web-dev-qa-db-ja.com

2要素認証シードをパスワードマネージャーに保存することは安全ですか?

2要素認証のシードコード(TOTPの秘密キーなど)を、サービスのユーザーとパスワードと共にパスワードマネージャー内に格納することが本当に安全かどうか疑問に思います。

誰かが復号化されたパスワードデータベースにアクセスした場合(たとえば、パスワードマネージャーがロック解除されている間、またはマスターパスワードがブルートフォースで強制されている場合)、攻撃者はTOTPトークンにもアクセスできるため、2要素認証はほとんど役に立ちません。

私の目には、Two Factor Authenticationコードをパスワードマネージャーに格納することは、安全を超えたすべてのことです。

password-managementmulti-factorone-time-password
7
Programie

特定のサービス用にTOTPジェネレーターを最初に構成するときに必要になるなど、特定の2FAシリーズの初期化コードを意味すると想定し、そうであれば、それを他のログイン詳細と共に保存することは理想的ではありません。

あなたが言うように、誰かが安全なパスワードにアクセスできるようになった場合、同じ初期化で独自のTOTPジェネレーターを使用することにより、手間をかけずにログインできます。

2FAの初期化値を保持したい場合は、2番目のパスワードを安全に保管し、日常的に離れた場所に保管することはひどい考えではありませんが、メインの安全な場所にパスワードを保管したくないでしょう。必要なのはごくまれなことですので、簡単にアクセスできる必要はありません。金庫に入れて印刷することもできます。

一部のサービスでは、1ユースコードを生成して、2FAデバイスの損失または障害が発生した場合にアカウントへのアクセスを回復できます。その場合、通常は通知を送信せずにアクセスを取得するために使用できないため、初期化値を保持するよりも、それらに依存する方がおそらく良いでしょう。

6
Matthew

私はあなたが思うほど悪い考えではないと思います。 TOTPを使用して保護しようとしている脅威について考え、TOTPシードをパスワードセーフに保存すると、どのような攻撃シナリオが容易になる(またはできない)かを考えます。

パスワードデータベースにシードがある場合でも、TOTPは次のことを防ぎます。

  • アカウントを保持しているWebサイトのパスワード違反
  • 信頼されていないコンピューター上のキーロガー(I 仮定実際にはパスワードマネージャーを実行せず、信頼されたデバイスからパスワードを読み取って手動で入力します)
  • オープンWiFiネットワークなどでのネットワークキャプチャ.
  • ユーザーのフィッシング/ソーシャルエンジニアリングあなた、ユーザー

保護されていないものは次のとおりです。

  • カスタマーサービスのソーシャルエンジニアリング/ウェブサイト所有者の技術サポート
  • 盗まれたパスワードデータベースとマスターパスワード

最初のケースは、TOTPシードが格納されている場所に関係なく、解決できません。 2番目のケースは、追加の考慮事項に値します。具体的には、データベースとマスターパスワードをどのように侵害できますか?どちらか:

  • 攻撃者は、クラウドストレージまたは破棄されたバックアップからデータベースのコピーを取得し、マスターパスワードを解読します。強力なマスターパスワード(80ビット以上のエントロピー)と、パスワードマネージャー開発者によるKDFの安全な実装により、この攻撃を完全に防ぐことができます。
  • 攻撃者は、パスワードマネージャーを標的とするように特別に設計されたマルウェアをマシンに置きます。しかし、考慮してください:そのような標的型マルウェアがマシン上にある場合、マルウェアをブラウザーセッションをハイジャックするように作成してみませんか?または、ブラウザ拡張機能を強制インストールして、必要なすべての情報を盗みますか?または、カスタム証明書をインストールしてMITM攻撃を許可しますか?ブラウザ拡張機能はページを表示することさえでき、サイトに再度ログインしたように見えますが、実際には2FAを完全に無効にするために必要な資格情報を提供していました。

ここで、いくつかの注意点があります。すでに特定のパスワードマネージャーを標的にできる既製のマルウェア(または少なくとも概念実証コード)があります。 2FAを無効にするためにインタラクティブにアカウントを乗っ取る既製のマルウェアは知りません。

しかし、要点は、TOTPシードが問題を引き起こすonlyシナリオは、TOTPシードが他の場所に保存されていてもalsoが問題を引き起こすシナリオです。それを念頭に置いて、TOTPコードをパスワードマネージャーに保持することに反対する説得力のある議論は見ていません。特に、AuthenticatorやAuthyなどの代わりにTOTPシードを使用してコードを生成できるパスワードマネージャーの場合はそうです。

2
Ben

パスワードマネージャー内にTOTPシードを保存するということは、パスワードマネージャーに保存されている情報にアクセスできる人はだれでも2FAを完全に回避でき、すべてにアクセスできるということです。

Notパスワードマネージャー内にTOTPシードを保存するということは、パスワードマネージャーに保存されている情報にアクセスできる人はだれでもnot 2FAを回避でき、保護されているすべてのアカウントにアクセスできない2FAによる。

すべてへの完全なアクセス」対「2FA保護されたログインへのアクセスなし "。

それは大変なことであり、それがすべての結論になるので、私はこの答えの必要性を感じました。

TOTPシードを他のシードとは別に保管すると、moreセキュリティが得られ、パスワードマネージャーにTOTPシードを保管する場合と比べて、セキュリティについては欠点なしになります。

すべてを同じ場所にマージすることで得られる唯一の利点は、生活の質です。セキュリティを犠牲にして!

0
Ralf Mckenzie