it-swarm.com.de

Welche zusätzliche Sicherheit bietet ein zweistufiger Website-Anmeldevorgang mit einer PIN)?

Ich arbeite derzeit an einer Webanwendung, deren Funktion mit einem erheblichen Sicherheitsrisiko verbunden ist. Wir verwenden Microsoft Identity Framework, um Benutzeranmeldungen zu verarbeiten. Das System erzwingt sichere Kennwörter und die Registrierung, wobei vor der ersten Verwendung die zusätzliche Ebene der E-Mail-Bestätigung erforderlich ist.

Wir haben das Gefühl, dass dies nicht völlig ausreicht. Einer unserer Konkurrenten verwendet ein zweistufiges Anmeldesystem mit einem Passwort, gefolgt von der Eingabe von drei Ziffern aus einem sechsstelligen PIN per Dropdown. Es gibt einen Vorschlag, dies zu kopieren.

Persönlich ist es mir unangenehm, eine solche Lösung zu implementieren, ohne die Vor- und Nachteile gegenüber den Alternativen besser zu verstehen. Es fällt mir auf, dass ein zusätzlicher Datenschichteintrag, der gegen Keylogging immun ist, keine wesentliche zusätzliche Sicherheit darstellt. Wenn ein Angreifer bereits über eine Kombination aus E-Mail und Passwort verfügt, führt fast jede denkbare Möglichkeit, die er hätte erhalten können, auch dazu, dass er die PIN hat.

Die offensichtliche Alternative zur Stärkung der Sicherheit ist eine Zwei-Faktor-Authentifizierung per SMS. Dies wird Kosten verursachen, aber wenn Sicherheit an erster Stelle steht, scheint dies dem System tatsächlich einen erheblichen Schutz über eine PIN zu verleihen, von der ich glaube, dass sie fast keine hinzufügen wird.

Was bringt eine zusätzliche PIN Authentifizierung)? Hat sie Vorteile gegenüber der 2-Faktor-Authentifizierung?

BEARBEITEN: Die vorgeschlagene Lösung PIN) würde dem Benutzer eine zufällig generierte 6-stellige Nummer per E-Mail ausstellen. Wenn er sich auf der Site anmeldet, müsste er zuerst ein Passwort eingeben (was natürlich natürlich sein kann) Wenn dies erfolgreich ist, werden sie aufgefordert, drei zufällig ausgewählte Ziffern aus den sechs (dh geben Sie das erste, zweite und fünfte Zeichen Ihrer PIN ein) über das Dropdown-Feld einzugeben.

Ich denke, dies stoppt zumindest den unbefugten Zugriff über jemanden, der sich auf ein gespeichertes Passwort des Browsers verlässt.

20
Bob Tway

Es fällt mir schwer zu erkennen, welche Sicherheitsvorteile dies bieten könnte. Bei der Multifaktorauthentifizierung geht es darum, verschiedene Faktoren zu verwenden - d. H. "Etwas, das Sie wissen", "etwas, das Sie haben", "etwas, das Sie sind". Nur den gleichen Faktor zweimal zu wiederholen, scheint ein bisschen sinnlos.

Aber lassen Sie mich darüber spekulieren, was der Zweck sein könnte.

1. Stoppen Sie Keylogger

Nur dumme Malware versucht, Passwörter zu erhalten, indem sie blind Tastenanschläge protokolliert. Das Erfordernis der Verwendung eines Dropdown-Menüs kann vor Malware schützen, aber am Ende ist der Versuch, Benutzereingaben zu verbergen, wenn der Computer bereits infiziert ist, ein Verlustspiel. Siehe diese Frage für eine verwandte Diskussion. Letztendlich denke ich, dass die Vorteile hier gering sind.

2. Entropie erhöhen

Wenn Sie dem Passwort eine sechsstellige Zahl PIN] hinzufügen, erhalten Sie 106 mal so viele Kombinationen zu Brute Force oder fast 20 zusätzliche Entropiebits, oder? (Oder 103 mal oder 10 Bit, wenn Sie nur die drei eingegebenen Ziffern zählen.) Ja, aber warum nicht einfach ein längeres Passwort benötigen?

