PINを使用した2段階のWebサイトログインプロセスでは、どのような追加のセキュリティが提供されますか?
私は現在、その機能に重大なセキュリティリスクが付随しているWebアプリケーションに取り組んでいます。ユーザーのログインを処理するためにMicrosoft Identity Frameworkを使用しています。システムは強力なパスワードと登録を強制するため、最初に使用する前に追加の電子メール確認が必要です。
これだけでは足りないと感じています。競合他社の1つは、パスワードとそれに続くユーザーが6桁の3桁を入力する2段階ログインシステムを使用していますPINドロップダウンで。これをコピーする必要があるという提案があります。
個人的には、代替案と比較してその長所と短所をよく理解せずに、そのようなソリューションを実装することに不快です。キーロギングの影響を受けない追加のデータレイヤーエントリは、それほど重要なセキュリティではありません。確かに、攻撃者が既に電子メールとパスワードの組み合わせを持っている場合、これを取得することができるほとんどすべての考えられる方法は、PINも持つことになりますか?
セキュリティを強化する明らかな代替策は、SMSを介した2要素認証です。これにはコストがかかりますが、セキュリティが最優先である場合、実際にはPINを介してシステムに大幅な保護を追加するように思われますが、PINを追加してもほとんど追加されません。
追加のPIN認証があることのポイントは何ですか?2要素認証に比べて何か利点がありますか?
編集:提案されたPINソリューションは、ランダムに生成された6桁の番号を電子メールでユーザーに発行します。サイトにログオンするとき、最初にパスワードを入力する必要があります(もちろん、成功した場合は、ランダムに選択された6桁の数字から3つを入力するように求められます(つまり、PINの最初、2番目、5番目の文字を入力します)。
振り返ってみると、これは少なくとも、ブラウザから保存されたパスワードに依存している誰かによる不正アクセスを阻止するものだと思います。
これによりどのようなセキュリティ上の利点が得られるかわかりません。多要素認証では、ポイントはさまざまな要素を使用することです。つまり、「知っているもの」、「持っているもの」、「あるもの」です。同じ要素を2回繰り返すだけでは、少し無意味に思えます。
しかし、目的が何であるかについていくつか考えさせてください。
1。キーロガーを停止します
愚かなマルウェアだけがキーストロークを盲目的に記録してパスワードを取得しようとします。ドロップダウンメニューの使用を必須にすることで一部のマルウェアを防ぐことができますが、結局のところ、コンピューターが既に感染しているときにユーザー入力を隠そうとすると、ゲームが失われます。関連する議論については この質問 を参照してください。結局、ここではメリットは小さいと思います。
2。エントロピーを増やします
6桁のPIN=をパスワードに追加すると、10になります。6 ブルートフォースと同じくらいの数の組み合わせ、またはエントロピーのほぼ20の余分なビットですね? (または103 入力した3桁のみをカウントする場合は、10ビットまたは10ビットです。)ええ、でも、もっと長いパスワードだけが必要なのはなぜですか。
おそらく、それを2つに分割して1つの部分(PIN)を真にランダムにし、弱いパスワードを選択するユーザーを保護する必要があります。しかし、これは何を防ぐのでしょうか?オンライン攻撃の場合、これに対処するためにすでにレート制限を設定している必要があります。オフライン攻撃の場合は、PINとパスワードを組み合わせてハッシュ化する必要があります。ただし、ログインできるのは6桁のうち3桁のみなので、実際には機能していないようですこれ(可能なすべての桁の組み合わせに対して20のハッシュを保持する場合を除く)。
3。盗まれたパスワードの影響を制限する
パスワードが盗まれたとします(フィッシング攻撃など)。攻撃が1回だけ実行された場合、攻撃者はPINの半分しか取得できません。そのため、取得した数字以外の数字を要求された場合、彼女は簡単にログインできません。
これは大きなメリットとは思えません。数回攻撃を繰り返すか、または数字の入力を求められるまで、複数回(または異なるIPから)ログインを試みます。
欠点
- これにより、ユーザーはPIN(およびおそらくユーザーがアクセスしている間のパスワード)を投稿または電子メールに書き留める可能性が高くなります。
- パスワードマネージャーだけを使用してログインすることはできません。安全な方法を使用してパスワードを管理する人にとって、なぜそれを難しくするのですか?
