web-dev-qa-db-ja.com

コードを生成するデバイスでTOTPコードを使用することは安全ではありませんか?

スマートフォンにTOTPジェネレーターアプリ(Google Authenticatorなど)がインストールされているとしましょう。サービスXの2FAに使用します。同じスマートフォンでXのWebサイト/専用アプリにログインすると、どの程度問題がありますか? TOTP専用のエアギャップ付き電話を使用して何かを得ることはできますか?

1
gronostaj

私の意見では、システムを侵害するために必要なすべてのデータが1か所に存在する場合、それは単一の侵害ポイントになります。 2FAのすべてのメリットを完全に無効にするわけではありませんが、高度な攻撃者がワンストップで買い物をして、ジェネレーターのキーと状態、パスコードとパスワードを入手する可能性があります。

ただし、これが貴社に許容可能なリスクをもたらすかどうかを判断するために貴社から割り当てられたリスクアナリストではありません。自分のセキュリティチームに連絡して、この質問をする必要があります。彼らは、利便性のリスクと損失の可能性を比較検討する人々です。彼らは脅威と会社の資産の価値を知っています。彼らは、ユーザビリティとセキュリティのバランスをとる必要性を理解しています。技術的に純粋な2FAソリューションを追求する価値があるかどうかを判断します。

また、特定の種類のアクセスのリスクに基づいて決定を行う必要があります。たとえば、PCIルールでは、「クレジットカード番号を表示するには2FAが必要です」と記載されている可能性があります。これは内部リスクが中程度であると考えられ、1日中同様のアクセスを必要とする電話オペレーターが12人いるため、電話ベースの2FAを承認します。または、すべてのデータベースとコード署名サーバーへのキーを保持する会社の暗号化キーサーバーにアクセスでき、エアギャップ2FAトークンを運ぶ必要があると彼らが判断する場合があります。

それはすべてリスクとリスク許容度に関するものであり、インターネット上の誰もが組織にとって何が適切であるかを明確に述べることはできません。

2
John Deters