TOTPアプリを選択する場合、どのようなセキュリティ上の考慮事項を考慮する必要がありますか?
ある会社では、AuthyまたはGoogle Authenticatorを使用する必要があります。これらはテキストメッセージを受け取るよりも安全だと思われますが、私はまだ人々がこれらがどれほど危険であるかについて不平を言うのを見ています。 たとえば、この記事では、AuthyとGAセキュリティのためにU2Fより安全性が低い ですが、数年後にはAuthyが大流行しました。
これら2つのうち1つを使用せざるを得ない場合、より安全な理由とその理由は何ですか。
*はい、使用する別の会社を探しています。
ほとんどのHOTP/TOTPアプリは基本的に同じです。アルゴリズムは公に文書化されているため、ほとんどのユーザーはUIのわずかな違いを見るだけです。ただし、セキュリティを選択するときに考慮すべきいくつかのセキュリティ事項があります。
- それはオープンソースですか?たとえば、以前はGoogle Authenticatorでしたが、現在はそうではありません(これは、IIRCがRedHatのFreeOTPに直接影響を与えたものです)。ただし、Googleがユーザーのトークンを盗むためのコードを導入した可能性は低いですが、可能です。また、ソースのバグを直接探すことができるなど、オープンソースの他の利点を見逃してしまいます。
- シークレットは外部のどこかにバックアップされていますか?最近、電話が予期せず終了したため、一連のサービスで2faコードをリセットする必要がありました(SMSまたは電話の電話番号にアクセスできない場合)呼び出し、最も一般的なバックアップ方法)。これは巨大な痛みでした。多くのユーザーが、基になるシークレットを外部のどこかに保存するサービスを使用したいのは当然のことです。これにより、デバイスの切り替え時にも引き続きシークレットを使用できます。ただし、これには固有のリスクが伴います。その要因はもはや「あなたが持っているもの」ではなく、アカウントへのアクセスであり、これは別の「あなたが知っているもの」であることがよくあります。コードはもはや第2の要素ではないという主張をすることができます。 Authy(オプション)はこのカテゴリに分類されます。
それ以上に、「これは私の既存のツールにうまく統合できますか?」のような考慮事項があります。これは非常に現実的なUXの考慮事項ですが、MFAを使用する(または使用しない)ようにユーザーを説得する方法以外のセキュリティには影響しません。
Google認証システムは、多要素認証の使用をサポートするために、多くのアプリケーションで広く使用およびサポートされています。それはおそらく「グーグル」ブランド協会のために、オーシーよりも広く使用されるようになっています。 GA認証システムは、使用されるほとんどの場合に適切なレベルのセキュリティと使いやすさを提供します。これが許容できるリスク選好度のレベルを満たすかどうかは、あなただけが知っています。
Google Authenticator、Authy、および「セキュリティアプリ」は、エンドユーザーが基盤となるデバイスで採用しているセキュリティと同じくらい優れています。スマートフォンや2Fキーの交換に使用しているメディアで適切なセキュリティ原則を採用していない場合、アプリは非常に安全なものから役に立たないものまでさまざまです。人的要因は、優れたサイバーセキュリティの最大の要素の1つです。どちらが良いかというと、私は個人的にGoogleに行きます。なぜなら、彼らには独自のプライベートセキュリティリサーチチームがあり、プログラムとアプリにはかなり大きなバグ報奨金があるからです。