Pro e contro delle attuali procedure di verifica in due passaggi?

Naviga le tue risposte
1

Attualmente sto lavorando a un progetto e stiamo esplorando diversi tipi di standard MFA del settore corrente. I più noti sarebbero molto probabilmente HOTP & Pin TOTP, che vengono utilizzati nell'app "Google Authenticator" o inviati tramite servizi Web separati via SMS a un telefono degli utenti.

Cosa impedisce a nessuno di cambiare questo standard? Sembra che l'unica ragione sia che sul telefono non è richiesta alcuna connessione a Internet per ottenere il pin tramite app e che potrebbe essere inviato tramite SMS se il telefono non può eseguire app (lol).

Ma ci sono anche alcuni Contro. Per uno, il pin può essere visto sulla maggior parte dei telefoni anche quando lo schermo è ancora bloccato. Inoltre, chiunque guardi il tuo telefono può saltare l'intero livello di sicurezza. Il primo sarebbe qualcosa che sai, e il secondo sarebbe qualcosa che hai, che di solito è uno smartphone, ma quel livello extra è annullato se qualcuno può semplicemente rubare il tuo telefono per un secondo a guardarlo (come nella prima stagione di House of Cards)!

Quindi la mia domanda sarebbe, ci sono altri pro e contro che mantengono questo standard attuale, o è una di quelle situazioni in cui il processo è così semplice e diretto che la facilità d'uso supera il bisogno per miglioramento?

Inoltre: quale sarebbe il rovescio della medaglia di un processo che utilizza una connessione Internet attiva sul tuo telefono per richiedere un pin o il pin generato in base a un valore temporale (TOTP)?

    
posta PositriesElectron 02.06.2016 - 21:58
fonte

1 risposta

2

Quindi una cosa su cui ti stai confondendo è che ti stai abbinando a diversi teatri di sicurezza. Cerchiamo invece di guardare esclusivamente sul web e poi solo al telefono.

The Web Theatre

Con il web sei soggetto a tentativi casuali di hackerare il tuo account. Questo è protetto da una password (qualcosa che conosci) e un nome utente (qualcosa che hai). In questo caso, se qualcuno ottiene il nome utente, può iniziare ad attaccarti e eventualmente ottenere il tuo account.

Ora consente di aggiungere una seconda password. SÌÌ! Ora hanno il doppio dell'entropia. Ma è ancora qualcosa che conosci (statico). Invece lascia cambiare quella password a qualcosa di dinamico. Ora OGNI volta che quella dinamica cambia, devono ricominciare da capo perché devono riprovare ogni combinazione di codice e password dinamica ancora esistente.

Questo non vale la pena di provarci. Avresti solo un server DDOS, e se il server è configurato correttamente, non puoi farlo con DDOS.

The Phone End

Okay adesso qualcuno ha il tuo nome utente, e il telefono, e sei rinchiuso in un seminterrato ... e ti hanno picchiato finché non hai dato loro le password ... e stai solo piangendo e sperando la polizia si presenta e ti salva ...

La verità è che la parte indicata (sul tuo telefono) è tenuta fisicamente al sicuro da te. Se hai una preoccupazione per la sicurezza fisica, probabilmente dovresti già essere in grado di fare qualcosa al riguardo (come non prestarlo, non visualizzare il contenuto delle notifiche sulla schermata di blocco (un'opzione sulla maggior parte degli smartphone), e se lo ricevi su SMS e qualcuno lo vede, tutto ciò che vedono è una stringa. Non sanno a cosa serve.

Se sanno già a cosa serve, allora sei già stato pwnato perché conosce il tuo nome utente. Se qualcun altro conosce il tuo nome utente, stai facendo qualcos'altro che non va, e questo non è il problema. Le tue abitudini fisiche sono.

E i pin di connessione attivi?

Il problema è che il telefono sta effettuando la comunicazione e, in quanto tale, se qualcuno sta ascoltando il telefono ed esegue un MITM solo sul telefono, può accedere all'account. La generazione senza comunicazione è molto più sicura perché qualcuno non può ascoltarla. Avrebbero dovuto ascoltare il setup iniziale (nuovamente separato senza comunicazione) per ottenere il pin per generare il codice sensibile al tempo. Ancora una volta questo entra in uno scenario seminterrato. Lì sarei molto più preoccupato per la mia sicurezza fisica rispetto alla sicurezza del mio account.

E i codici generati?

Cosa succede se guardo un telefono e vedo '8675309 ha inviato 98jdff712hfg' sullo schermo? Cosa significa? Non so quale servizio quel numero (di solito da un gruppo di numeri che ruota in modo casuale o viene utilizzato da molti servizi) è associato con. L'unico modo in cui ciò avrebbe avuto un senso è se fossi seduto al di sopra delle tue spalle e osservassi l'INTERO processo di accesso. Ancora una volta è qualcosa di molto più terrificante e probabilmente ti staresti attento mentre inserisci i dati.

    
risposta data 03.06.2016 - 01:37
fonte

Leggi altre domande sui tag

Impedisci il roaming delle credenziali per determinati account / certificati? Iniezione SQL cieca: puoi eseguire una stringa esadecimale come parte della query?