web-dev-qa-db-ja.com

LastPassグリッド認証とGoogleオーセンティケーターのどちらがより安全ですか?

[LastPassユーザー]最近、2要素セキュリティとしてグリッド認証を使用する代わりに、Google認証システムに移動しました。私にとって、このような密な行列から文字を見つけて埋めるのは、かなり不格好な作業です。

私はグリッド、Google Authの他のいくつかのLastPass 2要素認証のしくみ(Yubikey/Sesameなど)の基本的な理解を持っています。一般に、YubikeyはGoogleAuthよりも少し安全であると考えられているので、グリッドとGoogle認証アプリ。

Google認証システムアプリによって生成された6桁の乱数のサンプル: Sample of a 6-digit random number generated by Google Authenticator App

例:電話が紛失する可能性があります(盗まれたりする可能性があります)。その場合、allアプリによって絶えず生成されている疑似乱数が泥棒に簡単にさらされるのは本当ではないでしょうか? (GoogleAuthアプリを広範囲に使用していて、電話をあまり真剣に保護していない場合-そうすると、電話を開くプロセスが遅くなるため、通常は単純なパターンを適用するだけです)

LastPassグリッドは次のようになります: This is what a sample LastPass Grid looks like

グリッドの場合、通常の選択は、それを印刷してウォレットに入れることです。もちろん、財布をなくすこともできますが、グリッドがあまり必要ない場合は、自宅の安全な場所に保管できます。グリッドを持ち歩かないと、誰かがグリッドを手に入れる可能性が低くなります。これは電話とは異なります。常に携帯する必要があります。

したがって、紙ベースのグリッドは不格好かもしれませんが、ある特定の観点から(上記の例のように)、それはより良いようです。次に、「セキュリティ」の側面について考えます。どちらがより安全で(理論的/実用的に)より安全であると見なすことができますか。なぜですか。それとも同じレベルですか?

対応する座標の内容をすばやく見つけるのは簡単ではありません: It's not very easy to quickly find the corresponding content of the coordinates

編集:この人物は、Google認証システムについて非常に優れたスライドを作成しました。さて、電話紛失のケースはどういうわけか「取るに足らない」ですが、TOTPに供給するシードはplain-textに格納されます。

http://www.slideshare.net/zerocool51/google-authenticator-possible-attacks-and-prevention?qid=1a8842ba-45bd-40c4-be0a-dedc19e0a85f&v=qf1&b=&from_search=1

12
Jim Raynor

私は個人的に時間ベースのワンタイムパスワードアルゴリズム の基本的にエレガントな実装であるGoogle認証システムを好みますが、私は感じません「より安全です」と言って快適です。

私のお気に入りの流行語の1つを使用するには…Threat Modellingにすべて行き着きます。何から保護しようとしているのですか?お使いの携帯電話でマルウェアを取得する可能性があるのは、技術的な攻撃者ですか?または、あなたの仲間の1人があなたのFacebookページに汚いものを投稿しようとしていますか? 2つの方法の最も重要な違いは次のとおりだと思います:攻撃者は物理的にアクセスできる誰かですか?

変数も多数ありますが、携帯電話を暗号化しますか?スマートフォンは自動的にロックされますか?財布をそばに置いていませんか?有限の答えを出すことは不可能ですが、それぞれのメリットとデメリット、フェアは他のエリアよりも優れています。いくつかの興味深い点は次のとおりです。

物理的アクセス

攻撃者が 物理的アクセス を持っている場合、あなたは負けましたが、いくつかのものは他のものよりも持ちこたえます。

  • グリッド:誰かが写真を撮ることができます。約2秒かかります。
  • Authenticator:私が知る限り、鍵を受け取るにはルートアクセスが必要です。深刻な計画がなければ、数分でそれらを取得することはできません。多くの電話にはGPSトラッカーが搭載されているため、盗難に遭った場合でも見つけることができます。

リモートアクセス/マルウェア

  • グリッド:紙に感染するマルウェアは知りません。十分に言った。
  • Authenticator:Playストアにはいくつかの悪意のあるアプリがあり、一般的にはかなり素早くプルされますが、それは起こります。いくつかはルートを取得することさえできます。信頼できないアプリをインストールしたり、アプリごとのマニフェストを読んだりするかどうかなど、実際に電話を最新の状態に保ち、クリーンにするには多くの方法があります...

侵害されたホスト

これは、Authenticatorにわずかなエッジがあると感じる興味深いものです。 Man in the Browser 攻撃を使用するバンキング型トロイの木馬がいくつかあります。これらはどちらもそれを停止しませんが:

  • Grid:しばらくしてからキーロガーがインストールされた、感染したホスト上にいる場合、グリッドのコピーを構築して使用できます。攻撃者による後日。 (たとえば、U7、M8、I5などが何であるかを調べて、グリッドの独自のコピーを作成します)
  • Authenticator:各コードはランダムに計算上区別できないようにする必要があるため、使用された最後の5,000個のコードがある場合でも、次のコードを計算することはできません1つになります。

便利さ

これは大規模な要因であり、セキュリティで見落とされがちです。 1つが他よりもはるかに安全であったとしても、重要なことは、人々が実際にそれを使用できるように十分に使用可能でシームレスにすることです。

  • Grid:多数の異なるサイトがこれを使用する場合、2つの要素を持つ各サイトに1つ必要です。規模が大きくなるとは思いません。
  • Authenticator:私はいつも携帯電話を持っており、2つの要素を使用するサイトをいくつか持っています。また、あなたが言うように、対応するコンテンツをグリッドで検索するよりも6桁を入力する方が簡単です。これは非常に主観的ですが、私はより便利だと思います。
20
Hybrid

(私はGoogleのアカウントチームで、このようなUsable Securityの問題を専門に扱っていました。)

認証には、「ある」、「知っている」、「ある」の3つの基本的な要素があります。議論中の2つのシステムはどちらも「ある」です。 LastPassの場合、ユーザーは紙を持っています。 GAuthenticatorの場合、ユーザーは特定のスマートフォンを持っています。

そのため、それらはほぼ同じであると主張します。おそらくトレードオフは、

  1. 誰もがすでにスマートフォンを持っています。
  2. 人々は自分のスマートフォンを他人に貸すことはせず、とにかく紙をコピーするほど簡単ではありません。
  3. 数値の入力は、4パスのルックアップテーブルに応答するよりも簡単です。

どちらも依然として、高度なアクティブな中間者攻撃または盗難に対して脆弱です。