Vielleicht möchten Sie es in zwei Teile teilen, um einen Teil (die PIN) wirklich zufällig zu machen und damit Benutzern Schutz zu bieten, die schwache Passwörter auswählen. Aber wovor schützt das? Für Online-Angriffe sollte bereits eine Ratenbegrenzung vorhanden sein, um dies zu bewältigen. Bei Offline-Angriffen müssten Sie die PIN zusammen mit dem Kennwort) hashen, um Vorteile zu erzielen. Da Sie sich jedoch mit nur drei von sechs Ziffern anmelden können, scheinen sie dies nicht zu tun dies (es sei denn, sie behalten 20 Hashes für alle möglichen Ziffernkombinationen).

3. Begrenzen Sie die Wirkung gestohlener Passwörter

Angenommen, Ihr Passwort wird gestohlen (z. B. bei einem Phishing-Angriff). Wenn der Angriff nur einmal ausgeführt wird, erhält der Angreifer nur die Hälfte der PIN. Sie kann sich daher nicht einfach anmelden, wenn sie nach anderen als den von ihr erhaltenen Ziffern gefragt wird.

Ich sehe das nicht als großen Vorteil. Wiederholen Sie den Angriff einfach ein paar Mal oder versuchen Sie, sich mehrmals (oder von verschiedenen IP-Adressen) aus anzumelden, bis Sie zur Eingabe der Ziffern aufgefordert werden.

Nachteile

  • Es erhöht die Wahrscheinlichkeit, dass Benutzer die PIN (und möglicherweise das Passwort, während sie gerade dabei sind) auf ein Post-It oder eine E-Mail schreiben.
  • Sie können sich nicht nur mit einem Passwort-Manager anmelden. Warum sollten Personen, die sichere Methoden zur Verwaltung ihrer Passwörter verwenden, Schwierigkeiten haben?

Schlussfolgerung

Ich kann keine Sicherheitsvorteile erkennen, die dazu führen würden, dass sich der Benutzer ein zusätzliches PIN) merkt und sich die Mühe macht, Zahlen aus Dropdown-Menüs auszuwählen. Für mich riecht dies nach Sicherheit) Theater . Aber vielleicht fehlt mir etwas.

Edit: Ja, ich habe etwas verpasst. Siehe Antwort der Superkatze . Es ist ein sehr guter Punkt, aber ich bin mir nicht sicher, ob es sich trotzdem lohnt.

33
Anders

Ein System, das ein Konto auch vorübergehend als Reaktion auf ungültige Kennwortversuche sperrt, macht es sehr einfach, einen Denial-of-Service-Angriff gegen jemanden durchzuführen. Die Verwendung einer zweiteiligen Authentifizierung ermöglicht sehr strenge Sperrrichtlinien für den zweiten Teil, während sie weiterhin resistent gegen Denial-of-Service-Angriffe sind. Wenn jemand herausfinden würde, dass das Passwort einer Person auf einem System Justin-Bieber ist, kann ein System mit einem einteiligen Passwort gezielte Einbruchsversuche nicht anhand von Variationen dieses Passworts (z. B. Justin-Bieber1, Justin4Bieber usw.) unterscheiden. ) aus zufälligen Passworteinträgen, die einen Denial-of-Service auslösen sollen.

Das Teilen des Passworts in zwei Teile würde bedeuten, dass ein Angreifer bemerkt, dass der erste Teil korrekt ist aber Der wahrscheinlichste Preis wäre nicht der Zugriff auf das Konto, sondern lediglich die Möglichkeit, eine Sperrung des Kontos auszulösen bis sich der echte Benutzer auf andere Weise authentifiziert; Da der Benutzer wissen würde, dass jemand anderes das primäre Passwort hat, würde der Benutzer dieses Passwort ändern und es unbrauchbar machen.

