Quali sono i possibili problemi di sicurezza se qualcuno inserisce automaticamente 2FA in 1password? [duplicare]

Naviga le tue risposte
0

Ho sentito che 1password ha una funzione.

Abbiamo praticamente memorizzato i codici QR per google 2FA in 1 password.

1 password quindi dicci le chiavi 2FA di Google ogni volta che effettuiamo l'accesso.

link

La password è 1 sola con questa funzione?

Mi sentivo un po 'icky.

L'intero punto di 2FA è che abbiamo bisogno di due diverse autorizzazioni. E ora è combinato in uno.

Chiunque possa accedere al mio account 1password può rubare tutti i miei soldi.

Quindi qual è la soluzione?

    
posta Sharen Eayrs 30.09.2018 - 22:02
fonte

1 risposta

1

TLDR: non utilizzare quella particolare caratteristica di 1Password.

Is 1 password the only one with this feature?

Il mio gestore di password di scelta, KeePass può anche supportare questo tramite un plugin. Per quanto riguarda gli altri gestori di password, non lo so.

I felt a little bit icky.

È un po 'icky fondere i tuoi 2 fattori in uno solo.

The whole point of 2FA is we need two different authorization. And now it's combined into one. Anyone that can get into my 1password account can steal all my money.

Sì, chiunque riesca ad accedere a 1Password sarà in grado di accedere. Ma in questo caso, il punto di 2FA è leggermente diverso. Non è tanto il fattore 2 quanto quello di rendere l'unico fattore migliore.

So what's the solution?

Altrimenti, non usando questa funzione, non c'è soluzione. Tuttavia, credo che non ci sia nessun "problema".

Credo che questa funzione non sia pensata per proteggere dal compromesso 1Password. È piuttosto pensato per impedire che la password venga compromessa quando viene inserita. Ecco alcuni esempi della password potrebbe essere rivelato:

  • Keylogger o altri spyware che catturano gli appunti quando si copia la password
  • Keylogger che modifica la password con la funzione di autotype
  • Accidentalmente salvataggio della password nel browser
  • Un'estensione del browser Web dannosa che acquisisce la password
  • Un javascript dannoso (ad esempio da XSS) che acquisisce la password
  • Attaccante che intercetta le credenziali di accesso, ad esempio tramite attacco MITM

In tutte queste situazioni, l'utente malintenzionato potrebbe ottenere la tua password, tuttavia se utilizzi TOTP 2FA, avrebbe una vecchia OTP. Pertanto, non sarebbe in grado di accedere a tutti in alcuni di questi scenari e accedere solo una volta al resto.

Questa funzione è quindi IMO utile quando ti fidi che 1Password non sarà compromessa, ma sei preoccupato per la perdita di password. Se ritieni di doverti proteggere, specialmente con l'e-Banking, dovresti usare il tuo telefono. Questo è per le applicazioni di sicurezza inferiore.

    
risposta data 30.09.2018 - 22:18
fonte

Leggi altre domande sui tag

DOMXSS - Il contenuto del campo di input è un vettore di attacco? Confusione che questa risposta indichi la vulnerabilità di CORS