Az 1Password-nél dolgozom, és pontosan írtam erről a kérdésről, amikor bemutattuk a funkciót.
A válasz attól függ, hogy valójában milyen biztonsági tulajdonságokat szeretne az időalapúaktól időjelszavak (TOTP). A TOTP által kínált számos biztonsági tulajdonság egyikének "második tényezõsége", amely sok esetben a legkevésbé fontos. Ne tévesszen félre, hogy mindez a "2FA" kifejezés alatt áll, mintha csak ez a biztonsági előny származna ezekből a sémákból.
A TOTP biztonsági előnyei (szemben a tipikus jelszóhasználattal)
Tehát felsorolok néhányat a TOTP használatával kapott biztonsági tulajdonságok közül, és szembeállítom őket a tipikus jelszó használatával.
-
A hitelesítés során a hosszú távú titok nem kerül továbbításra . A TOTP használatával kapjon egy hosszú távú titkot, amelyet csak akkor továbbít (általában a QR-kódot), amikor regisztrál. A hosszú távú titkot nem továbbítják, amikor ténylegesen használják. (Ez eltér a tipikus jelszóhasználattól, ahol a jelszót az interneten keresztül továbbítják, és ez más védettségektől, például a TLS-től függ). Ez azt is jelenti, hogy a hosszú távú titkot nem lehet adathalászni (bár a numerikus kódok is lehetnek.)
-
A hosszú távú titok nem becsülhető . A hosszú távú titkot a szerver generálja az első regisztráció során, és így a szolgáltatás véletlenszerűségi szabványainak megfelelően generálja. Ez megint különbözik az emberi létrehozott jelszavak tipikus jelszóhasználatától.
-
A hosszú távú titok egyedülálló. Végül nem fogja ugyanazt a TOTP titkot újból felhasználni a különböző szolgáltatásokban. Ez megint ellentétben áll a tipikus jelszóhasználattal, ahol az emberek újrafelhasználják a jelszavakat.
-
Ja, igen. És a hosszú távú titkot "valamivel rendelkezik", ha valamilyen okból fontos az Ön számára.
A legtöbb esetben, amikor a TOTP telepítve van, a # 2 (nem felismerhetőség) és a # 3 (egyediség) tulajdonságok miatt történik. Amikor a Dropbox először bevezette a TOTP-t szolgáltatásaikba, kifejtette indokaikat, amelyek segítenek megvédeni a jelszavakat újrafelhasználó felhasználókat.
A hosszú távú titkok egyedisége és felismerhetetlensége után a következő legfontosabb előny (a legtöbb ember számára) az, hogy a hosszú távú titkot nem továbbítják. Ez megnehezíti a veszélyeztetett hálózaton történő rögzítést.
Valószínűleg a TOTP által biztosított biztonsági tulajdonságok közül a legkevésbé fontos a második tény. Nem azt mondom, hogy ennek nincs előnye, de azokban az esetekben, amikor a legtöbb ember használja a TOTP-t, valószínűleg ez a legkevésbé fontos.
Ellentét a jelszókezelő használatával.
A fentiekben felsoroltam a TOTP négy biztonsági tulajdonságát, és szembeállítottam őket a tipikus jelszóhasználattal. De most vegyünk figyelembe valakit, aki teljes mértékben kihasználja a jelszókezelőt. Ha valamilyen webhelyhez vagy szolgáltatáshoz jól használ jelszókezelőt4, akkor véletlenszerűen generál (és így felismerhetetlen) jelszót fog kapni az adott webhelyhez, és egyedi jelszavát fogja megadni az adott webhelyhez. Tehát a TOTP használata valójában nem jelent sokat a két biztonsági tulajdonság szempontjából.
Ha az 1. tulajdonságot nézzük (hosszú távú titok nem továbbítva), akkor a TOTP még mindig kínál további biztonságot , még akkor is, ha jelszókezelőt használ. A jelszókezelő használata azonban csökkenti az adathalászok esélyét, így a TOTP nyeresége, bár valós, nem olyan nagy, mint annak, aki nem használ jelszókezelőt.
Az egyetlen dolog balra a # 4. Ha valóban a két tényező miatt értékeli a TOTP-t, akkor ne tartsa a hosszú távú titkot az 1Password-ben. De a legtöbb ember számára a TOTP értéke abból adódik, hogy van egy erős és egyedi hosszú távú titka, amelyet soha nem továbbítanak.
Nézze meg a tényleges biztonsági tulajdonságokat
Javaslom, hogy értékelje, mit hoz ki valójában a TOTP-ból (ahelyett, hogy belemerülne a teljes 2FA retorikába), majd fontolja meg a kompromisszumokat. Fogadok, hogy ha soha nem merült volna fel a kérdés, például a TOTP, ahol a "Kétfaktoros hitelesítés" helyett "Egyedi titkos hitelesítést" hívták.