20
supercat

Wenn Sie eine starke Authentifizierung ohne die Kosten für das Senden wünschen SMS können Sie TOTP mit der Google Authenticator App verwenden.

In der Tat scheint die Pin-Lösung nicht viel zusätzliche Sicherheit zu bieten. Ich verstehe den Mechanismus auch nicht ganz. Sie geben 3 Ziffern von einem 6-stelligen Pin ein. Wie haben sie den 6-stelligen Pin erhalten und wie werden die Baumziffern ausgewählt? Auch 10 ^ 3 ist keine so große Zahl, was bedeutet, dass der Stift brutal gezwungen werden kann, wenn keine Maßnahmen ergriffen werden. Wenn Sie den Stiftmechanismus klären können, kann ich möglicherweise weitere Einblicke in die Sicherheitsvorteile geben.

BEARBEITEN: Basierend auf Ihrem Update ist dies bereits eine schwache Form der Zwei-Faktor-Authentifizierung, da die PIN per E-Mail übermittelt wird. Warum in der E-Mail 3 von 6 Ziffern ausgewählt sind, ist mir immer noch ein Rätsel. Der Grund, warum ich "schwach" sage, ist, dass der dreistellige PIN-Code sehr kurz ist und brutal erzwungen werden kann, wenn kein anderer Schutz vorhanden ist.

Außerdem ist die Dropdown-Funktion, die verhindert, dass Keylogger den Pin protokollieren, eine wirklich schwache Form des Schutzes. Wenn Sie Tastenanschläge protokollieren können, können Sie auch überprüfen, welche Nummer ausgewählt ist. Oder glaubt jemand, dass es Fälle gibt, in denen Keylogging möglich ist, die Überwachung von Klicks jedoch nicht? Vielleicht in einem Hardware-Keylogger?

16
Silver

Der Punkt von Multi-Faktor-Authentifizierung besteht darin, Informationen aus mehreren Quellen anzufordern. Wenn ein Benutzer auf eine Weise kompromittiert wird (sagen wir, er schreibt sein Passwort irgendwo auf und es wird gefunden), gibt es immer noch eine Ebene der Sicherheit, die den Kontozugriff verhindert.

Normalerweise sind Sie die drei Arten von Authentifizierungsinformationen

  • wissen - wie ein Passwort oder eine PIN-Nummer, die Sie gespeichert haben
  • haben - ein Telefon oder ein anderes Zugriffstoken, das Sie bei sich haben
  • sind - ein Fingerabdruck oder eine andere biometrische

Sowohl ein Passwort als auch eine PIN werden in der ersten Kategorie berücksichtigt, sodass die PIN wahrscheinlich nicht viel zusätzliche Sicherheit bietet , da das Risiko besteht, dass beide vorhanden sind Gleichzeitig kompromittiert (sicher, es besteht kein/weniger Risiko für Keylogging. Aber was ist, wenn die Informationen über das Netzwerk oder eine andere Form der Erfassung abgefangen werden?).

Was die Vorteile angeht, ist es ohne weitere Informationen schwer zu sagen. In diesem Fall klingt es so, als wäre eine PIN billiger als ein "richtiges" Zwei-Faktor-Authentifizierungssystem. Möglicherweise ist das Bedrohungsmodell Keylogger auf Benutzercomputern, und dies könnte eine geeignete Lösung sein.

