web-dev-qa-db-ja.com

2FAがパスワードマネージャーに提供するセキュリティ上の利点は何ですか?

多くの一般的なパスワードマネージャー(1Password、Dashlane、LastPass、KeePass、およびmany other)が何らかの2要素認証をサポートしていることは秘密ではありません。これは多くの場合TOTPまたは他のシステムを介して実装されますが、U2Fベースまたは同様のものでも十分に可能です。

ただし、TOTPベースの2要素アルゴリズムは、数字にシークレットを格納しません。また、U2Fがその応答でシークレットをエンコードする機能も提供しません。

これを考えると、これは私を次の仮定の1つに導きます:

  • パスワードマネージャーサーバーは、2FA資格情報を提示しない限り、(暗号化された)ボールトの送信を拒否します。
  • または、パスワードボールトに複数のキーがあり、そのうちの1つはサーバーに保存され(理論上の不正な従業員に見えると思います)、2FAチャレンジがパスした後に送信されます。

上記が正しいと仮定すると、「2番目の要素」は、静的なもの(サーバーによって送信された静的暗号化キーまたは暗号化された格納域自体)のみを保護することになります。理論的には、クラウドベースのパスワードマネージャーの悪意のある従業員は、自分のボールトまたはボールトの暗号化キーの一部を取得するためにそのアクセスを使用できます。

同様に、非クラウドパスワードマネージャー(KeePassなど)でも同じ問題が発生します。 2FAセクションは、コードに実装された手段にすぎません(そして、攻撃者が十分なアクセス権を持っているとすれば、パッチを当てることができます)。

それで、ここで重要な何かを見逃していない限り、2FAがパスワード保管庫に提供するrealセキュリティ上の利点は何ですか? 2FAは、強力なパスワードだけでなく、盗まれたVaultファイルから現実的にどのように私を保護しますか?

password-managementmulti-factor
1
Kaz Wolfe

真のクラウドベースのプラットフォームについて話していると仮定すると、従業員がグループとして持つアクセスの合計の組み合わせから保護することはできません-あるレベルでは、従業員全体でそれらの合計に信頼を置く必要がありますとにかく、セッションをMitMする十分な権限を持ち、後でシークレットを盗む(たとえマスターパスワード/暗号化キーが今あなたの側に保持されている場合でも)-後で、これらのキーを公開するコードを実行すると、更新が行われる可能性がありますキーを盗むことも-あなたはそのコードに対してyour keysを信頼します...そしてそれらはそれを制御します...コードが将来それをしないことを保証する唯一の保証は彼らの約束です、そして理想的には、彼らがそのように危険にさらされるのに必要なものを区分するために努力するため、複数の従業員である必要があります)。

彼らは、悪いことが起こるために複数の悪い俳優を必要とするような方法で彼らが信頼を区分化することを望んでいます。

mFAの利点について:MFAが防御しているのは、ショルダーサーフィンなどを含む、主にエンドポイントに対する脅威の全体です。通常、これらは率直に言って、複数の不正な従業員をターゲットにしたシナリオよりも大きな脅威です。

私の回答が上記の内容よりも重要なコンテンツを広告していると思うところに反対票を投じました:クラウドベースのパスワード保護プロバイダーからのコードに依存している場合、秘密がマシン上でローカルに行われる方法で暗号化されている場合でも、彼らはあなたのパスワードを盗むことができます。

彼らが不正になった場合、暗号化されたクラウドストレージからデバイスに送信されたシークレットを復号化するためにのみ使用される、コンピューターにのみあるキーを使用した復号化でも、復号化が機能する方法に変更されたコードを提供する可能性があります、復号化のアルゴリズムとして使用されるWebページ/プラグインの不正なコードには、JavaScriptやその他のコードが含まれており、悪意のあるインフラストラクチャにシークレットを送り返すことができます。セキュリティモデルは、失敗の合計と同じくらい安全です(適切に仕切られた複数の不正な従業員)が、この方法で秘密を盗まれます。

2
pacifist

2FAは、キーロガーとショルダーサーフィンの2つの攻撃からあなたを守ります。

誰かがマスターパスワードの入力を監視している場合、またはキーロガーがそれをキャプチャした場合、すべてのパスワードをダンプする機会はわずかです。ショルダーサーフィンの場合、攻撃者はパスワード、2FAコードを記憶し、別のコンピューターにログインし、コードの有効期限が切れる前に資格情報を入力する必要があります。

クラウドパスワードストレージで2つのログインが同じ2FAコードを使用できない場合、攻撃者がパスワードと2FAコードの両方をキャプチャし、コードの有効期限が切れる前にログインできたとしても、攻撃者はログインできません。

あなたはパスワードをクラウドプロバイダーから保護していません、彼らは気にする評判があり、彼らの評判はあなたが持っているどのパスワードよりもはるかに価値があります。あなたはあなたの近くの攻撃者からそれを守っています。

2
ThoriumBR