprire il token e quindi un PIN per ottenere l'OTP. L'utente malintenzionato deve inserire malware sul telefono e acquisire tali informazioni e copiare le chiavi private incorporate nel token. Fattibile ma a rischio diverso Confronta questo con TOTP o SMS dove hai solo bisogno di un telefono sbloccato.

Detto questo, se stai già chiedendo una password, penso che tu stia facendo tutto il possibile con gli SMS. Si noti che SMS è fondamentalmente solo e-mail non criptata che va a un telefono, quindi ci sono molti modi per attaccarlo.

    
risposta data 13.02.2015 - 14:03
fonte

Leggi altre domande sui tag