Az 1Password-nél dolgozom, és pontosan írtam erről a kérdésről, amikor bemutattuk a funkciót.

A válasz attól függ, hogy valójában milyen biztonsági tulajdonságokat szeretne az időalapúaktól időjelszavak (TOTP). A TOTP által kínált számos biztonsági tulajdonság egyikének "második tényezõsége", amely sok esetben a legkevésbé fontos. Ne tévesszen félre, hogy mindez a "2FA" kifejezés alatt áll, mintha csak ez a biztonsági előny származna ezekből a sémákból.

A TOTP biztonsági előnyei (szemben a tipikus jelszóhasználattal)

Tehát felsorolok néhányat a TOTP használatával kapott biztonsági tulajdonságok közül, és szembeállítom őket a tipikus jelszó használatával.

1. A hitelesítés során a hosszú távú titok nem kerül továbbításra . A TOTP használatával kapjon egy hosszú távú titkot, amelyet csak akkor továbbít (általában a QR-kódot), amikor regisztrál. A hosszú távú titkot nem továbbítják, amikor ténylegesen használják. (Ez eltér a tipikus jelszóhasználattól, ahol a jelszót az interneten keresztül továbbítják, és ez más védettségektől, például a TLS-től függ). Ez azt is jelenti, hogy a hosszú távú titkot nem lehet adathalászni (bár a numerikus kódok is lehetnek.)

2. A hosszú távú titok nem becsülhető . A hosszú távú titkot a szerver generálja az első regisztráció során, és így a szolgáltatás véletlenszerűségi szabványainak megfelelően generálja. Ez megint különbözik az emberi létrehozott jelszavak tipikus jelszóhasználatától.

3. A hosszú távú titok egyedülálló. Végül nem fogja ugyanazt a TOTP titkot újból felhasználni a különböző szolgáltatásokban. Ez megint ellentétben áll a tipikus jelszóhasználattal, ahol az emberek újrafelhasználják a jelszavakat.

4. Ja, igen. És a hosszú távú titkot "valamivel rendelkezik", ha valamilyen okból fontos az Ön számára.

A legtöbb esetben, amikor a TOTP telepítve van, a # 2 (nem felismerhetőség) és a # 3 (egyediség) tulajdonságok miatt történik. Amikor a Dropbox először bevezette a TOTP-t szolgáltatásaikba, kifejtette indokaikat, amelyek segítenek megvédeni a jelszavakat újrafelhasználó felhasználókat.

A hosszú távú titkok egyedisége és felismerhetetlensége után a következő legfontosabb előny (a legtöbb ember számára) az, hogy a hosszú távú titkot nem továbbítják. Ez megnehezíti a veszélyeztetett hálózaton történő rögzítést.

Valószínűleg a TOTP által biztosított biztonsági tulajdonságok közül a legkevésbé fontos a második tény. Nem azt mondom, hogy ennek nincs előnye, de azokban az esetekben, amikor a legtöbb ember használja a TOTP-t, valószínűleg ez a legkevésbé fontos.

Ellentét a jelszókezelő használatával.

A fentiekben felsoroltam a TOTP négy biztonsági tulajdonságát, és szembeállítottam őket a tipikus jelszóhasználattal. De most vegyünk figyelembe valakit, aki teljes mértékben kihasználja a jelszókezelőt. Ha valamilyen webhelyhez vagy szolgáltatáshoz jól használ jelszókezelőt4, akkor véletlenszerűen generál (és így felismerhetetlen) jelszót fog kapni az adott webhelyhez, és egyedi jelszavát fogja megadni az adott webhelyhez. Tehát a TOTP használata valójában nem jelent sokat a két biztonsági tulajdonság szempontjából.

Ha az 1. tulajdonságot nézzük (hosszú távú titok nem továbbítva), akkor a TOTP még mindig kínál további biztonságot , még akkor is, ha jelszókezelőt használ. A jelszókezelő használata azonban csökkenti az adathalászok esélyét, így a TOTP nyeresége, bár valós, nem olyan nagy, mint annak, aki nem használ jelszókezelőt.

