MFAの場合、Google Authenticatorの代わりに Authy (Twilioが所有)を使用します。 Authyは、複数のデバイス間でアカウントを同期し、Google Authenticatorが実行しないいくつかのauthyインストールを同期するため、より便利だと思います。 Authyは、トークンがタイムアウトするまでの残り時間も表示するので、トークンの期限切れが近いかどうかを確認できます。また、すべてのQRコードのスクリーンショットを撮って、新しいデバイスまたは新しいMFAアプリに再度登録できるようにしました。 AuthyのトークンがAWSでの認証に機能していることを確認できます。私が試していないFreeOTPという名前の別のMFAアプリもあります。
誰かがQRスクリーンショットからその画像ファイルを「発見」し、私のパスワードを「推測」した場合、何も知らずになりすましを防ぐことができるのはなぜですか?
たとえば、誰かがFreeOTPを持っていて、QRコードスクリーンショットを持っていて、AWSのパスワードを知っています(ほとんどありませんが可能です)。 QRコードのスクリーンショットを読んでテストし、FreeOTPに登録しました。 FreeOTPは有効なトークンの生成を開始しました(authyと同じ)。
私が本当に知りたいことは、QRコードのスクリーンショットを保存することはセキュリティ上の懸念ですか?
MFAの設定に使用されるQRコードには、MFAプロセスに使用されるシードが含まれています。これにより、その最初のQRコードを使用して、同じコードで別のクライアントをセットアップできます。
これの欠点は、2番目のクライアントをセットアップできるのと同じように、それらのQRコードを入手したサードパーティも同様にそれを実行できることです。したがって、誰かがそのQRとパスワードを入手した場合、あなたとしてログインするために必要なすべての情報が得られます。
それがどのように保存されているかによってのみ、セキュリティ上の問題と言えるでしょう。それらのQRを保存することもできますが、それらをパスワードとして扱うことをお勧めします。関連するアカウントへのアクセスが(半分)保護されることに注意してください。たとえば、他の写真のようにクラウドと同期するのではなく、代わりにパスワードマネージャーに保存したい場合があります。
PS:Google Authenticator、Authy、FreeOTPまたは他のクライアントを使用していることは、ここでは同等です。ほとんどの場合、MFAは rfc 6238 で定義されているTOTPトークンを使用しています。多くのクライアントがサポートしています。
whereスクリーンショットを保存していたとは言わなかったが、paperに保存するのが最善だと思う(Steve Setherがコメントで述べたように)。
しかし、私はあなたがfeatureであると主張するこの「同期」についてさらに心配するでしょう。パスワード、またはパスワードと同等のものは、同期する必要がありますneverであり、独自のソフトウェアの制御下にないこと.
ソースWebサイトからすべてのTOTPトークンを再取得し、ローカルのみの(同期しない!)アプリをAndroid(私は独自のPIN /パスワードを持つ「andOTP」を使用)で使用することを強くお勧めします電話自体のロックの上に)、必要に応じてQRコードの紙のコピーを印刷し、それを使用して必要な他の電話を初期化します。
afterが誰かがあなたが使用しているプロプライエタリなアプリに穴を見つけるか、安全でないAWSサーバーがすべての秘密を漏らしたか、そのようなことを警戒するまで待ってはいけません。
この点で私は特定の会社に反対しているわけではないことに注意してください。私はそれらすべてに反対しています!