[LastPassユーザー]最近、2要素セキュリティとしてグリッド認証を使用する代わりに、Google認証システムに移動しました。私にとって、このような密な行列から文字を見つけて埋めるのは、かなり不格好な作業です。
私はグリッド、Google Authの他のいくつかのLastPass 2要素認証のしくみ(Yubikey/Sesameなど)の基本的な理解を持っています。一般に、YubikeyはGoogleAuthよりも少し安全であると考えられているので、グリッドとGoogle認証アプリ。
Google認証システムアプリによって生成された6桁の乱数のサンプル:
例:電話が紛失する可能性があります(盗まれたりする可能性があります)。その場合、allアプリによって絶えず生成されている疑似乱数が泥棒に簡単にさらされるのは本当ではないでしょうか? (GoogleAuthアプリを広範囲に使用していて、電話をあまり真剣に保護していない場合-そうすると、電話を開くプロセスが遅くなるため、通常は単純なパターンを適用するだけです)
LastPassグリッドは次のようになります:
グリッドの場合、通常の選択は、それを印刷してウォレットに入れることです。もちろん、財布をなくすこともできますが、グリッドがあまり必要ない場合は、自宅の安全な場所に保管できます。グリッドを持ち歩かないと、誰かがグリッドを手に入れる可能性が低くなります。これは電話とは異なります。常に携帯する必要があります。
したがって、紙ベースのグリッドは不格好かもしれませんが、ある特定の観点から(上記の例のように)、それはより良いようです。次に、「セキュリティ」の側面について考えます。どちらがより安全で(理論的/実用的に)より安全であると見なすことができますか。なぜですか。それとも同じレベルですか?
対応する座標の内容をすばやく見つけるのは簡単ではありません:
編集:この人物は、Google認証システムについて非常に優れたスライドを作成しました。さて、電話紛失のケースはどういうわけか「取るに足らない」ですが、TOTPに供給するシードはplain-textに格納されます。
私は個人的に時間ベースのワンタイムパスワードアルゴリズム の基本的にエレガントな実装であるGoogle認証システムを好みますが、私は感じません「より安全です」と言って快適です。
私のお気に入りの流行語の1つを使用するには…Threat Modellingにすべて行き着きます。何から保護しようとしているのですか?お使いの携帯電話でマルウェアを取得する可能性があるのは、技術的な攻撃者ですか?または、あなたの仲間の1人があなたのFacebookページに汚いものを投稿しようとしていますか? 2つの方法の最も重要な違いは次のとおりだと思います:攻撃者は物理的にアクセスできる誰かですか?
変数も多数ありますが、携帯電話を暗号化しますか?スマートフォンは自動的にロックされますか?財布をそばに置いていませんか?有限の答えを出すことは不可能ですが、それぞれのメリットとデメリット、フェアは他のエリアよりも優れています。いくつかの興味深い点は次のとおりです。
攻撃者が 物理的アクセス を持っている場合、あなたは負けましたが、いくつかのものは他のものよりも持ちこたえます。
これは、Authenticatorにわずかなエッジがあると感じる興味深いものです。 Man in the Browser 攻撃を使用するバンキング型トロイの木馬がいくつかあります。これらはどちらもそれを停止しませんが:
これは大規模な要因であり、セキュリティで見落とされがちです。 1つが他よりもはるかに安全であったとしても、重要なことは、人々が実際にそれを使用できるように十分に使用可能でシームレスにすることです。
(私はGoogleのアカウントチームで、このようなUsable Securityの問題を専門に扱っていました。)
認証には、「ある」、「知っている」、「ある」の3つの基本的な要素があります。議論中の2つのシステムはどちらも「ある」です。 LastPassの場合、ユーザーは紙を持っています。 GAuthenticatorの場合、ユーザーは特定のスマートフォンを持っています。
そのため、それらはほぼ同じであると主張します。おそらくトレードオフは、
どちらも依然として、高度なアクティブな中間者攻撃または盗難に対して脆弱です。