2要素認証とセキュリティの質問
追加のセキュリティオプションがある銀行の口座を持っています。
アカウントへのアクセスに使用されているデバイスを認識しない場合、次のいずれかを行います。
- 3つのセキュリティ質問のうち1つを選択する
- ワンタイムトークンをテキストメッセージで携帯電話に送信します。
Cookieを介してデバイスを「認識」すると判断しました(ブラウザーのCookieをクリアすると、追加のセキュリティオプションの入力を求められます)。
私が選択したセキュリティの質問/回答は、facebook/linkedin/etcの閲覧からのソーシャルエンジニアリングの対象ではないと仮定しましょう
いくつかの質問がありました:
ワンタイムトークンがセキュリティの質問よりも安全であるすべての理由を列挙するのを手伝ってくれる人はいますか?ここに私が考えることができるもののいくつかがあります:
- それは本当の2要素です:何を知っているか(ログイン/パスワード資格情報)、何を持っているか(携帯電話)。
知っていること(ログイン/パスワード資格情報)とは別の知っていること(秘密の質問/回答) - これは動的であり、一定の時間だけアクセスを提供します。
- 私が行方不明になっている他の人はいますか?
- それは本当の2要素です:何を知っているか(ログイン/パスワード資格情報)、何を持っているか(携帯電話)。
彼らがデバイスを「認識する」ためにCookieを使用しているため、このセキュリティメカニズムを破壊するワンタイムトークンの入力を求めなくなりました(鉄の門を前面に出し、バックドアのロックを解除したままにするなど)。
同様のセキュリティを使用する別の銀行のアカウントを持っています。ただし、Cookieをクリアしても、デバイスは引き続き認識します。私は彼らが既知のデバイスをIPアドレスとおそらく他のHTTPヘッダー情報で追跡していると思います。これはCookieよりも「認識」するためのより良い/より安全な方法でしょうか?
おかげで、
- 私が行方不明になっている他の人はいますか?
ワンタイムパスワードは、犬の名前よりもエントロピーが高く、列挙/辞書攻撃に対して脆弱ではありません。
フィッシングサイトでは、些細な個人的な質問(例:犬の名前)を表示するのはかなり簡単です。フィッシングサイトは答えを知る必要はありません。一方、フィッシング詐欺師はあなたの番号を知らないので、あなたの携帯電話に送信されたワンタイムパスワードを偽装することはかなり困難です。
- 鉄の門を前に出し、バックドアのロックを解除したままにしますか?
たぶんちょっと。クッキーに十分なエントロピーがある、つまり推測が難しい場合は、おそらく問題ではありません。ハッカーが実際にCookieを取得する手段を持っている場合-たとえばコンピュータに物理的にアクセスできます-とにかくねじ込まれています。
- cookieをクリアしても、デバイスはまだ私のデバイスを「認識」しています
これにはいくつかの説明が考えられます。
お気づきのように、説明の1つはIPアドレスですが、これはモバイルデバイスや特定のISPではうまく機能しません(IPv4アドレスは時々変更されます)。
もう1つの説明は、Cookieが別のトークン(たとえば、 Flashトークン。Cookieをクリアしてもクリアされません。
3番目の説明は、彼らがあなたのコンピュータを「知っている」かどうかを実際にチェックしていないことです。代わりに、ブラウザーのフィンガープリント、Cookie、IPアドレスなどのリスクベース分析を実行し、スコアを導き出します。スコアが十分でない場合、MFAの入力を求められます。クッキーの不足は必ずしもそれを引き起こさない。
ワンタイムトークンは2要素認証を実装しているだけなので、秘密の質問よりもはるかに高いセキュリティを提供します。すべてが等しい場合、2FA(パスワード+ SMS経由のコード、パスワード+ RSA SecurIDトークンなど)は、単純なパスワードより常に安全です。
一方、悪名高い「秘密の質問」は、2FAと同様のセキュリティ強化としてWebサービスによって提供されることが多いため、パスワードを改善するだけでなく、セキュリティを低下させます。これは、秘密の答えのエントロピーがはるかに少なく(「好きな色は何ですか?」)、推測される可能性があるため(「高校の名前は何でしたか?」)。
銀行がCookieを介して2FAをバイパスすることを許可しているという事実は、ユーザーのアクセス性を向上させるために行われます(コンピューターが「安全」とマークされているため、その後のすべてのログインは単純なパスワードを介して行われます)。ラップトップが盗まれたり、トロイの木馬に感染したりすると、セキュリティリスクになる可能性があります。個人的には、各セッションの後にCookieをクリアして、常に2FAを介して自分自身を認証するように強制することをお勧めします。
- ワンタイムトークンがセキュリティの質問よりも安全であるすべての理由を列挙するのを手伝ってくれる人はいますか?
システムのセキュリティを評価するには、その利点だけでなく欠点もたたえる必要があります。したがって、私はあなたと@JohnWuがOTPの本質的なポジティブな側面を述べたが、これらの攻撃に対して脆弱であるので、この最後の側面に焦点を合わせています。
一部のソリューションは、これらの脆弱性のいくつかの側面を解決するために展開され、そのうちの1つは 強化されたブラウザー であり、他のソリューションは 暗号化されたトークン の使用を提案しました。個人的には、たとえばGoogleが使用する OATHトークン を好みます。
また、取得したトークンを使用する直前にデバイス(ラップトップ/電話)が盗まれた場合など、その他の考慮事項もあります(極端な場合でも発生する可能性があります)。国およびトークンの生成と配信に使用された方法に応じて、一部の銀行は(少なくとも過去において)トークンをクライアントに請求するのに使用されていたことに注意してください。
- 同様のセキュリティを使用する別の銀行のアカウントを持っています。ただし、Cookieをクリアしても、私のデバイスは「認識」されます。私は彼らが既知のデバイスをIPアドレスとおそらく他のHTTPヘッダー情報で追跡していると思います。これはCookieよりも「認識」するためのより良い/より安全な方法でしょうか?
2番目の質問に対する私の答えを確認してください。
- 彼らがデバイスを「認識する」ためにCookieを使用しているため、このセキュリティメカニズムを破壊するワンタイムトークンの入力を求めなくなりました(鉄の門を前面に出し、バックドアのロックを解除したままにするなど)。
攻撃者がハイジャックされたCookieを使ってできることはたくさんありますが、あなたが説明しているコンテキスト(銀行システム)では、Cookieが危険にさらされている場合は役に立ちません。銀行がデバイスの認識に使用する唯一の要素がCookieである場合、質問は深刻すぎますが、幸い、 ブラウザフィンガープリント などの他の効果的な手法が並行して使用されます(他のいくつかの方法もここにリストされています:- 銀行は2要素認証を要求するタイミングをどのように決定するのですか?