TOTP: memorizzazione di segreti simmetrici

1

Sono in fase di ricerca dei metodi 2fa per un sistema di controllo degli accessi fisico connesso al cloud. C'è poco margine di errore in questo spazio.

Sono solo io o TOTP per l'autenticazione a due fattori sembra un passo indietro ai tempi dell'autore del digest in cui devi memorizzare il segreto simmetrico in modo reversibile. Le password memorizzate in testo semplice erano - e sono tuttora - dilaganti e ci sono state una miriade di esposizioni ad alto livello di questi segreti anche dalle più grandi entità.

Non stiamo solo ritardando l'inevitabile esposizione dei segreti del TOTP insieme ai database vulnerabili delle informazioni degli utenti che vengono compromessi da aggressori sempre più abili?

In un mondo in cui disponiamo di motori crittografici asimmetrici hardware in quasi tutti i dispositivi utilizzati per 2fa, in che modo questo metodo di autenticazione di un dispositivo è diventato il più popolare?

Con sistemi come Secure Element e Touch ID, l'accesso chiave con silicio e biometria dà accesso alla sicurezza che anche gli attori governativi lottano per scendere a compromessi, tanto che si stanno muovendo verso una legislazione per indebolirla.

La memorizzazione delle chiavi derivate è stata la migliore prassi per proteggere le password a riposo per almeno un decennio, ma questa strategia non può essere utilizzata per proteggere i segreti condivisi di TOTP. Questo lascia la crittografia simmetrica, che anche se implementata correttamente ha un valore discutibile nella protezione dei sistemi live. Il PKI è in circolazione ancora più a lungo e tuttavia fatica ancora a prendere piede nello spazio di implementazione.

E 'ancora il selvaggio West per molti aspetti e uno sparpagliare sparatorie di RFC di kiloword e implementazioni imperfette. Esistono sistemi semplici da utilizzare che sfruttano la tecnologia PKI oggi disponibile per affermare in modo sicuro l'identità del dispositivo per 2fa sul sistema connesso a Internet che potrebbe essere necessario proteggere in modo critico?

    
posta joshperry 04.06.2016 - 20:46
fonte

1 risposta

1

È necessario essere consapevoli del fatto che il TOTP deriva da HOTP (RFC4226), che era RFCed nel 2005. Questa era l'ora, quando gli smartphone non erano ancora in circolazione!

L'algoritmo era NOT progettato per Google Authenticator! ma per i token hardware, che non sarebbero collegati a un computer o non avrebbero alcuna connessione a Internet. Quindi dovresti usare l'interfaccia ottica umana, l'occhio e le dita che digitano.

Quando ci pensi un po ', ti renderai conto che in questo scenario, dove vuoi essere in grado di digitare una password unica, questa deve essere generata da una chiave simmetrica, poiché nel processo di creazione dell'OTP , vi è un troncamento coinvolto (in modo che l'OTP sia abbastanza breve da rendere la digitazione divertente). Se stavi usando crypto assimmetrico per creare un OTP, il troncamento distruggerebbe la tua crittografia.

Sì, PKI, le smartcard sarebbero anche meglio, ma non sarai felice con la scocciatura del driver in molti scnearios.

Quindi, naturalmente, se l'autore dell'attacco accede al sistema di autenticazione o al database, si è persi. Ma se l'hacker accede ai tuoi documenti segreti nel back-end, non devi preoccuparti di 2FA. Quindi la domanda è, quali modelli di minacce si vogliono mitigare. E ci sono ancora molte cose là fuori, per le quali un algoritmo di password monouso basato su una chiave simmetrica funziona piuttosto bene.

    
risposta data 05.04.2018 - 22:52
fonte

Leggi altre domande sui tag