在生成TOTP代码的设备上使用TOTP代码是否不安全？

Question

假设我在我的智能手机上安装了一个TOTP生成器应用程序(比如generator )。我把它用于2FA服务X。如果我登录到X的网站/在同一部智能手机上的专用应用程序，情况有多糟？我会通过使用一部专门为TOTP设计的空隙电话而获得任何好处吗？

Answer 1

我的观点是，如果所有需要妥协的数据都存在于一个地方，那就变成了一个妥协点。它并没有完全否定2FA的所有好处，但是一个老练的攻击者会有一站式购物来获取生成器的密钥和状态，以及您的密码和密码。

但是，我不是贵公司指派的风险分析人员，负责确定这是否对您的组织构成可接受的风险。你需要联系你自己的安全小组并问他们这个问题。他们将权衡便利的风险和潜在的损失。他们知道公司资产的威胁和价值。他们理解平衡可用性和安全性的必要性。他们将决定是否值得努力追求技术上纯的2FA解决方案。

他们还应根据某一特定类型的准入风险作出决定。例如，PCI规则可能会说“查看信用卡号码所需的2FA”，他们内部可能认为这是一个中等风险，而且他们可能有十几个电话运营商整天都需要类似的访问，因此他们批准了基于电话的2FA。或者您可以访问公司的加密密钥服务器，这些服务器包含所有数据库和代码签名服务器的密钥，它们可能会决定您需要携带空隙2FA令牌。

这都是关于风险和风险承受能力的问题，互联网上没有人能够明确地说明什么对你的组织是正确的。