L'autenticazione a due fattori è fallita?

Naviga le tue risposte
0

In un commento a questa domanda viene affermato che l'autenticazione a due fattori non migliora realmente la sicurezza e questo Security Week articolo è referenziato. Trovo che mi manca lo sfondo necessario per capire l'articolo e ho scoperto che non forniva alcuna spiegazione concreta sul perché questo sarebbe stato il caso, ad eccezione del riferimento a Man in the Browser attacca ma questi sembrano non correlati.

Mi rendo conto che una buona sicurezza ha dei livelli e solo perché 2FA ha dei difetti non significa che non sia buona, ma è davvero così vulnerabile che è più che una perdita di tempo accenderlo?

    
posta Celeritas 07.01.2017 - 08:20
fonte

2 risposte

2

L'articolo a cui ti riferisci sta parlando di SMS come secondo fattore. Una pratica migliore consiste nell'utilizzare un'app autenticatore (come google authenticator) come secondo fattore. Questo ti dà un codice che è valido solo in una piccola finestra. Ad ogni modo, se hanno accesso al tuo telefono, questo ti può aiutare.

Il problema con SMS come seconda fase di verifica è che presenta diversi rischi. NIST non consiglia più di utilizzare l'autenticazione a 2 fattori basata su sms ( link sezione 5.1.3.2 . Verificatori fuori banda)

Quindi, se possibile, utilizzare 2FA ma con l'APP di autenticazione.

    
risposta data 07.01.2017 - 08:32
fonte
0

Quindi perché dovresti fare l'autenticazione a due fattori? Si tratta di alzare il tiro per l'attaccante. Come puoi alzare il tiro per l'attaccante? Introducendo una sfida che non rientra nel profilo di abilità dell'attaccante classico. ... come se avessi bisogno che l'attaccante rubasse fisicamente qualcosa.

Questa è l'idea originaria di 2FA come se fosse stata introdotta per es. nel 1986 da RSA con il token RSID securID. Sfortunatamente questo algoritmo proprietario non è stato implementato molto bene, quindi ha dovuto essere migliorato continuamente. Inoltre: se un attaccante ruba le chiavi segrete dei dispositivi hardware, di nuovo il possesso fisico è inutile.

Come affermato da John e dal NIST, SMS non è la migliore idea per implementare 2FA. Ovviamente è ancora meglio che usare nessun secondo fattore e solo una debole password.

Ma anche le app per smartphone hanno i loro vettori di attacco. Non solo sullo smartphone ma anche durante il processo di registrazione. Ho scritto un articolo sul blog di Riva a riguardo. link

Infine - se parli di uomo nel browser, ovviamente 2FA ti protegge solo nel momemnt breve dell'autenticazione. Se si utilizza un protocollo non crittografato, l'utente malintenzionato può semplicemente annusare e rubare i dati senza compromettere l'accesso. Se il tuo computer è pieno di trojan, l'hacker può anche indirizzare direttamente i tuoi dati senza la necessità di indirizzare il processo di autenticazione.

    
risposta data 07.01.2017 - 10:26
fonte

Leggi altre domande sui tag

Le minacce alla sicurezza delle applicazioni Java (basate sul Web)? [chiuso] Localizzatore di dispositivo / persona che sta minacciando tramite e-mail compromessa [chiusa]