8
Fishy

Was hier vor sich geht, ist, dass Ihr Konkurrent versucht, den Ersatz eines armen Mannes anstelle eines robusten zweiten Faktors für die Authentifizierung zu verwenden. Aus geschäftlichen Gründen möchten sie sich nicht mit der Einrichtung der Infrastruktur befassen, um einen einmaligen Code-/OTP-Mechanismus (das am häufigsten verwendete 2FA-Setup) zu implementieren und diesen robusten zweiten Authentifizierungsfaktor bereitzustellen. (Oder wenden Sie sich an einen Dritten, um die Implementierung von OTPs für diese im Rahmen eines Authentication-as-a-Service-Modells zu übernehmen.) Die Ergebnisse sind eher vorhersehbar: Aus Gründen, auf die andere hingewiesen haben, ist der Ersatz dieses armen Mannes bei weitem nicht so schwierig Damit ein Angreifer als 2FA-Mechanismus überwunden werden kann, müssen Sie bei jeder Anmeldung einen Einmalcode von einem separaten Gerät ("etwas, das Sie haben") erhalten.

dennoch gibt es einige Dinge an dieser Anordnung, die es etwas vorzuziehen machen, nur ein Passwort für die Authentifizierung allein zu verwenden. Bei weitem sind die beiden größten Probleme, sich bei der Authentifizierung eines Benutzers nur auf ein Kennwort zu verlassen, (a) die Tatsache, dass sehr viele Benutzer Kennwörter in vielen Konten großzügig wiederverwenden, und (b) die Tendenz sehr vieler Benutzer, eine einfachere Auswahl zu treffen -Erinnern Sie sich aber sehr schwache Passwörter. Das Erfordernis der Eingabe einer PIN, die vom Dienst zufällig generiert wurde, bietet eine ziemlich bedeutende zusätzliche Schutzschicht gegen diese großen Bedrohungen. (Obwohl das Verteilen von PIN per E-Mail aus mehreren Gründen eine miese Praxis ist.)

Natürlich hilft Ihnen nichts davon sehr, wenn ein Angreifer Malware auf Ihren PC/Ihr Gerät übertragen kann, die Ihre PIN beim Betreten aufzeichnet. Oder ob er oder sie Sie dazu verleiten kann, eine Phishing-Site zu betreten. Hier kann die Dropdown-Anordnung zur Eingabe von drei zufälligen Ziffern aus der sechsstelligen PIN in einigen Szenarien einen bescheidenen Vorteil bieten. Viele moderne Keylogger machen jedes Mal, wenn der Benutzer auf etwas klickt, Screenshots des Mauszeigers, aber einige einfachere/rudimentärere Malware bleibt nur bei der Erfassung von Tastenanschlägen. In Bezug auf den Diebstahl der PIN über Phishing ... nun, hier wird noch weniger Dienstprogramm bereitgestellt, einfach weil drei zufällig ausgewählte Ziffern aus einer PIN eingegeben werden müssen, die aus besteht ) Nur sechs Ziffern sind normalerweise kein Problem. (Wiederum aus Gründen, die andere bereits gut erklärt haben.) Dennoch könnte man argumentieren, dass diese Anordnung in einigen Szenarien ein bisschen (wenn auch ein kleines bisschen) zusätzlichen Nutzen bietet, anstatt einfach den Benutzer ihre volle PIN eingeben zu lassen. jedes Mal. (Könnte sein.)

Alles in allem wäre die Verwendung eines echten Zwei-Faktor-Authentifizierungs-Setups aus Sicherheitsgründen sicherlich vorzuziehen. Insbesondere, wenn Sie Einwegcodes/OTPs verwenden, die von einem Hardware-Token (am sichersten) oder einer Smartphone-Authentifizierungs-App generiert wurden. Kein richtiger Wettbewerb.

1
mostlyinformed

Der zweite Faktor "Teil, den Sie kennen" könnte welcher 3 der 6 zu verwendenden E-Mail-Zeichen sein (Mary verwendet 1., 2., 5., John: 1-2-6, Fred und Janet: 4- 5-6) ... nicht sicher, wie Sie Ihren Leuten welche beibringen würden, aber einmal gelehrt, dass das Geheimnis nicht noch einmal weitergegeben werden muss. Und dann auch noch enge Verriegelungen verwenden.

SMS ist potenziell anfällig für Stachelrochen, aber nehmen Sie das mit einem Körnchen Salz, das darauf ausgelegt ist, wie motiviert Menschen sind, in Ihr System einzudringen.

0
tawpie