I principali contendenti sostituiscono le password?

0

Le password e gli umani non si combinano particolarmente bene. Non possiamo trovare molto casuali, non possiamo ricordare molto bene quelli casuali, li riutilizziamo (sto parlando di tutti gli umani qui, forse non quelli di voi che sfoglia questo stackexchange), quando inventati quelli casuali unici dobbiamo nasconderli dietro un singolo punto di errore in un gestore di password. Inoltre, molti venditori / provider / siti Web li memorizzano in modo non corretto, sia in testo normale che utilizzando un algoritmo debole o veloce.

Tuttavia, rimangono onnipresenti.

La mia domanda è duplice:

  • se usato con un secondo fattore, è l'intero sistema (password + 2 ° fattore) abbastanza strong nel suo complesso che gli svantaggi delle password diventano irrilevanti?
  • Supponendo che la risposta alla prima domanda sia "no, gli svantaggi della password rendono il sistema troppo debole", quali sono le alternative da utilizzare in futuro?

Posso immaginare che ci siano tecnologie alternative pronte per la produzione, ma quali effetti di rete impediscano di penetrare nel mainstream. O ci sono tecnologie che si avvicinano alla fine dello sviluppo? O nessuno ha mai pensato a una buona alternativa?

La sostituzione sarà semplicemente un'altra cosa che conosciamo (in riferimento ai fattori di sicurezza: qualcosa che conosci, qualcosa che hai, qualcosa che sei). O ci sposteremo completamente da quel modello?

  • Tecnologia pronta che non può competere con gli effetti di rete?
  • Idee tecnologiche che necessitano di stirature per le rughe?
posta thosphor 09.11.2018 - 15:15
fonte

2 risposte

3

When used with a second-factor, is the whole system (password+2nd factor) strong enough as a whole that the disadvantages of passwords become irrelevant?

Per la maggior parte degli scopi, avere un secondo fattore è probabilmente sufficiente per superare i problemi con le password, assumendo la condizione piuttosto importante che si implementa correttamente il secondo fattore. In particolare:

  • È necessario un meccanismo di ripristino definito correttamente che sia ancora sicuro. I codici di ripristino OTP forniti da molti siti che supportano 2FA sono un buon esempio di ciò che viene fatto correttamente.
  • È necessario un supporto adeguato per consentire l'utilizzo di più fattori secondari indipendenti. Ad esempio, consentendo l'associazione di più chiavi U2F con un determinato account o più impronte digitali o più app TOTP. Il motivo per cui questo è importante è che, a differenza di una password, il secondo fattore di solito non è banale da sostituire, quindi avere un backup di emergenza è importante.

Assuming the answer to the first question is "no, password disadvantages make the system too weak", what alternatives are there for us to use in the future?

Non penso che ce ne siano davvero quasi pronti, in gran parte perché hanno i loro problemi che sono discutibilmente molto più complicati da gestire delle password. La biometria è ancora abbastanza facile da imbrogliare e non è nemmeno del tutto affidabile per cominciare. I dispositivi di sicurezza hardware sono generalmente uno scherzo poiché sono attualmente implementati e sono molto più facili da perdere rispetto alle password. Altre tecnologie hanno i loro ulteriori problemi.

Oltre a ciò, mi piacerebbe davvero mettere in discussione la premessa della domanda. Sembra che implichi che i problemi siano inerenti alle password, ma direi che derivano tutti da come vengono tipicamente utilizzati.

In primo luogo, il concetto di "password casuale strong", come la maggior parte delle persone pensa, non è poi così buono. È abbastanza chiaro che ciò che le persone chiamano classicamente password forti (e quello che molti siti richiedono ancora di usare) è difficile da ricordare per la gente, ma è facile da indovinare per i computer, e quindi non è poi così utile. Se, invece, usi qualcosa di simile all'approccio XKCD ( XKCD # 936 ), è piuttosto semplice da ricordare e, se fatto bene, può essere incredibilmente sicuro (specialmente se si mescolano le lingue).

Ora, anche ignorando ciò, la maggior parte delle persone può ricordare password classicamente complesse senza troppe difficoltà se le usano regolarmente . Il problema qui è che molte persone usano sessioni di login persistenti (che sono cattive anche per altri motivi) e hanno le cose impostate per ricordare le loro password per loro. Se la digiti ogni giorno , la memorizzerai, almeno come memoria muscolare, dopo al massimo alcune settimane.

Inoltre, il punto sullo storage debole è irrilevante, perché non è specifico per le password. È possibile che i sistemi 2FA abbiano gli stessi problemi per il secondo fattore in quanto è la password.

Complessivamente, ciò lascia il riutilizzo, ma questo è ancora un problema per molte alternative (non è come se si potesse realisticamente utilizzare una retina diversa per ogni scansione della retina o un dito diverso per ciascuna scansione delle impronte digitali).

    
risposta data 09.11.2018 - 20:59
fonte
0

Ci sono diverse opzioni che hanno già sostituito le password, la biometria come i lettori di impronte digitali per sbloccare i cellulari è abbastanza comune. Iris o riconoscimento facciale è un altro che viene utilizzato. Alcune banche usano comunemente i lettori di schede, il che non è il più conveniente, altri hanno iniziato a testare i codici di verifica che per me ha più senso.

Tutto ciò richiederà più lavoro da implementare, quindi non vedo le password passare in qualunque momento presto, ma penso che una combinazione di quanto sopra diventerà più comune senza che tu te ne accorga.

    
risposta data 09.11.2018 - 15:34
fonte

Leggi altre domande sui tag