私は試しています Authy 、トークンをバックアップできるオプションの機能を備えたGoogle認証システムの代替です。トークンには2つのタイプがあります。Authy生成トークンと、QRコードをスキャンして追加した通常のOTPトークンです(Google Authenticatorの場合と同じです)。
I 正しく理解する の場合、標準のOTPトークンのバックアップは、Authyにアップロードする前にパスワードで暗号化されます。バックアップパスワードはサーバーに送信されず、暗号化されたデータのブロブが保存されるだけです。これまでのところいいですね。
しかし、新しいデバイスでAuthyを設定すると、Authyで生成されたトークンは同じレベルのセキュリティの恩恵を受けていないように見えました。新しいコンピューターでAuthyを設定すると、SMS検証(安全ではないという理由で 批評 )によってアカウントにアクセスできるようになります。 SMSパスコードを入力するとログインし、Authyで生成されたトークンにすぐにアクセスできます(マルチデバイスサポートを有効にしている場合)。オーセンティケータトークンはこの時点ではまだ暗号化されており、バックアップパスワードを入力すると復号化できます。
これのセキュリティへの影響は何ですか? SMSベースのログイン手順により、Authyで生成されたトークンがキャプチャされやすくなりますか?
脅威を確認してみましょう:MiTM-SS7攻撃でSMSを取得します。このシナリオが発生した場合、攻撃者はあなたの暗号化されたトークンを把握します。攻撃者がパスワードを解読するには、パスワード(または暗号化アルゴリズムの欠陥。業界標準のアルゴリズムを使用しているため、可能性は低い)が必要です。
このような場合、パスワードの複雑さによって、トークンに回復するのにかかる時間が決まります。
ただし、現在の方法のように、認証メカニズムを強化した(追加のユーザー/パスワード、一種のシークレットを使用)可能性があることに同意します。SS7を悪用して暗号化されたトークンを取得し、おそらく並列化することは簡単です。総当たりプロセス。