Frage:
Welche zusätzliche Sicherheit bietet ein zweistufiger Website-Anmeldevorgang mit einer PIN?
Bob Tway
2016-06-29 18:49:13 UTC
view on stackexchange narkive permalink

Ich arbeite derzeit an einer Webanwendung, deren Funktion mit einem erheblichen Sicherheitsrisiko verbunden ist. Wir verwenden Microsoft Identity Framework, um Benutzeranmeldungen zu verarbeiten. Das System erzwingt sichere Kennwörter und die Registrierung, wobei vor der ersten Verwendung die zusätzliche Ebene der E-Mail-Bestätigung erforderlich ist.

Wir sind der Ansicht, dass dies nicht vollständig ausreicht . Einer unserer Wettbewerber verwendet ein zweistufiges Anmeldesystem mit einem Passwort, gefolgt von der Eingabe von drei Ziffern aus einer sechsstelligen PIN per Dropdown. Es gibt einen Vorschlag, dies zu kopieren.

Persönlich ist es mir unangenehm, eine solche Lösung zu implementieren, ohne die Vor- und Nachteile gegenüber den Alternativen besser zu verstehen. Es fällt mir auf, dass ein zusätzlicher Datenschichteintrag, der gegen Keylogging immun ist, keine wesentliche zusätzliche Sicherheit darstellt. Wenn ein Angreifer bereits über eine E-Mail / Passwort-Kombination verfügt, führt fast jede denkbare Art und Weise, wie er diese erhalten könnte, auch dazu, dass er die PIN hat.

Die offensichtliche Alternative zur Stärkung der Sicherheit besteht darin, einen Zwei-Faktor zu haben Authentifizierung per SMS. Dies ist mit Kosten verbunden, aber wenn die Sicherheit an erster Stelle steht, scheint dies dem System tatsächlich einen erheblichen Schutz über eine PIN zu verleihen, von dem ich glaube, dass es fast keine hinzufügen wird.

Was bringt es, eine zusätzliche PIN zu haben? Authentifizierung? Hat es irgendwelche Vorteile gegenüber der 2-Faktor-Authentifizierung?

BEARBEITEN: Die vorgeschlagene PIN-Lösung würde dem Benutzer eine zufällig generierte 6-stellige Nummer per E-Mail ausstellen. Bei der Anmeldung auf der Site müssten sie zuerst ein Passwort eingeben (das natürlich vom Browser gespeichert werden kann). Wenn dies erfolgreich ist, werden sie aufgefordert, drei zufällig ausgewählte Ziffern aus den sechs (dh geben Sie das erste, zweite und fünfte Zeichen Ihrer PIN ein) über das Dropdown-Feld einzugeben.

Bei der Reflexion denke ich, dass dies der Fall ist Stoppen Sie zumindest den unbefugten Zugriff über jemanden, der sich auf ein gespeichertes Passwort des Browsers verlässt.

Das Senden eines "Einmalkennworts" mit 6 Ziffern per E-Mail und die Verwendung eines Dropdowns zur Vermeidung von Schlüsselprotokollierern macht keinen Sinn.Einmalkennwörter werden für Keylogger verwendet.Sie können die 6 Ziffern sehr gut über die Tastatur eingeben.Es gibt keinen Gewinn an Sicherheit!
Ist das Dropdown-Menü wirklich immun gegen Keylogging?Die übliche UX für Dropdown-Listen, z. B. [diese] (http://www.w3schools.com/tags/tryit.asp?filename=tryhtml_select), ermöglicht Ihnen die Auswahl über die Tastatur und das Deaktivieren dieser Optionneigen dazu, Ihre Benutzer zu entfremden.Die UX ist für typisierte Eingaben für z.Eine alphanumerische PIN, bei der dem Benutzer nicht die gesamte Auswahl angezeigt wird und zum Klicken gescrollt werden muss. Bei routinemäßiger Verwendung verwendet jedoch mindestens ein Bruchteil Ihrer Benutzer die Tastatur, um dieses Feld einzugeben.
Sechs antworten:
Anders
2016-06-29 19:22:22 UTC
view on stackexchange narkive permalink

Es fällt mir schwer zu erkennen, welche Sicherheitsvorteile dies bieten könnte. Bei der Multifaktorauthentifizierung geht es darum, verschiedene Faktoren zu verwenden - d. H. "Etwas, das Sie wissen", "etwas, das Sie haben", "etwas, das Sie sind". Nur den gleichen Faktor zweimal zu wiederholen, scheint ein bisschen sinnlos.

Aber lassen Sie mich etwas darüber spekulieren, was der Zweck sein könnte.

