RSAセキュリティトークンやGoogle認証システムなどの2要素認証ソリューションで競合状態を解決するにはどうすればよいですか?
2要素認証の使用を選択する理由の1つは、キーロガーの影響を最小限に抑えることです。理論は、攻撃者がトークン番号のユーザータイプを観察できたとしても、ワンタイムパスワードの性質が再利用を妨げるため、この情報を使用することはできないというものです。ただし、攻撃者がリアルタイムでキー入力を監視できる場合、トークンの数字が入力されてから[Enter]ボタンが押されるまでの間に、常に少し時間がかかります。攻撃ツールを簡単にスクリプト化して、この遅延を利用して攻撃者に代わって認証することができます。
ユビキーが送信する文字列の一部として「Enter」を送信することは知っていますが、RSAトークンとGoogle認証システムトークンでこれを解決するにはどうすればよいですか?解決策はありますか?
実際には、その時点では、侵害されたクライアントを扱っており、ほとんどすべての賭けが無効になっています。あなたができる最善のことは、ユーザーが質問をしたり、もう一度やり直したりすることを(願わくば)もたらす失敗をユーザーが認識していることを確認することです。ユーザーが接続すると、古いユーザーが起動されます。これにより、正当なユーザーは問題を理解していなくても問題を認識できます。
また、クライアントが非常に危険にさらされている場合、競合状態の必要はおそらくありません。攻撃者は、ユーザーが合法的に悪意のある行為の開始点として使用している、危険にさらされたクライアントを使用できます。良いクライアントと悪いクライアントの両方が同じクライアントから来ているので、これはアラームをスローしません。