web-dev-qa-db-ja.com

Authy Desktopのようなデスクトップ2FAクライアントを使用することは良い習慣ですか?

基本的に2FAは、あなたが知っているものだけでなく、サービスを使用するためにはあなた自身のものも必要とするという考えに依存しています。

特にiOS(システムレベルのアプリの分離が優れている)で使用した場合、これは非常に優れたセキュリティを提供すると確信しています。デスクトップ2FAユーティリティを追加するかどうかはわかりませんが。

私の理解では、攻撃者は私のパスワードを傍受し(おそらく私のデスクトップマシンのキーロガーを使用して、ほとんどの場合ログを記録します)、私の電話または私の電話に保存されているキーにアクセスする必要があります。しかし、キーロガーをセットアップできる誰かが、私のデスクトップコンピューターで利用可能な2FAシステムを再利用するのに十分な情報を盗む可能性があると想像できます。

これを書いて私はこれが次の認識に基づいていることを理解しています:

コンピュータの整合性<電話の整合性<iOSの整合性

コンピューターは、私がインストールしているがらくたの山と、システムの変更に対するそれらのより重要な「開放性」によって破損する可能性が高くなります。

スマートフォンのエコシステムはより制限があり、寿命が短いため、感染する可能性は低くなります。

iOSは比較的クローズドなエコシステムであり、Android=とは異なり、ほとんどのアクセスはAPIで開かれず、アプリのチェックはより徹底されています。

6
AsTeR

結果に影響を与えると想定し、この想定をしていることを忘れないでください。「可能性が高い」というのは、デスクトップコンピュータ(つまり、キーロガー)を介してパスワードを取得するということです。それがあなたの脅威分析であれば、それで十分です。この差別化を行ったことを忘れないでください。

脅威分析はデスクトップベースであるため、はい、そうです。すでに妥協が想定されているデスクトップにセキュリティ機能を追加しても、セキュリティの層は追加されないという結論は正しいです。パスワードを入手できれば、2FAコードを入手できます。

ただし、仮定を変更した場合、デスクトップの2FAオプションは役に立たなくなります。 (デスクトップではなく)使用するサービスからパスワードを取得する可能性が高いと想定した場合、またはモバイルデバイスからパスワードを取得できると想定した場合、デスクトップのセキュリティ対策により、便利なセキュリティ機能が合法的に追加されます。

最終的な質問は次のようになります:isパスワード侵害の最も可能性の高いベクトルは何ですか?そしてその質問は常に変化します。そして、それが私たちの脅威の評価に注意を払い、時々それらをレビューすることが非常に重要である理由です。

したがって、脅威の分析によっては、デスクトップの2FAオプションが有効です。

7
schroeder