1. Stoppen Sie Keylogger

Nur dumme Malware versucht, Kennwörter zu erhalten, indem sie blind Tastenanschläge protokolliert. Das Erfordernis der Verwendung eines Dropdown-Menüs kann vor Malware schützen, aber am Ende ist der Versuch, Benutzereingaben zu verbergen, wenn der Computer bereits infiziert ist, ein Verlustspiel. Siehe diese Frage für eine verwandte Diskussion. Letztendlich denke ich, dass die Vorteile hier gering sind.

2. Entropie erhöhen

Wenn Sie dem Passwort eine sechsstellige PIN hinzufügen, erhalten Sie 10 sup> 6 sup> mal so viele Kombinationen wie Brute Force oder fast 20 zusätzliche Entropiebits. richtig? (Oder 10 3 sup> mal oder 10 Bit, wenn Sie nur die drei eingegebenen Ziffern zählen.) Ja, aber warum nicht einfach ein längeres Passwort benötigen?

Vielleicht möchten Sie es aufteilen zwei, um einen Teil (die PIN) wirklich zufällig zu machen und damit Benutzern Schutz zu bieten, die schwache Passwörter auswählen. Aber wovor schützt das? Für Online-Angriffe sollte bereits eine Ratenbegrenzung vorhanden sein, um dies zu bewältigen. Bei Offline-Angriffen müssten Sie die PIN zusammen mit dem Kennwort hashen, um Vorteile zu erzielen. Da Sie sich jedoch mit nur drei von sechs Ziffern anmelden können, scheinen sie dies nicht zu tun (es sei denn, sie behalten 20 Hashes für alle möglichen Ziffernkombinationen bei).

3. Begrenzen Sie die Auswirkung gestohlener Passwörter

Angenommen, Ihr Passwort wird gestohlen (z. B. bei einem Phishing-Angriff). Wenn der Angriff nur einmal ausgeführt wird, erhält der Angreifer nur die Hälfte der PIN. Sie kann sich daher nicht einfach anmelden, wenn sie nach anderen als den von ihr erhaltenen Ziffern gefragt wird.

Ich sehe das nicht als großen Vorteil. Wiederholen Sie den Angriff einfach ein paar Mal oder versuchen Sie, sich mehrmals (oder von verschiedenen IP-Adressen) aus anzumelden, bis Sie zur Eingabe der Ziffern aufgefordert werden.

Nachteile

  • Es erhöht die Wahrscheinlichkeit, dass Benutzer die PIN (und möglicherweise das Kennwort, während sie gerade dabei sind) auf einen Post-It oder eine E-Mail schreiben.
  • Sie können sich nicht nur mit a anmelden Passwortmanager. Warum sollten Personen, die sichere Methoden zum Verwalten ihrer Kennwörter verwenden, es schwieriger machen?

Schlussfolgerung

Ich sehe keine Sicherheitsvorteile dafür Dies würde den Benutzer motivieren, sich eine zusätzliche PIN zu merken und sich die Mühe zu machen, Zahlen aus Dropdown-Menüs auszuwählen. Für mich riecht es nach Sicherheitstheater. Aber vielleicht fehlt mir etwas.

Bearbeiten: Ja, ich habe etwas verpasst. Siehe die Antwort von Supercat. Es ist ein sehr guter Punkt, aber ich bin mir nicht sicher, ob es sich trotzdem lohnt.

Einige Veranstaltungsorte verwenden eine ähnliche Technik, jedoch mit einem breiteren Feld: einem benutzerdefinierten alphanumerischen Feld mit mehr als 8 Zeichen (mit mindestens einer Nummer), von dem der Benutzer bei jeder Anmeldung drei zufällige Zeichen erhält.Für mich sieht es so aus, als könnte es helfen, gestohlene Passwörter zu stoppen. Sie benötigen mehrere erfolgreiche Angriffe, um die vollständige Zeichenfolge wiederherzustellen, und es ist unwahrscheinlich, dass eine einzelne Erfassung von drei Zeichen nach Erkältung wieder funktioniert.
supercat
2016-06-29 22:00:36 UTC
view on stackexchange narkive permalink

Ein System, das ein Konto auch vorübergehend als Reaktion auf ungültige Kennwortversuche sperrt, macht es sehr einfach, einen Denial-of-Service-Angriff gegen jemanden durchzuführen. Die Verwendung einer zweiteiligen Authentifizierung ermöglicht sehr strenge Sperrrichtlinien für den zweiten Teil, während sie weiterhin resistent gegen Denial-of-Service-Angriffe sind. Wenn jemand herausfinden würde, dass das Passwort einer Person auf einem System Justin-Bieber ist, kann ein System mit einem einteiligen Passwort gezielte Einbruchsversuche nicht anhand von Variationen dieses Passworts (z. B. Justin-Bieber1, Justin4Bieber usw.) unterscheiden. ) aus zufälligen Passworteinträgen, die einen Denial-of-Service auslösen sollen.