Az egyetlen dolog balra a # 4. Ha valóban a két tényező miatt értékeli a TOTP-t, akkor ne tartsa a hosszú távú titkot az 1Password-ben. De a legtöbb ember számára a TOTP értéke abból adódik, hogy van egy erős és egyedi hosszú távú titka, amelyet soha nem továbbítanak.

Nézze meg a tényleges biztonsági tulajdonságokat

Javaslom, hogy értékelje, mit hoz ki valójában a TOTP-ból (ahelyett, hogy belemerülne a teljes 2FA retorikába), majd fontolja meg a kompromisszumokat. Fogadok, hogy ha soha nem merült volna fel a kérdés, például a TOTP, ahol a "Kétfaktoros hitelesítés" helyett "Egyedi titkos hitelesítést" hívták.

A második tényező hitelesítésének lényege az, hogy megvédjük Önt azokban az esetekben, amikor az első tényező (jelszavak) már nem sikerült. Ezért a 2FA tokenek tárolása ugyanazon a helyen, ahol a jelszavakat tárolja, jelentősen kevésbé hatékonyak.

Kombinálja ezt azzal a ténnyel, hogy a jelszókezelők (megfelelően használva, minden fiókhoz külön véletlenszerűen generált jelszavakkal) megvéd téged a 2FA-tokenek által okozott számos fenyegetéstől (például a durva erő és a hitelesítő adatok megtöltése elleni támadásoktól), és elkezdem kérdezni, hogy miért is foglalkozol egyáltalán a 2FA-val, ha a tokeneket így tárolod.

Ennek ellenére vannak olyan esetek, amikor egy rosszindulatú fél egyetlen jelszót lophat el a jelszókezelőtől anélkül, hogy veszélyeztetné a teljes jelszóadatbázist:

1. Ön nem ne használja az automatikus kitöltést, és adja meg jelszavát egy adathalász webhelyen (bár a HOTP / TOTP tokenek itt csak a kompromisszum időtartamának korlátozásával segítenek; az U2F / WebAuthn tokenekkel ellentétben nem tudják megakadályozni az adathalászatot)
2. a kapcsolatot egy MITM sérti (bár megint a 2FA nem igazán ment meg itt; én is ellentétesnek találom hogy egy olyan webhely, amely eléggé törődik a biztonsággal a 2FA támogatásához, nem valósítja meg a HTTPS-t)
3. Lusta hackerek / rosszindulatú programok szerzői, akik csak jelszavak ellopásával foglalkoznak, nem bejelentkezési munkamenetekkel vagy jelszó-adatbázisokkal
4. Az Attacker valamilyen módon veszélyezteti az e-mail fiókját, és a jelszavak alaphelyzetbe állítására használja (gyakran a 2FA tokenek nem állíthatók vissza e-mailen keresztül).

Ha nem érdekli a jelszó-adatbázis lehetősége veszélybe kerültek, és a fent felsorolt ​​fenyegetésvektorok eléggé hihetőnek és komolynak tűnnek az Ön számára ahhoz, hogy megérje azt a plusz lépést, hogy minden bejelentkezéskor be kell írnia egy 2FA kódot, majd hajtsa végre. Ellenkező esetben érdemes elkülönítve tárolnia a 2FA kódokat a jelszóadatbázistól, vagy el kell hagynia a HOTP / TOTP alapú 2FA tokenek használatát teljes mértékben az U2F vagy a WebAuthn tokenek javára, amelyek nagyobb védelmet nyújtanak.

Azt javaslom, hogy a 2FA kódokat tartsa az 1Password néven, mivel a Google Auth alkalmazás nem rendelkezik adatmentéssel (hacsak nincs root és külső biztonsági eszköz, például Titanium Backup). Az Ön esetében a telefon elvesztése az összes 2FA hitelesítési kód elveszítését jelenti. Ha nem szeretné a 2FA-t tárolni az 1Password szolgáltatásban, akkor tárolja egy másik alkalmazásban, amely támogatja a felhőmentést.

