言い換えると、同じマシンで2要素認証(2FA)シークレットを保存または使用してワンタイムパスワード(OTP)を生成し、2要素認証(2FA)の概念をすべて1台のマシンで実行しているため、破っています。
KeePassには、これを容易にするプラグインがいくつかあります。
これを容易にする ブラウザプラグイン sもたくさんあります。これは私の意見ではさらに安全ではないように見えます HTML5バージョン もあります。
はい。 2つの要素の概念は、以下の方法の任意の組み合わせを使用して認証することです
それらの両方を3番目のパスワードで(またはパスワードなしで)非表示にすると、概念全体が弱体化します。攻撃者がこの単一のパスワードを通過できる場合、完全なアクセス権を取得しました(適切な2FAでは起こりません)。
しかし、人々は怠惰なので、これらのプラグインが存在します。 2FAを使用する必要性は、いくつかのセキュリティポリシーによっても引き起こされる可能性があり、ユーザーはそれの利点を認識しない場合があります。
2FA認証に違反するかどうかは、実装によって異なります。指定するこれらの実装は、2FAから「2factor」を削除し、それを単一のファクターに減らします(シードは、アカウントの2番目の「パスワード」のようになります)。トークンがハードウェアにバインドされたセキュアなAndroid Keystoreを具体的に使用する場合を除き、Android/iPhoneでソフトトークンを使用する場合も同様です。
ただし、シードの保存が実際に安全である実装もあります。 1つの例は、コードを生成するだけでシードをTPMから回復できないような方法でTPM(Trusted Platform Module)にキーを格納することです。
もう1つの例は、USBポートに永続的に挿入されたYubikey Nanoです。 3番目の例は、特定のIntelプロセッサに組み込まれたセキュリティチップで、2FAに使用できます。 http://www.intel.se/content/www/se/sv/architecture-and-technology/identity- protection/identity-protection-technology-general.html
トークンが安全に保存されている場合、2FAは無効になりません。その場合、マシンは問題のサービスにある程度安全にバインドされます。たとえば、マシンが危険にさらされても、2FAは永続的に危険にさらされず、一時的に危険にさらされるだけです。 (たとえば、攻撃者は引き続きマシンを使用してコードを生成できますが、マシンなしでコードを生成するために十分な情報を得ることはできません)。マシンの侵害から回復した場合、これは、シードが変更されていなくても2FAの使用を継続できることを意味します。
ローカルでHOTPまたはTOTPに基づくOTPを使用している場合は、シードをどこかに保存する必要があります。したがって、このローカルマシンにシードを保存します。
今それはあなたの脅威に依存します。
これは、肩のサーファーやキーロガーからあなたをとてもよく守るかもしれません。しかし、それはローカル攻撃からあなたを保護しません。しかし問題は、あなたがより大きな問題を抱えていない場合、誰かがローカル攻撃を実行できるかどうかです。
暗号化にOTPを使用しようとすると、これは目を見張るようなものです。ローカルの攻撃から保護するために暗号化しています。泥棒がデータに侵入するのを避けたいので、ハードディスクを暗号化します。このファイルにアクセスするためにファイルを取得する泥棒を避けたいため、keepassを使用しています。
暗号化はどのように機能しますか?パスフレーズによって暗号化されているか、または生成された対称パスAESキーまたはパスフレーズがあります。パスフレーズを変更できるようにするには、誰もが最初に選択します。脅威はファイルの物理的な盗難です。 ...パスフレーズで保護されています。
@Jakujeが指摘したように:OTPはどのように役立ちますか?種を保存する必要があります。ローカルアクセスで泥棒から種子をどのように保護しますか?暗号化してください!どうやって?パスフレーズで? => 1つの因子のみ。
ただし、HOTP(TOTPではない)を使用してより複雑なシナリオを作成し、next OTP値を使用してシードを暗号化することもできます。次に、次回データにアクセスするときに、次のOTP値がシードを復号化します。次に、次のOTP値でシードを再暗号化する必要があります。しかし、私は多くの保護手段をお勧めします。なぜなら、多くのブランクプレスはOTP値を与え、それはもはやシードを解読しないからです...