結論
ユーザーに追加のPINを覚えさせ、ドロップダウンメニューから番号を選択する煩わしさを感じさせるモチベーションになるようなセキュリティ上の利点は見当たりません。私にとってこれは security劇場 。しかし、おそらく何かが足りない。
編集:はい、何かを逃しました。 supercatの回答 を参照してください。それはとても良い点ですが、とにかくそれだけの価値があるとは思いません。
無効なパスワードの試行に応答して、アカウントを一時的にでもロックアウトするシステムは、誰かに対してサービス拒否攻撃を行うことを非常に簡単にします。 2部認証を使用すると、サービス拒否攻撃に対する耐性を維持しながら、2部で非常に厳密なロックアウトポリシーを設定できます。誰かが1つのシステムのユーザーのパスワードがJustin-Bieberであることがわかった場合、シングルパートパスワードのシステムは、そのパスワードのバリエーション(Justin-Bieber1、Justin4Bieberなど)を使用して標的とされた侵入を区別できません。 )サービス拒否を引き起こすことを目的としたランダムなパスワードエントリから。
パスワードを2つの部分に分割すると、攻撃者は最初の部分が正しいことに気付くでしょうbut最も可能性の高い賞品はアカウントへのアクセスではなく、単にロックダウンをトリガーする能力です。実際のユーザーが他の方法で認証するまで;ユーザーは他の誰かがプライマリパスワードを持っていることを知っているので、ユーザーはそのパスワードを変更し、役に立たなくします。
送信コストなしで強力な認証が必要な場合SMS Google認証システムアプリ でTOTPを使用できます。
確かに、ピンソリューションは多くのセキュリティを追加するようには見えません。メカニズムもよくわかりません。 6桁のピンから3桁を入力します。彼らはどのようにして6桁のピンを取得し、ツリーの桁はどのように選択されましたか?また、10 ^ 3はそれほど大きな数ではないため、対策を講じなければ、ピンをブルートフォースにすることができます。ピンメカニズムを明確にできれば、そのセキュリティ上の利点についてより多くの洞察を与えることができるかもしれません。
編集:更新に基づいて、ピンは電子メールで通信されるため、これはすでに2要素認証の弱い形式です。電子メールの6桁から3桁が選択されている理由は、それでも私には謎です。私が「弱い」と言う理由は、3桁のPINコードが非常に短く、他の保護が存在しない場合はブルートフォースになる可能性があるためです。
また、キーロガーがピンをログに記録しないようにするドロップダウンは、非常に弱い保護形式です。キーストロークをログに記録する機能がある場合は、選択されている番号を確認する機能もあります。または、誰かがキーロギングが可能であるがクリックの監視ができない場合があると信じていますか?たぶんハードウェアのキーロガーに?
多要素認証 のポイントは、複数のソースからの情報を要求することです。これにより、ユーザーが何らかの方法で侵害された場合(たとえば、どこかにパスワードを書き留めてそれが見つかった場合)でも、レイヤーが存在します。アカウントアクセスを防止するセキュリティ。
通常、3つのタイプの認証情報は、
- 知っている-パスワードや暗記した暗証番号のように
- have-あなたが保持している電話または他のアクセストークン
- are-指紋またはその他の生体認証
最初のカテゴリではパスワードとPINの両方が考慮されるため、PINは、両方の可能性があるというリスクがあることを考慮して、セキュリティを追加しない可能性があります。同時に危険にさらされます(確かに、キーロギングのリスクはありません/それよりも少ないです。しかし、情報がネットワークまたは他の形式のキャプチャによって傍受された場合はどうなりますか?)。
利点については、これ以上の情報なしでは言い難いです。この場合、「適切な」2要素認証システムを実行するよりも、ピンを持っている方が安価に聞こえます。おそらく、脅威モデルはユーザーのコンピューターのキーロガーであり、これは might が適切な修正である可能性があります。
「知っている部分」の2番目の要素はwhich使用する6つの電子メール送信文字の3つです(メアリーは1、2、5、ジョンを使用:1-2-6、フレッドとジャネット:4- 5-6)...どの方法でどのように教えるかは定かではありませんが、一度教えてしまえば、その秘密を再度伝える必要はありません。そして、タイトなロックダウンも使用します。
SMSは潜在的にアカエイに対して脆弱ですが、それは、人々があなたのシステムに侵入しようとする意欲の大きさに応じたサイズの塩で対処します。