Quali sono i rischi per la sicurezza associati alla generazione di una stringa di sicurezza come una stringa anziché un'immagine?

1

Al lavoro utilizziamo un sistema di autenticazione chiamato Swivel Secure senza implementazione specifica quando ci colleghiamo ai dispositivi dei nostri clienti come: router, switch, firewall, ecc. Dobbiamo fornire un OTC (per 2FA ovviamente)

Ad esempio se mi connetto a uno switch devo fornire: username, password & un OTC per ottenere un OTC dobbiamo visitare un link che genera un'immagine (vedi sotto l'esempio)

Un link in genere ha il seguente aspetto: link

Senonhaifamiliaritàconun'immagineturing,inpraticaogniutentehaunpin(chepuòesseremodificato)inumeriinaltocorrispondonoainumerichepossonoessereutilizzatiinunpin&inumeriinbassosonoinumeririchiestiperl'autenticazioneriuscita.

Adesempio:seilmiospilloè1234utilizzandol'immaginesoprailmioOTCperl'autenticazioneriuscitasarebbe3087.

InSwivelc'èun'opzionechetipermettediconfigurareSCImagecomeunasemplicestringasostituendoSCIMageconSCText,hochiestoaunosviluppatorediSwivelsuquestoehadetto:"è disabilitato di default in quanto intrinsecamente insicuro" Ho trovato questa affermazione molto vaga e sfortunatamente non ha mai risposto alla mia richiesta di espansione.

In che modo è più insicuro generare la stringa di sicurezza come testo? Mi rendo conto che è più leggibile in termini di introdurlo nel computer, EG si potrebbe semplicemente raschiare l'HTML per ottenere la stringa di sicurezza mentre con l'immagine si dovrebbe usare una sorta di software OCR / libreria per ottenere i caratteri nell'immagine che può essere difficile soprattutto se l'immagine è molto confusa.

Quindi, come è meno sicuro generare questa stringa di sicurezza come testo? Non è nemmeno come si potrebbe scorrere tutte le combinazioni perché c'è un meccanismo di blocco su troppi tentativi, quindi non si può ottenere il pin di qualcuno senza essenzialmente indovinarlo, ecc.

Se qualcuno potesse chiarirlo, sarebbe fantastico. Mi aspetto che mi manchi qualcosa e non sto pensando correttamente.

EDIT A seguito di una discussione che ho avuto con DMB sulla base del fatto che uno dei suoi commenti era poco chiaro. Siamo giunti alla conclusione che l'unica vera differenza qui è il tempo che sarebbe trascorso da un aggressore.

Il suo punto è che ci vuole molto meno tempo per ottenere il tag del paragrafo dall'HTML di quanto non faccia per usare il software OCR per ottenere le cifre richieste dall'immagine, che sono d'accordo con (Di qui perché l'ho menzionato nel mio post)

SE qualcun altro ha qualcos'altro da aggiungere, per favore fallo, altrimenti scriverò una risposta e la contrassegnerò come risposta. Sarei interessato a sapere quali ALTRI rischi ci sarebbero quando si ottiene la stringa di sicurezza come TESTO anziché come IMMAGINE, grazie.

    
posta J.J 03.05.2018 - 18:42
fonte

2 risposte

0

Con l'aiuto di dmb siamo arrivati alla conclusione (per quanto possiamo dire) che l'UNICA vera differenza qui è la velocità.

Come ha menzionato (e ho delineato nella mia domanda) se la stringa di sicurezza è un'immagine piuttosto che il testo rende molto più difficile per qualcuno ottenere quelle informazioni nel computer per poi utilizzarle in uno script, ecc. è dovuto al modo in cui le immagini vengono visualizzate come l'intero punto di un'immagine di Turing è quello di rendere il testo meno leggibile / scomposto per impedire l'uso di bot.

Tuttavia, più a lungo ci vuole un attaccante per ottenere queste informazioni tecnicamente rende il sistema più sicuro, abbiamo concordato sul fatto che più a lungo ci vuole un attaccante, meglio è. Il problema di avere una stringa di sicurezza come testo è che è molto, molto facile ottenere queste informazioni nel computer / script come ho detto nella mia domanda un modo per farlo sarebbe quello di raschiare le pagine HTML.

Grazie per le tue risposte su questo! Credo di avere la mia risposta, se qualcuno ha qualcosa da aggiungere, per favore sentiti libero.

    
risposta data 04.05.2018 - 17:44
fonte
2

L'altro rischio per la sicurezza è che questo non è realmente 2FA.

In 2FA, l'OTC dell'utente verrebbe generato quasi casualmente in un modo che richiede l'uso di un dispositivo separato, come un token, come prova di qualcosa che hanno . Nel caso di SMS OTP, utilizza un canale separato (cellulare) per connettersi a un dispositivo separato.

Qui, il codice è invece il PIN dell'utente che viene crittografato a mano con un codice sostitutivo. Questo è ancora qualcosa che l'utente conosce, quindi questo è 1FA fatto due volte.

Alcuni dei rischi che 1FA * 2 si apre rispetto ai 2FA includono:

  • Un PC compromesso registrerà l'immagine (chiave cifrata) e l''OTC', che decifrano banalmente al PIN, fornendo tutte le credenziali.
  • Lo stesso può essere fatto con MITM, ma deve intercettare sia il login che i siti web OTC.
  • Poiché la crittografia manuale richiede sforzi e genera errori, è molto probabile che gli utenti scelgano PIN che semplificano l'attività. Questa è una sequenza crescente di cifre vicino all'inizio ("1234") o alla fine ("7890"), spostata di 1-2 cifre ("3456") dal più attento alla sicurezza.

Che si tratti di una stringa di testo o di un'immagine di Turing, il traffico intercettato compromette il sistema. La necessità di OCR è solo una seccatura per gli aggressori più sofisticati. Dal momento che la sicurezza è sempre un compromesso rispetto all'usabilità, può essere meglio rilasciare il PIN e inviare semplicemente all'utente il proprio OTC. Questo è meno da ricordare per l'utente e meno sicurezza visibile, quindi un po 'più possibilità che scelgano una password più strong.

    
risposta data 04.05.2018 - 07:33
fonte

Leggi altre domande sui tag