Capire la forza del cellulare a due fattori e le alternative a questo

Naviga le tue risposte
1

Attualmente sto usando due fattori tra il mio Mac e l'iPhone. E lo uso anche per il mio account Google. (Questi sono i due unici al momento.)

Come posso proteggere l'accesso ai miei account se non ho un cellulare ?

  1. Innanzitutto, mi piacerebbe capire se il fattore a due fattori su un telefono cellulare è più strong rispetto all'utilizzo di un metodo a due fattori che non coinvolge un telefono cellulare? In tal caso, cosa rende particolarmente sicuro un telefono cellulare? È perché i telefoni cellulari hanno schede SIM e nessuno può ottenere una SIM senza iscriversi con un nome completo con un gestore telefonico, ecc.?

  2. Quali alternative ho a due fattori per Apple ID / Gmail che non implicano un telefono cellulare? (Preferibilmente qualcosa che non richiede l'ottenimento di un articolo fisico o la registrazione per alcuni servizi a pagamento.) È possibile utilizzare un token tramite e-mail criptata, ad esempio?

posta forthrin 24.05.2017 - 15:24
fonte

2 risposte

1

Affidarsi a qualsiasi cosa controllata da un operatore di telefonia mobile è una cattiva idea. SMS è insicuro di progettazione (transita in testo normale) e i gestori di telefonia mobile non si preoccupano della sicurezza a meno che non interferiscano con la loro capacità di truffare i loro clienti, quindi non gliene frega niente se c'è un cattivo che impegna la propria infrastruttura e intercetta 2FA testi in massa (visti gli orrori che ho visto in un importante corriere del Regno Unito non mi sorprenderebbe se la maggior parte dei vettori disponesse già di malware avanzato piantato da qualche parte nelle loro infrastrutture).

Per l'email è possibile configurare un proprio server "email" falso che risponde alle richieste di posta elettronica (con il nome del sito) e risponde con il corrispondente codice 2FA. Internamente quel server imiterebbe la funzionalità delle app "autenticatore" (TOTP / HOTP sono standard aperti e i servizi online non sanno né importa se stai usando un'app per smartphone o qualche soluzione oscura come questa). Ti connetteresti al server di posta elettronica in modo sicuro e avresti alcuni script che interpretano le query email in entrata e inseriscono le risposte (con i codici) direttamente nella cartella IMAP "Posta in arrivo" per il tuo client di posta elettronica da prelevare.

    
risposta data 24.05.2017 - 16:07
fonte
1

Ciò che rende particolarmente sicuro un telefono cellulare rende più sicuro?

Niente, almeno per quanto ne so. La ragione per cui alcuni degli attuali metodi a due fasi si basano su telefoni e segreti archiviati localmente è che le persone hanno più probabilità di ricordare il proprio telefono piuttosto che portare con sé un generatore di token, quindi in pratica, praticità e disponibilità del caso d'uso. / p>

Quali alternative ho per due fattori per Apple ID / Gmail che non implicano un telefono cellulare?

Ci sono molte alternative, sebbene la maggior parte di esse coinvolge qualche pezzo di hardware in più. L'invio del token via e-mail richiede che l'e-mail sia protetta con più di una password e un nome utente, altrimenti si perde completamente l'aspetto " Multi-fattore ". Il punto è ottenere un pezzo extra di " proof " che sia l'utente corretto, ma se ricevi il token alla tua email, qualcuno che ha già accesso al tuo account deve solo controllare la tua casella di posta per il token. Una cosa che potresti voler controllare sono le chiavette USB che contengono il certificato / le chiavi segrete per autenticarti, ma in un'impostazione aziendale che significherebbe abilitare le porte USB, che introduce un'altra superficie di attacco. Tuttavia, per un utente privato che potrebbe non essere un grosso affare .

    
risposta data 24.05.2017 - 16:14
fonte

Leggi altre domande sui tag

SSH ED25519 Key Extract pk (32 bit) La VLAN passa attraverso lo switch spoofing possibile senza DTP?