Das Teilen des Passworts in zwei Teile würde bedeuten, dass ein Angreifer bemerkt, dass der erste Teil korrekt ist aber Der wahrscheinlichste Preis wäre nicht der Zugriff auf das Konto, sondern lediglich die Möglichkeit, eine Sperrung des Kontos auszulösen, bis sich der tatsächliche Benutzer auf andere Weise authentifiziert. Da der Benutzer wissen würde, dass jemand anderes das primäre Kennwort hat, würde er dieses Kennwort ändern und es unbrauchbar machen.

Silver
2016-06-29 18:55:05 UTC
view on stackexchange narkive permalink

Wenn Sie eine starke Authentifizierung ohne die Kosten für das Senden von SMS wünschen, können Sie TOTP mit der Google-Authentifizierungs-App verwenden.

In der Tat scheint die PIN-Lösung keine hinzuzufügen viel zusätzliche Sicherheit. Ich verstehe den Mechanismus auch nicht ganz. Sie geben 3 Ziffern von einem 6-stelligen Pin ein. Wie haben sie den 6-stelligen Pin erhalten und wie werden die Baumziffern ausgewählt? Auch 10 ^ 3 ist keine so große Zahl, was bedeutet, dass der Stift brutal gezwungen werden kann, wenn keine Maßnahmen ergriffen werden. Wenn Sie den Pin-Mechanismus klären können, kann ich möglicherweise weitere Einblicke in die Sicherheitsvorteile geben.

BEARBEITEN: Basierend auf Ihrem Update ist dies bereits eine schwache Form der Zwei-Faktor-Authentifizierung, da der Pin über e kommuniziert wird -mail. Warum in der E-Mail 3 von 6 Ziffern ausgewählt sind, ist mir immer noch ein Rätsel. Der Grund, warum ich "schwach" sage, ist, dass der dreistellige PIN-Code sehr kurz ist und brutal erzwungen werden kann, wenn kein anderer Schutz vorhanden ist.

Außerdem ist die Dropdown-Funktion, die verhindert, dass Keylogger den Pin protokollieren, eine sehr schwache Form des Schutzes. Wenn Sie Tastenanschläge protokollieren können, können Sie auch überprüfen, welche Nummer ausgewählt ist. Oder glaubt jemand, dass es Fälle gibt, in denen Keylogging möglich ist, die Überwachung von Klicks jedoch nicht? Vielleicht in einem Hardware-Keylogger?

Fishy
2016-06-29 19:21:00 UTC
view on stackexchange narkive permalink

Bei der Multi-Faktor-Authentifizierung geht es darum, Informationen aus mehreren Quellen anzufordern. Wenn ein Benutzer auf eine Weise kompromittiert wird (z. B. wenn er sein Kennwort irgendwo aufschreibt und es gefunden wird), gibt es diese Immer noch eine Sicherheitsebene, die den Kontozugriff verhindert.

Normalerweise kennen Sie die drei Arten von Authentifizierungsinformationen

  • - wie ein Kennwort oder eine PIN-Nummer, die Sie auswendig gelernt haben
  • haben - ein Telefon oder ein anderes Zugriffstoken, das Sie bei sich behalten
  • sind - ein Fingerabdruck oder eine andere biometrische

Sowohl ein Passwort als auch eine PIN werden in der ersten Kategorie berücksichtigt, sodass die PIN wahrscheinlich nicht viel zusätzliche Sicherheit bietet , wenn ein Risiko besteht dass beide gleichzeitig kompromittiert werden könnten (sicher, es besteht kein / weniger Risiko für Keylogging. Aber was ist, wenn die Informationen über das Netzwerk oder eine andere Form der Erfassung abgefangen werden?).

Was die Vorteile betrifft Ohne weitere Informationen ist es schwer zu sagen mation. In diesem Fall klingt es so, als wäre eine PIN billiger als ein "richtiges" Zwei-Faktor-Authentifizierungssystem. Möglicherweise handelt es sich bei dem Bedrohungsmodell um Keylogger auf Benutzercomputern, und dies könnte eine geeignete Lösung sein.