Kicsit növeli a biztonságot, mert minden támadónak 2 alkalmazást kell veszélyeztetnie, de Ön létrehozza újabb kudarcpont. A GoogleAuth alkalmazás esetén a telefon elvesztése potenciálisan kizárhat néhány fiókot.

Létrehoznék egy biztonságos, hosszú és egyedi jelszót, és csak egy jelszókezelőt használnék.

Feltételezve, hogy a vészhelyzeti kódokról beszél, és / vagy arról, hogy a két tényezőt miként lehet új eszközön visszaszerezni, én személy szerint eléggé zavarónak tartom, ha ezek a kódok bárhol elérhetők online. Ez tökéletes eset offline offline biztonsági mentésekhez.

A qr kód / helyreállítási kulcs / stb. másolatának offline állapotban tartása (papíron vagy USB-meghajtón) az én preferenciám. Személyes kedvenc (feltételezve egy Windows PC-t) egy bitblokkolt USB-meghajtó, amelyet széfben tárolnak.

Ideális esetben

Egy ideális világban pontosan egy eszközön kell a második tényező gombjait használni. Így valóban lehet valami, ami nálad van (azon kívül, amire tudsz mint a jelszavad). Ha kulcsait a telefonján védi, amelyet PIN vagy más biztonság véd, a telefon elvesztésekor távolról törölheti a telefont, és biztos lehet abban, hogy a kódok nem kerültek el.

De ez messze van a realistától ...

A való világban szükségünk van biztonsági másolatokra. Igen, tárolhatná adatait az 1Password (vagy bármelyik jelszókezelőben), és akkor is biztonságosabb lenne, mint egy átlagember (így sokkal kevésbé valószínű célpont lesz). Tehát, ha a döntés nem biztonsági mentés vagy tárolás az 1Password-ben, akkor tárolja az 1Password-ben.

Azonban, amint említette, az összes tojását egy kosárba rakja. Ha az 1Password-tárolóját valahogy megsértik, akkor cseszik.

Tehát azt javaslom (amit Tim itt is megemlített), hogy tárolja a második faktor kódjait TELJESEN MÁS, mint az 1Password-en. Akár kinyomtatással, akár egy másodlagos telefonra történő feltöltéssel, akár egy olyan szolgáltatás használatával, mint az Authy (amelynek vannak biztonsági másolatai), vagy bármi más. Akkor két kudarcpontod van. Valaki beléphet az 1Password-be, és még mindig nem fér hozzá a többtényezős fiókjainkhoz.

Személyesen szeretem az itt található nyomtatási javaslatot. A kód kinyomtatásával teljesen eltávolítja azt a digitális életéből, így egyetlen hacker sem képes hozzájuk jutni. Zárd be egy széfbe, tedd egy széfbe. Bármi. És akkor könnyű új telefont feltölteni kódokkal, amikor elkerülhetetlenül elveszíti telefonját, vagy frissítenie kell.

TL; DR: Ha van egy második tényező, akkor már mérföldekkel megelőzöd a csomagot. Tehát az 1Password-ben való rögzítés kalkulált kockázatnak tekinthető, és bár nem tökéletes, mégis ésszerűen biztonságos. A tökéletesebb biztonsági modell elérése érdekében azonban tárolja őket külön, és lehetőleg levegőtől elzárva az internetről, így egy hackelési kísérlet nem fogja tudni egyszerre megszerezni az 1Password ÉS a biztonsági kódokat.

Nos, az egyszerű válasz Igen. A jelszókezelők iránti minden bizalom ellenére érdemes alaposan gyakorolni a tisztességet. A 2FA használatának oka az, hogy hozzáadja ezt a biztonsági szintet a jelszó bővítéséhez. Megszünteti a célt, ha ugyanazt a jelszót tárolja a második tényezővel együtt. A biztonság mindennél több alapelv.