Utilizzo del software per smartphone Symantec VIP Access per 2FA

Naviga le tue risposte
1

Sono più abituato a utilizzare Google Authenticator / FreeOTP per le mie esigenze 2FA. Questo sistema mi consente di avere flussi TOTP separati per ciascun sito e mi consente di eseguire il backup dei miei semi (stampando i codici QR utilizzati per configurarli).

Tuttavia, ho riscontrato alcuni sistemi che supportano solo il programma "VIP Access" di Symantec. Questo software sembra generare un singolo segreto, quindi registro "ID credenziali" con altri sistemi per consentire loro di riconoscere il mio stream TOTP. Non sono sicuro di come funzioni la crittografia, ma se utilizzo Symantec VIP Access sia per SiteA che per SiteB, non fornisce in modo efficace token TOTP di SiteA che può essere utilizzato per impersonare me su SiteB? Inoltre, Symantec non supporta alcun modo per eseguire il backup del suo segreto: la soluzione documentata per uno smartphone smarrito, rotto o sostituito è contattare il supporto tecnico per ciascun sistema con cui ho registrato il mio "ID credenziale".

L'analisi di Symantec VIP Access è corretta? In tal caso, ho delle alternative migliori rispetto a (inutilmente) chiedere agli amministratori dei sistemi che utilizzano Symantec VIP Access di passare a qualcosa che non fa schifo?

    
posta user3553031 20.12.2017 - 08:30
fonte

1 risposta

1

if I use Symantec VIP Access for both SiteA and SiteB, doesn't this effectively give SiteA TOTP tokens that it can use to impersonate me on SiteB?

Sì. 2FA non elimina necessariamente completamente i rischi del riutilizzo della password. Dubito che Symantec consenta di utilizzare lo stesso codice due volte (il sistema richiede che il servizio invii il codice a Symantec per la convalida), ma un servizio malevolo potrebbe essere abbastanza semplice da non convalidare te stesso con Symantec.

Vale la pena notare che i siti possono facoltativamente integrare la notifica basata su push (dove l'app chiede a Symantec di chiedere al telefono di generare un token per esso) o un'autenticazione basata su QR (dove viene presentato un codice QR che il telefono utilizza quando genera il token ). Entrambi eliminerebbero quel rischio.

Symantec doesn't support any way to backup its secret -- their documented work-around for a lost, broken, or replaced smartphone is to contact technical support at for each system with which I've registered my "credential ID".

Questo sembra essere di progettazione. Sarei d'accordo che sia una decisione sbagliata. Tuttavia, da un punto di vista della sicurezza / marketing, è probabilmente meglio - se qualcuno ruba il tuo telefono probabilmente te ne accorgerai, se qualcuno clonasse il tuo token potresti non farlo.

do I have any better alternatives than (futilely) asking administrators of systems that use Symantec VIP Access to switch to something that doesn't suck?

L'unica altra opzione è presentare un reclamo a Symantec. Anche se direi che lamentarsi per i loro clienti potrebbe avere un impatto maggiore.

    
risposta data 20.12.2017 - 10:08
fonte

Leggi altre domande sui tag

Non riesco a eseguire comandi tramite proxychains È sicuro trasferire i certificati dal Servizio 1 al Servizio 2 su HTTPS?