Utilizza HOTP solo l'autorizzazione considerata debole?

0

Migrato da ServerFault, come consigliato qui.

Ho visto molti esperti consigliare l'uso di un qualche tipo di OTP come seconda fase di schemi 2FA.

Comprendo perfettamente che 2FA è più sicuro della Single Authorization, ma è anche più scomodo per gli utenti occasionali.

Che dire delle sostituzione delle password con HOTP (algoritmo One-Time Password basato su HMAC)?

Al momento abbiamo schemi con password forti (non molto forti, la politica corrente è: 8+ caratteri, caso misto, almeno uno numerico e almeno uno speciale) cambiati regolarmente e molti gli utenti si stanno già lamentando.

Mi chiedo se le sostituzione delle password con HOTP (possibilmente google-authenticator, supportato da google-authenticator-libpam) comporterebbero una sicurezza inferiore rispetto al nostro schema attuale.

La logica è lunga password casuali (generate) costringerà gli utenti a scriverle in un posto "a portata di mano", di solito da qualche parte che un intruso troverà facilmente. Usando [H] OTP renderebbe questo inutile, pur rimanendo conveniente come tutti hanno uno smartphone sulla scrivania, oggi.

Le domande sono:

  • Sto dimenticando qualcosa di importante?

  • Google-authenticator (o altri schemi OTP) è fondamentalmente imperfetto in qualche modo?

  • Se possibile, quali sono le insidie (se presenti)?

Nota 1: So che più domande sono di solito ricevute male, ma in realtà si riduce a: Posso usarlo con ragionevole sicurezza?

Nota 2: Non ci interessa la sicurezza assoluta (come se una tale bestia esistesse nel mondo reale), ma non vorremmo abbassare il livello di sicurezza che abbiamo ora.

    
posta ZioByte 30.09.2018 - 15:22
fonte

1 risposta

1

Am I forgetting something important?

Sì. Lo schema HOTP non deve essere usato come un singolo fattore. Devi chiedertelo, se il "possesso" di uno smartphone può essere visto come un strong fattore di possesso. Quando valuti 2FA o - nel tuo caso - 1FA dovresti dare un'occhiata ai possibili attacchi. Un modo in cui @Ry ha già indicato, essendo semplicemente le probabilità / percentuali.

Is google-authenticator (or other OTP scheme) fundamentally flawed somehow?

L'autenticatore google non è uno schema OTP di per sé. È un'implementazione di HOTP e TOTP. Google ha combinato uno schema definito nel 2006 ( RFC4226 ) con un codice QR (inventato nel 1994) e inserito negli smartphone , che sono stati lì più tardi . Dovresti avere l'impressione che OATH HOTP e TOTP non siano mai stati utilizzati con gli smartphone.

Google Authenticator ha un difetto importante (oltre a memorizzare una chiave simmetrica in un dispositivo insicuro come uno smartphone) come processo di registrazione di una chiave segreta in testo semplice nel codice QR. Ho scritto un post sul blog qualche tempo fa.

If viable, what are pitfalls (if any)?

Quando si esegue 2FA (o 1FA con un dispositivo OTP) è necessario progettare attentamente i processi: registrazione, revoca, sostituzione del token ... Hai fatto questo con le password. Hai definito la lunghezza e il contenuto delle password e il periodo in cui è necessario modificare le password. Probabilmente hai una procedura per resettare una password dimenticata. Sono necessari anche tutti questi processi quando si esegue l'autenticazione 2FA o OTP. Il rischio (o trabocchetto) è che pensi facilmente - "oh sto facendo OTP o 2FA, ora - tutto è buono e migliore".

Non lo è, se non sei a conoscenza dei tuoi processi.

    
risposta data 30.09.2018 - 23:17
fonte