mostlyinformed
2016-07-01 00:30:36 UTC
view on stackexchange narkive permalink

Was hier vor sich geht, ist, dass Ihr Konkurrent versucht, den Ersatz eines armen Mannes anstelle eines robusten zweiten Faktors für die Authentifizierung zu verwenden. Aus geschäftlichen Gründen möchten sie sich nicht mit der Einrichtung der Infrastruktur befassen, um einen einmaligen Code- / OTP-Mechanismus (das am häufigsten verwendete 2FA-Setup) zu implementieren und diesen robusten zweiten Authentifizierungsfaktor bereitzustellen. (Oder wenden Sie sich an einen Dritten, um die Implementierung von OTPs für diese im Rahmen eines Authentication-as-a-Service-Modells zu übernehmen.) Die Ergebnisse sind eher vorhersehbar: Aus Gründen, auf die andere hingewiesen haben, ist der Ersatz dieses armen Mannes bei weitem nicht so schwierig Damit ein Angreifer als 2FA-Mechanismus überwinden kann, bei dem Sie bei jeder Anmeldung einen Einmalcode von einem separaten Gerät ("etwas, das Sie haben") erhalten müssen.

Dennoch gibt es einige Dinge, die diesbezüglich eine Rolle spielen Anordnung, die es etwas vorzuziehen macht, nur ein Passwort nur zur Authentifizierung zu verwenden. Bei weitem sind die beiden größten Probleme, sich bei der Authentifizierung eines Benutzers nur auf ein Kennwort zu verlassen, (a) die Tatsache, dass sehr viele Benutzer Kennwörter in vielen Konten großzügig wiederverwenden, und (b) die Tendenz sehr vieler Benutzer, eine einfachere Auswahl zu treffen -Erinnern Sie sich aber sehr schwache Passwörter. Das Erfordernis der Eingabe einer PIN, die zufällig vom Dienst generiert wurde, bietet eine ziemlich wichtige zusätzliche Schutzschicht gegen diese großen Bedrohungen. (Obwohl das Verteilen dieser PIN per E-Mail aus mehreren Gründen eine schlechte Praxis ist.)

Natürlich hilft Ihnen nichts davon sehr, wenn ein Angreifer Malware auf Ihren PC / Ihr Gerät übertragen kann, die Ihre PIN bei der Eingabe aufzeichnet. Oder wenn er oder sie Sie dazu verleiten kann, eine Phishing-Site zu betreten. Hier kann die Dropdown-Anordnung zur Eingabe von drei zufälligen Ziffern aus der sechsstelligen PIN in einigen Szenarien einen bescheidenen Vorteil bieten. Viele moderne Keylogger machen jedes Mal, wenn der Benutzer auf etwas klickt, Screenshots des Mauszeigers, aber einige einfachere / rudimentärere Malware bleibt nur bei der Erfassung von Tastenanschlägen. In Bezug auf den Diebstahl der PIN über Phishing ... nun, hier wird noch weniger Nutzen geboten, einfach weil die Eingabe von drei zufällig ausgewählten Ziffern aus einer PIN, die aus nur sechs Ziffern besteht, normalerweise nicht funktioniert ein Problem auferlegen. (Wiederum aus Gründen, die andere bereits gut erklärt haben.) Dennoch könnte man argumentieren, dass diese Anordnung in einigen Szenarien ein bisschen (wenn auch ein kleines bisschen) zusätzlichen Nutzen bietet, anstatt einfach den Benutzer jedes Mal seine vollständige PIN eingeben zu lassen. (Vielleicht.)

Alles in allem wäre die Verwendung eines echten Zwei-Faktor-Authentifizierungs-Setups aus Sicherheitsgründen sicherlich vorzuziehen. Insbesondere, wenn Sie Einwegcodes / OTPs verwenden, die von einem Hardware-Token (am sichersten) oder einer Smartphone-Authentifizierungs-App generiert wurden. Kein richtiger Wettbewerb.

tawpie
2016-06-29 23:21:22 UTC
view on stackexchange narkive permalink

Der zweite Faktor "Teil, den Sie kennen" könnte sein, 3 der 6 per E-Mail zu verwendenden Zeichen (Mary verwendet 1., 2., 5., John: 1-2-6, Fred und Janet : 4-5-6) ... nicht sicher, wie Sie Ihren Leuten welche beibringen würden, aber einmal gelehrt, dass dieses Geheimnis nicht erneut weitergegeben werden muss. Und dann verwenden Sie auch enge Sperren.

SMS sind möglicherweise anfällig für Stachelrochen, aber nehmen Sie dies mit einem Körnchen Salz, das darauf ausgelegt ist, wie motiviert Menschen sind, in Ihr System einzudringen.

Dieser "Teil, den Sie kennen" ist kein zweiter Faktor, sondern ein Teil des ersten Faktors, bei dem der andere Teil das Passwort ist.- Ein zweiter Faktor wäre eine völlig andere Authentifizierungskategorie, entweder etwas, das Sie haben (RSA-Token, privater Schlüssel zum Signieren von Nachrichten, Google Authenticator) oder etwas, das Sie sind.
Brad und Janet.Nicht Fred.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...