2要素認証はHeartBleedに役立ちますか?
私はHeartBleedについて友人と話していましたが、彼はそれをサポートするすべてのサイトで2要素認証を有効にしていたため、ユーザー名とパスワードを使用しても、電話なしでは誰もログインできないと述べました。
とにかくパスワードを変更するように言った。
しかし、私は知りたいです。彼は最悪の事態から彼を守る2要素認証について正しいのでしょうか?
ありがとう!
evamvid
私はマークに同意しません。 SSL/TLSの主な目的は、長期キー(つまり、プライベート証明書)の保護です。攻撃者がキーを取得できる場合、実装は壊れていると見なされます。
2要素認証を使用するかどうかは関係ありません。サーバーの秘密鍵がわかっている場合は、直接(PFSなしで)またはMITMを介して(PFSあり)トラフィックを復号化できます。私はあなたのセッションCookieなどを盗み、トークンなしですべてを行うことができます。私はあなたのTCPセッションを盗むことさえできます。
適切な2要素認証(外部チャネル経由で送信されるパスワードと使い捨てトークンの両方による認証)は、ハートブリード攻撃に対する保護を提供します。攻撃者はパスワードとトークンの両方を取得できますが、適切な実装では、トークンは実際に独自のログインを試行する価値がありません。これは使い捨てであり、次のトークンが何になるかについての手掛かりを与えません。あります。
完全に多すぎるサイト(ユーザー名、パスワード、あなたに関する雑学クイズ)で使用されている「wish-it-was-two-factor」認証では、まったく保護されません。