OTP vs. U2F per servizi bancari online ed e-mail (vs. chiave di archiviazione su USB)

3

Quale tra OATH HOTP, OATH TOTP su un lato (diciamo sotto forma di un token di dimensioni di una carta di credito) e U2F (diciamo sotto forma di una chiave USB) dall'altro lato pensi che sia più sicuro per scopi come online banking, email e simili? Quali sono i pro e i contro di ciascuno, sia a livello tecnico cripto che come usabilità?

Una terza opzione che posso vedere, ad es. da utilizzare con un gestore di password come keepass o PGP key, è quello di memorizzare la chiave sulla chiavetta USB: come si confronta in sicurezza con quelli sopra?

    
posta jj_p 26.01.2017 - 17:50
fonte

1 risposta

4

La password standard (anche localmente crittografata), xOTP (OTP, HOTP, TOTP) [con o senza codici SMS] ha molte vulnerabilità e la più importante ora è: NESSUNA PROTEZIONE REALE CONTRO LA PESCA. Un breve promemoria visivo a riguardo: link

FIDO U2F è una soluzione basata su PKI vera e propria (curva ellittica / crittografia assimmetrica), anche se non perfetta, nessun attacco relay / phishing facile funzionerà su FIDO U2F.

Riguardo al commento di Xiong Chiamiox: FIDO U2F esiste già per desktop / laptop (Windows, Linux, OSX) come chiavi di sicurezza USB, ma ci sono anche schede NFC FIDO U2F disponibili per smartphone e tablet Android. Più tardi quest'anno, ci sarà anche il dispositivo Bluetooth Low Energy (BLE) che porterà -a laaaast- a portare FIDO U2F sul dispositivo iOS.

    
risposta data 24.02.2017 - 02:19
fonte

Leggi altre domande sui tag