Le attuali implementazioni per l'autenticazione a più fattori non dipendono in gran parte da un singolo punto di errore?

Naviga le tue risposte
1

Molti metodi di autenticazione a 2 fattori sembrano fare affidamento su un messaggio di testo, un'e-mail o una password monouso come Autenticatore di Google come secondo passaggio per l'autenticazione.

Sembra che questi metodi si basino tutti sulla sicurezza del telefono di un utente. Ad esempio, se rubi il telefono a qualcuno, puoi accedere al browser Web, accedere se conosci la password o utilizzare la password salvata, quindi esegui il secondo passaggio aprendo l'app di autenticazione, l'email o i messaggi di testo.

Non è questo un punto di debolezza nell'intero sistema? Questa preoccupazione è mai stata espressa prima e ci sono alternative che sono più sicure?

    
posta RicketyRick 11.12.2017 - 17:16
fonte

4 risposte

4

Dipende tutto da cosa vuoi assicurarti. In genere, 2FA ha lo scopo di proteggerti dalle minacce remote. Utenti che non possono accedere al telefono (99% del pianeta).

Se il tuo telefono diventa un singolo punto di errore, allora devi proteggere quel punto utilizzando tutte le funzioni consigliate, come password complesse, cancellazione remota e crittografia del dispositivo.

    
risposta data 11.12.2017 - 17:33
fonte
0

Non è una buona protezione contro un attacco molto mirato, che può spendere grandi quantità di tempo su di te.

Ma quella non è la minaccia principale oggi. La principale minaccia sono le perdite di password, il riutilizzo della password, i keylogger automatici e le password deboli, utilizzate negli attacchi automatici. Contro questo, anche un 2FA debole funziona alla grande - perché l'attaccante non sta prendendo di mira nessuno in particolare, e spende le risorse minime su un account.

L'autenticatore 2FA a la google protegge da tentativi di induzione di password, keylogger su un PC che utilizzi per accedere al tuo account, navigazione a spalla e altre minacce comuni. Non è una soluzione perfetta. Se hai bisogno di maggiore sicurezza, hai ad esempio Yubikey, che è essenzialmente la tecnologia delle smart card.

    
risposta data 11.12.2017 - 19:15
fonte
0

Il rischio è soggettivo rispetto all'area di business:

App e servizi indipendenti

Le app e i servizi indipendenti come Gmail di Google guadagnano molta mitigazione attraverso l'uso di questi metodi per Multi-Factor. Il motivo è che il targeting di questa base è spesso remoto e non fa parte di un piano mirato. È inutile trascorrere ore, settimane e anni per profilare una singola persona e incorrere in ulteriori rischi tentando di rubare un telefono quando c'è già un sacco di obiettivi soft.

Questi metodi aiutano a proteggerti dalle persone che cercano di rubare la tua identità e fanno un buon lavoro. Aggiungi il rilevamento della posizione geografica sui tuoi servizi più grandi e hai un'implementazione di sicurezza piuttosto buona per la popolazione generale.

Grandi società e IP

Il rischio cambia quando si guardano le strutture interne delle grandi imprese e cosa hanno che qualcuno potrebbe desiderare. Rischiate di spostarvi dai clienti (che sono troppo generici per il target) alla superficie di attacco (molto più stretta di un dipendente) che potrebbe fornire ciò che volete quando accedete a un sistema. Possiamo restringere ulteriormente il target puntando su dipendenti di interst come dirigenti e personale IT. In questi scenari ciò che gli aggressori cercano sono beni aziendali, proprietà intellettuale o accesso ed è molto più che valga la pena dedicare loro del tempo.

Due fattori sono ancora importanti per lo stesso motivo per cui un utente generale dovrebbe usarli, ma si implementano anche cose come autenticazione basata su certificato, sandboxing telefonico e altre tecniche di rete. Questi sono progettati per un'azienda per dare la certezza che un dipendente sulla rete è chi dicono di essere.

    
risposta data 14.12.2017 - 17:23
fonte
0

2FA non indica solo l'uso di una chiave occasionale (come nell'uso di un token come RSA) o di un'app (come Google Authenticator) o anche di un SMS o una telefonata con una sola chiave.

2FA può essere una combinazione di 2 qualsiasi dei seguenti elementi:

  • Qualcosa che hai (carta, una chiave a tempo, token, certificato specifico o dispositivo) = Qualcosa che sei (impronte digitali, retina ..)
  • Qualcosa che conosci (password, parola chiave ..)
  • Da qualche parte (Posizione globale, ad esempio Ufficio, Stato, Paese ..)

Con ognuno di questi si calcola il rischio, ad es. qualcuno può acquisire il tuo dispositivo, indovinare la tua password, intercettare messaggi di testo o telefonate ..

A seconda di cosa si sta cercando di proteggere e del rischio, si determinerebbe la combinazione di autenticazione con cui andare. Dovresti valutare la facilità d'uso per i tuoi utenti rispetto al fattore sicurezza.

Ad esempio, Qualcosa che sei è più sicuro in quanto è più difficile da replicare (per il momento), ma anche la facilità d'uso è leggermente più difficile da implementare specialmente per gli utenti remoti.

C'è persino una cosa del genere 3FA o più.

Per quanto riguarda i 2FA, tieni presente che non sempre dovrai tenere fuori i cattivi. Stai solo cercando di renderlo molto più difficile, quindi hanno bisogno di maggiore sofisticazione per entrare o passare a obiettivi più semplici e non a te.

2FA è solo un passaggio per proteggere i tuoi dati. Monitora i fallimenti e i successi dei tentativi di accesso, il monitoraggio del comportamento e molto altro ancora ....

    
risposta data 11.12.2017 - 18:30
fonte

Leggi altre domande sui tag

Firma ma non crittografia di e-mail generiche banali C'è un vantaggio nel richiedere le stesse informazioni se l'autenticazione fallisce?