web-dev-qa-db-ja.com

Symantecを使用するVIP 2FAのスマートフォンソフトウェアにアクセスする

私は2FAのニーズにGoogle Authenticator/FreeOTPを使用することに慣れています。このシステムにより、サイトごとに個別のTOTPストリームを使用でき、シードのバックアップを作成できます(シードの設定に使用したQRコードを印刷することにより)。

ただし、Symantecの「VIPアクセス」プログラムのみをサポートするシステムがいくつかありました。このソフトウェアは1つのシークレットを生成するようですが、私は他のシステムに「資格情報ID」を登録して、TOTPストリームを認識できるようにします。暗号がどのように機能するかはわかりませんが、Symantec VIP SiteAとSiteBの両方にアクセスする場合、SiteBで偽装するために使用できるSiteA TOTPトークンが効果的に提供されませんか? ?また、シマンテックはその秘密をバックアップする方法をサポートしていません。紛失、破損、または交換されたスマートフォンに対する文書化された回避策は、「資格情報ID」を登録した各システムのテクニカルサポートに連絡することです。 。

このシマンテックの分析は正しいですかVIPアクセスは正しいですか?正しい場合、シマンテックを使用しているシステムの管理者に(無駄に)尋ねるよりも良い代替手段がありますVIP吸わないものに切り替えますか?

2
user3553031

symantecを使用している場合VIP SiteAとSiteBの両方にアクセスする場合、SiteBで偽装するために使用できるSiteA TOTPトークンが効果的に提供されませんか?

はい。 2FAは、パスワードの再利用のリスクを必ずしも完全に無効にするわけではありません。シマンテックが同じコードを2回使用することを許可することはないと思います(システムは検証のためにコードをシマンテックに送信するサービスを必要とします)。

サイトはオプションでプッシュベースの通知(アプリがSymantecに電話にトークンを生成するように依頼する場合)またはQRベースの認証(トークンの生成時に電話が使用するQRコードが提示される場合)を統合できることに注意する価値があります。これらは両方ともそのリスクを取り除くでしょう。

シマンテックはその秘密をバックアップする方法をサポートしていません。紛失、破損、または交換されたスマートフォンの文書化された回避策は、「資格情報ID」を登録した各システムのテクニカルサポートに連絡することです。

これは仕様によるもののようです。私はそれが悪い決定だと思う。ただし、セキュリティ/マーケティングの観点からは間違いなく優れています。誰かがあなたの電話を盗んだ場合、おそらく誰かがあなたのトークンを複製した場合、あなたは気付かないでしょう。

シマンテックを使用しているシステムの管理者に(無駄に)頼むよりも良い選択肢はありますか?VIPアクセスして吸わないものに切り替えますか?

他の唯一の選択肢は、シマンテックに不満を言うことです。私は彼らの顧客への不満はより大きな影響を与える可能性が高いと主張しますが。

2
Hector

質問の1つの詳細に答えるために、作成するいくつかのツール Symantec VIPのQRコード IDが存在するため、Symantec VIP Authy/or/Google Authenticator。]のようなQRコードアプリでのアクセス

0
T.Todua