CertiVox M-PINはどの程度安全ですか？

これはCertiVoxのブライアンです。

私はあなたの質問に一行ずつ答えます：

MITMはブラウザにトークンを持たないため、SQRLの場合のようにMITMシナリオは不可能です。

正解です。M-Pinは知識ゼロの証明チャレンジレスポンスプロトコルであるため、MITMシナリオは不可能です。 MITM攻撃者は、大きな数字が飛び交うのを目にするだけです。攻撃者が行うことができる最悪の場合は、チャレンジまたはレスポンスを変更することです。その場合、認証は失敗します。

トークンはブラウザに保存されるため、これは攻撃者にとって主要なターゲットになります。

それは本当だ。ただし、M-Pin PinPadはこの設定をオンにしても問題なく機能するため、CONTENT-SECURITY-POLICY HTTPヘッダーを使用することをお客様に推奨します。これにより、既知のほぼすべてのXSS攻撃から保護されます。 LocalStorageへのオフライン攻撃は、ブラウザー（コンピューター）がマルウェアに感染している場合にのみ可能です。私の知る限り、その問題を解決できる既存の単一デバイス認証ソリューションはありません。また、M-Pinモバイルアプリ（HTML5、iOS、Android）も用意されており、トークンをブラウザーではなくモバイルに保持します。これにより、「グローバル認証システム」モードが有効になるため、デスクトップセッションへのリモートログインに使用できます。 TEEサポートを追加すると、トークンは携帯電話だけでなく、携帯電話内の安全なハードウェアにもあります。

しかし、M-Pinのポイントを逃しているかもしれません。あなたが言うように、攻撃者の標的（個人）は、認証資格情報を危険にさらす唯一の方法です。

現在のニュースサイクルの大きな問題は、攻撃者がクレデンシャルのファイルまたはパスワードデータベースから大規模なエンタープライズシステム内のすべてのパスワードを盗むことです。クライアントではなくサーバーからです。

それが本当の問題M-PINソルブです。

M-Pinサーバーは認証資格情報を保存しません。あなたがそれらを30ラウンド塩漬けしてハッシュするかどうかは問題ではありません。規制された業界にいる場合、ハッキングされたことを世界に知らせ、ユーザーにパスワードを変更するようにアドバイスする義務があります。これは、顧客間の信頼を失う可能性があります。 Yahoo、eBay、Evernote、LinkedInなどを参照してください。

したがって、企業であるか、モバイルアプリまたはWebアプリを実行している場合、認証プラットフォームとしてM-Pinを実装すると、その脅威ベクトルと評判の損傷のリスクが排除されます。

ブラウザのPINエントリは、ブラウザトークンなしでは役に立たないものの、ショルダーサーフィンの影響を受けます。

丁度。パスワードのみと比較すると、そのリスクは明らかに排除されます。

つまり、攻撃の手段としてのトークンがなければ、ショルダーサーフィンは役に立ちません。

また、新しい3.4バージョン（つまり、テスト段階）では、PIN番号をモニターに表示されることを心配せずに入力できるようにするキーボード入力サポートが実装されています。

フィッシング攻撃はPINを取得する可能性があり、これもブラウザトークンなしでは無意味です。

これは実際にはM-Pinの強力な強みの1つです。なりすましのWebサイトでは、ユーザーに個人情報の入力を求めることができます。 M-Pinの場合、その情報はPINのみとなります。そのPINは、トークンとM-Pin ID（登録されたブラウザごとに異なります）なしでは完全に役に立ちません。また、なりすましサイトはユーザーの身元を知ることができません-これはPIN number。

LastPassと比較して、彼らはパスワードの管理を手助けしようとしています。 CertiVox M-Pinは、それらを完全に排除することを目的としています。私たちの「M-Pin Core」の価値提案は、個人（LastPassなど）を対象としたものではなく、大規模なインターネット規模のアプリケーションを実装しており、そこから生じるリスクを排除したい開発者やCISO、セキュリティ専門家を対象としています。パスワードベースの認証を使用します。

「M-Pin SSO」サーバーは、M-Pinの強力な認証をSAML/RADIUS対応のアプリケーションを内部または外部で統合することを望む企業を対象としています。

お役に立てば幸いです。

乾杯、ブライアン