Un sistema di scansione ID come trusona può essere davvero sicuro?

Naviga le tue risposte
1

Recentemente mi sono reso conto di Trusona (vedi la loro demo su questa pagina link ). Vogliono "terminare le password".

Credo nell'idea che 'ragionevole sicurezza' = {qualcosa sei + qualcosa che conosci + qualcosa che possiedi}, e che qualsiasi altra cosa che finge di essere abbastanza sicura è fondamentalmente non sicura / una bugia.

Dal mio punto di vista sembra che usino qualche analisi dell'immagine per verificare che un ID sia stato mostrato e mostrato in modo diverso da qualsiasi immagine precedente di questo ID - per verificare che qualcuno non abbia rubato l'immagine di registrazione usata come credenziali. Quindi questo è il 'qualcosa che possiedi'.

Ma hanno modo di verificare che l'ID di registrazione sia valido in primo luogo? Immagino che se ottieni un'istantanea di un ID, puoi anche stamparlo e rieseguirlo di nuovo?

Quindi, come può un sistema come la trusona essere sicuro a tutti? C'è qualcosa che mi manca? Non vedo il "qualcosa che conosci" / "qualcosa che sei" componente di sicurezza, e il "qualcosa che possiedi" stesso sembra dubbio rispetto a un buon generatore di numeri pseudo casuali crittografico.

In un certo senso, questo è lo stesso motivo per cui non utilizzerei il puro ID di impronte digitali ("qualcosa che sono", ma facile da copiare) per qualcosa di serio - sto dando le mie impronte digitali gratuitamente centinaia di volte al giorno ogni volta Io uso le mie dita. Almeno fino a quando non riesci a leggere la mia mente / modificare il mio accesso al punto finale, non puoi accedere alla mia password (per non dire che non ci sono modi per farlo, ovviamente).

Mi manca qualcosa / qualcuno può spiegare se / perché trusona è effettivamente al sicuro?

    
posta Zorglub29 03.10.2018 - 12:39
fonte

1 risposta

1

Dalla demo, sembra che abbiano costruito qualcosa di simile ad ogni altra piattaforma PAM, tranne che utilizza una fotocamera per smartphone e un'app per eseguire la convalida. L'uso di una patente di guida nell'ultima versione è un add-on carino, ma probabilmente incontrerà la resistenza dell'utente.

In base a ciò che ho visto nei loro video, l'architettura di base è la seguente: gli utenti stabiliscono il proprio account con un fornitore di convalida di terze parti (Trusona) e installano l'app, che è collegata all'account con una coppia di certificati. Quando si tenta di accedere, viene inviata una notifica push al telefono associato al proprio account e si acquisisce un'immagine di una password monouso sotto forma di codice QR. L'app verifica l'OTP con il server e ti registra, rispettando i ruoli "qualcosa che hai" e "qualcosa che conosci" con il telefono e il codice QR, rispettivamente.

Questo non è diverso da qualsiasi altro sistema PAM, davvero. Quindi per quanto riguarda la sicurezza, va bene. Hai ragione che in un mondo ideale avresti tre fattori per l'autenticazione, ma per la stragrande maggioranza delle persone questo tipo di autenticazione centralizzata a due fattori andrebbe bene. Non sarei terribilmente sorpreso di vedere Trusona o un'altra piattaforma simile spuntare su altri siti che vanno avanti.

Il più grande problema che ho con esso è la fiducia con la terza parte. Se guardi indietro alla violazione RSA nel 2011, puoi vedere il tipo di problemi che può avere un unico grande sistema di convalida di terze parti. Quando il seme SecurID è stato rubato, è diventato possibile generare credenziali valide sulla piattaforma, ignorando la sicurezza proposta. Trusona potrebbe facilmente subire lo stesso destino, ma poi di nuovo, così potrebbe qualsiasi altro autenticatore.

    
risposta data 03.10.2018 - 17:48
fonte

Leggi altre domande sui tag

Perché la maggior parte delle applicazioni Web utilizza token CSRF come metodo di prevenzione, invece di convalidare tramite l'intestazione di origine? Algoritmi asimmetrici consigliati per JWT?