为2FA使用赛门铁克VIP接入智能手机软件

Question

我最习惯使用/ FreeOTP来满足我的2FA需求。这个系统允许我为每个站点拥有单独的TOTP流，并允许我备份我的种子(通过打印用于设置它们的QR代码)。

然而，我遇到了一些只支持赛门铁克"VIP接入“程序的系统。这个软件似乎产生了一个单独的秘密，然后我向其他系统注册“凭证ID”，让他们能够识别我的TOTP流。我不知道密码是如何工作的，但是如果我对SiteA和SiteB都使用Symantec访问，这难道不能有效地给出SiteA TOTP令牌，它可以用来在SiteB上模拟我吗？此外，赛门铁克不支持任何方式备份它的秘密--他们记录在案的工作--在丢失、损坏或替换的智能手机上与我注册了我的“凭证ID”的每一个系统的技术支持联系。

对赛门铁克VIP接入的分析正确吗？如果是这样的话，我是否有更好的选择，而不是(徒劳无功)要求使用Symantec VIP访问的系统管理员切换到不糟糕的东西？

Answer 1

如果我对SiteA和SiteB都使用Symantec访问，这是否有效地给出了SiteA TOTP令牌，可以用来在SiteB上模拟我？

是。2FA不一定完全否定密码重用的风险。我怀疑Symantec是否允许两次使用相同的代码(系统要求服务将代码发送到Symantec进行验证)--但是恶意服务很容易就不能用Symantec本身验证您。

值得注意的是，站点可以选择性地集成基于推送的通知(应用程序要求Symantec要求您的手机为其生成令牌)或基于QR的身份验证(在QR代码中，您的手机在生成令牌时使用QR代码)。这两种方法都将消除这种风险。

赛门铁克不支持任何方法来备份它的秘密--他们记录在案的工作--为丢失、损坏或替换的智能手机做准备，就是联系我注册了我的“凭证ID”的每个系统的技术支持。

这似乎是故意的。我同意这是个错误的决定。然而，从安全/营销的角度来看，它可以说更好--如果有人偷了你的手机，你可能会注意到，如果有人克隆了你的令牌，你可能不会注意到。

我有没有比(徒劳无益)要求使用赛门铁克VIP访问的系统管理员切换到不糟糕的东西更好的选择呢？

唯一的选择是向赛门铁克投诉。虽然我认为向他们的客户抱怨可能会产生更大的影响。

Answer 2

为了回答您问题的一个细节，有一些工具可以创建赛门铁克VIP的QR码 ID，因此，您可以使用QR应用程序(如Authy /或/ Google )访问赛门铁克VIP。