Una password in meno

0

Mi sono appena imbattuto in questo:

link

Fondamentalmente una tecnica per eliminare le password come meccanismo di autenticazione principale per la connessione a un sito Web sostituendolo con il tuo dispositivo mobile.

In senso tecnico, si tratta di un sistema più sicuro o aumenta la vulnerabilità perché ora centralizza l'accesso alla posizione tramite (cioè perdi il tuo dispositivo mobile e ora l'accesso ai tuoi account è protetto da un pin di 4 cifre).

    
posta Martin York 14.10.2014 - 22:14
fonte

3 risposte

1

Raccomando i loro sforzi per rendere Internet un posto più sicuro e più facile da navigare.

Il rischio di centralizzazione non è diverso rispetto a qualsiasi altro gestore di password in quanto se il vault della password è compromesso, è tutto compromesso. In questo caso, il dispositivo fisico si comporta come il vault e l'handshake è in gran parte automatizzato.

    
risposta data 14.10.2014 - 22:44
fonte
1

L'autenticazione a un fattore non è più o meno sicura dei metodi esistenti di per sé, perché la stessa password non è la principale debolezza; Il sapore del momento nelle cerchie di sicurezza è man-in-the-middle.

L'aggiunta dell'autenticazione a due fattori, utilizzata dai prodotti Google come Gmail, Outlook online o token RSA costituiva un altro livello di sicurezza, ma ecco un esempio di dove è stato ottenuto l'accesso all'account e-mail senza l'account e-mail effettivo. link . Una volta che la tua e-mail è stata compromessa, gli altri tuoi account sono completamente aperti.

Quindi, a meno che "one-less-password" risolva l'intero stack, fornisce solo un possibile vettore di attacco che è più o meno un esercizio nello stesso ambito.

-Password enforcement, complessità
algoritmo di crittografia -ingegneria sociale
-OS, browser hardening
-payment standards (PCI)

    
risposta data 14.10.2014 - 23:28
fonte
0

Per prendere realmente in considerazione le implicazioni di ciò, è necessario considerare l'adozione e la diffusione di tale tecnologia prima di determinare quanto aumenterà o diminuirà la vulnerabilità. In questo momento, ciò che fa è inviare un messaggio e-mail all'indirizzo e-mail registrato dell'account (o in molti casi, l'indirizzo e-mail è il nome dell'account ... che è un altro problema interessante. ..) e l'utente utilizza quindi il collegamento di autenticazione monouso per accedere alla risorsa.

Alcuni problemi che riesco a vedere:

Le persone useranno lo stesso indirizzo e-mail per la loro autenticazione. In questo momento, sembra conveniente. È semplice, comprensibile, facile e potrebbe ridurre il carico della password. Tuttavia, con quale frequenza le persone andranno a creare UN ALTRO indirizzo e-mail? Quasi mai.

L'adozione diffusa sposta la responsabilità

Questo è qualcosa di veramente osceno, secondo me. Quindi si invia un messaggio a un account e-mail che non può utilizzare l'autenticazione basata su e-mail (o se lo fa, deve terminare da qualche parte dove esiste una forma alternativa di autenticazione) e imporre al provider di posta elettronica di onere di autenticare i tuoi utenti per te. Brillante. Facciamo in modo che THEM (concorrenti) porti i database delle password hash e salati e usino i loro database per autenticare i nostri utenti. Non hai ANCORA bisogno di una password per accedere alla risorsa? Sì. Deve finire da qualche parte.

Non mi piace. A tutti.

Sarà meno sicuro in quanto aumenta l'adozione perché focalizza il punto di errore. Potrebbe anche essere meno sicuro ora, perché hai tutte le tue uova in un paniere e non hai nemmeno il beneficio di un danno compartimentato. Non va bene.

    
risposta data 15.10.2014 - 00:17
fonte

Leggi altre domande sui tag