基于应用程序的2FA与基于硬件的2FA

Question

像赛门铁克、VIP / Okta这样的应用程序与使用硬件令牌(比如最近的U2F设备)相比，如何验证和类似的实现？

Android系统被劫持和2FA应用程序认证令牌或其他秘密密钥被提取的可能性有多大？

除了不需要其他设备之外，基于应用的2FA还有其他优势吗？

如果使用基于应用程序的2FA，您可以实时验证请求或登录会话，它不容易受到实时身份验证重放网络钓鱼攻击的攻击吗？

编辑:这似乎是排序-回答在这里如果智能手机没有像智能卡那样的硬件令牌功能，那么它能被严格地看作是2 2FA的“你拥有的东西”因素吗？

Answer 1

有关更多细节，请查看这个答案在这里。但以下是你问题的要点：

由赛门铁克、VIP和Okta验证实现的2因素问题，与其说是在软件中实现，不如说是与代码可以被拦截的事实有关。

从这个意义上说，赛门铁克VIP、Okta验证和RSA SecurID都与Google身份验证器处于同一条船上；它们都不会保护您免受钓鱼攻击，因为攻击者获取密码的技术也可以用于获取您的第二要素代码；通常是让您将其键入假登录页面。

但U2F是不同的。

使用U2F，您不会输入一个一次性密码来显示您有令牌。相反，浏览器直接与硬件令牌通信，部分过程是浏览器告诉硬件令牌请求标识的站点的主机名，2FA标识绑定到单个主机。浏览器(与用户不同)在哪个主机请求身份验证时不能被愚弄，因为浏览器检查TLS证书。

这意味着攻击者的网站无法获得正确的第二因素代码，这意味着即使聪明的社会工程攻击者设法欺骗用户放弃他们的密码，用户也不能放弃他们的第二个因素代码。

第二个因素令牌只能在浏览器与正确的站点通信时才能使用，并且只有当浏览器物理地连接到U2F令牌时才能使用。这几乎消除了任何不涉及实际盗窃受害者硬件的攻击。

U2F可以在软件中实现(而且已经实现)，因此您依赖的是计算机上的软件，而不是物理设备。这仍然比基于OTP的2FA更好，比如赛门铁克VIP对网络钓鱼的抵抗力，但在这种情况下，物理盗窃不再是利用的必要条件。相反，如果您的令牌是在软件中实现的，那么您的计算机(病毒等)上的任何入侵都会发生。可以在您不知情的情况下复制您的身份验证设备并在他们的计算机上使用。所以它不像物理设备那么好，但它的价格要便宜得多。

Answer 2

应用程序...与使用硬件令牌...相比如何？

乍一看，他们并没有太大的分歧。在这两种情况下，您都有一些其他设备，它为您执行额外的密码验证步骤。但是一个重要的区别是系统的复杂性(该设备上的整个软件)。

在智能手机上，有大量来自不同供应商(应用程序)的交互软件，而专用认证令牌则要简单得多，因为服务只有一个目的。因此，对于较简单的系统来说，易受攻击的机会和表面通常较低。

另一个不同之处是用于该身份验证步骤的实际算法。但这并不取决于硬件。然而，应用程序往往更简单，例如基于时间的一次性密码生成器，而其他应用程序通常对其唯一目的更复杂，例如U2F使用基于挑战的公钥密码学。顺便说一句，这也是为什么使用U2F也需要浏览器的支持才能将挑战转发给U2F棒。

安卓系统被劫持的可能性有多大？...和...的密钥被提取？

它是真实的，你可以黑手机，就像其他任何计算机系统，并获得根访问它。如果可以提取密钥，则取决于应用程序如何存储该秘密。但是由于它必须保存，而且Android设备上没有真正的私有内存(AFAIK)，获得根用户访问权限的攻击者可以复制密钥。

...，基于应用的2FA还有其他优势吗？

在简单的安全级别上，我不认为智能手机相对于专用硬件有任何优势。但是应用程序通常比那些专门的系统更容易安装和安装。对于普通用户来说，一个复杂的系统并不能改善现实世界中的任何东西。还要注意的是，这些特殊的系统通常需要额外的服务提供者支持，如果一种技术非常复杂，难以实现或难以使用，那么最好的用户就不能没有支持的服务来做任何事情。

假设...实时验证请求或登录会话，它不容易受到实时身份验证重播钓鱼攻击的攻击吗？

据我所见，您通常可以进行中间人攻击并劫持经过验证的会话。但这正是SSL证书想要阻止的。它伴随着加密，限制了简单重放攻击的可用性。一种部件形式SSL，在基于时间的令牌上重放是一种可能性。但是，服务提供者可以使用成功使用的令牌并防止重放。不过，如果攻击者足够快，他就会成功。