Fråga:
LastPass Grid Authentication vs Google Authenticator vilken är säkrare?
Jim Raynor
2014-04-29 17:04:53 UTC
view on stackexchange narkive permalink

[Som LastPass-användare] flyttade jag nyligen till Google Authenticator istället för att använda Grid Authentication som en 2-faktor säkerhet. För mig är att hitta och fylla bokstäver från en sådan tät matris en ganska klumpig uppgift.

Jag har grundläggande förståelse för hur Grid, Google Auth vissa andra LastPass 2-faktor-autentiseringsarbete (Yubikey / Sesame, .. .) Generellt anses Yubikey vara något säkrare än GoogleAuth, så jag undrar bara jämförelsen mellan Grid och Google Authentication App.

Exempel på ett 6-siffrigt slumptal genereras av Google Authenticator-appen: Sample of a 6-digit random number generated by Google Authenticator App

Till exempel: telefonen kan gå vilse (den kan bli stulen eller något). I så fall är det inte sant att alla de pseudoslumpmässiga siffrorna som genereras ständigt av appen lätt exponeras för tjuven? (Om man använder GoogleAuth-appen i stor utsträckning och om han inte skyddar sin telefon särskilt allvarligt - ja, gör det långsammare vår process för att öppna telefonen, så normalt använder folk bara ett enkelt mönster)

Så ser ett LastPass Grid ut: This is what a sample LastPass Grid looks like

För Grid är det vanliga valet att skriva ut det och lägg den i en plånbok. Självklart kan din plånbok också gå vilse, men om du inte behöver nätet så ofta kan du förvara den på en säker plats hemma. Att inte bära nätet runt minskar risken för att någon får det. Det här skiljer sig från telefonen: du måste alltid bära telefonen.

Så pappersbaserat rutnät kan vara klumpigt, men ur ett visst perspektiv (som exemplet ovan) verkar det bättre. Tänk nu på "säkerhetsaspekten", vilken kan betraktas som bättre säker (teoretiskt / praktiskt) än den andra, och varför? Eller är de bara på samma nivå?

Det är inte så lätt att snabbt hitta motsvarande innehåll i koordinaterna: It's not very easy to quickly find the corresponding content of the coordinates

Redigera: Den här killen har gjort en riktigt bra bild om Googles autentiserare. Tja, fallet med förlorad telefon är på något sätt "trivialt" men fröet som ska matas till TOTP lagras i vanligt text

http: //www.slideshare .net / zerocool51 / google-authenticator-möjlig-attacker-och-förebyggande? qid = 1a8842ba-45bd-40c4-be0a-dedc19e0a85f&v = qf1&b = &from_search = 1

Nätet genereras av buller. Googles autentiserare är baserad på 3 olika värden, om du vet alla 3 kan du generera NÅGON kod när som helst. Just detta är nätet säkrare. Telefonen som går förlorad är inte ett problem eftersom autentiseraren kan återställas till vilken enhet som helst.
@Raystafarian - Standarden bakom "Microsoft Authenticator" och "Google Authenticator" är densamma vilket är anledningen till att du kan använda "Google Authenticator" med Microsofts onlinetjänster. Poängen med detta uttalande är att det inte finns någon "hemlig" sås i dessa autentiserare förutom källdata (dvs. seriell för autentiseraren). Detta är anledningen till att jag säger att nätet är säkrare, för om du förser en tredje part med den här serienumret har de (kanske) den information som krävs för att replikera din autentiserare på vilken enhet som helst. Jag tror att det finns en tredje peice ..
http://www.slideshare.net/zerocool51/google-authenticator-possible-attacks-and-prevention?qid=1a8842ba-45bd-40c4-be0a-dedc19e0a85f&v=qf1&b=&from_search=1 Detta är en bra teknisk rapport om möjliga sätt att attackera Google Authenticator :)
-1
@week - Jag är inte 100% säker på om det finns en hemlig token i autentiseringsimplementeringen som Google använder .. Jag vet hur de fysiska och digitala Vasco-autentiserarna fungerar. Det finns en känd seriell, känd servertid och en hemlig token.
Kan utvecklas på användbarhet om du vill. I grund och botten är problemet inte "vilket är säkrare" utan "är de båda säkra nog för de hot jag står inför" * och * "vilket är det mer användbara"? Angela Sasse hade ett bra exempel på överkonstruerade tidsbaserade tokens som var så komplexa (8 alfanumeriska tecken på en svag skärm) användare var tvungna att skriva in dem i flera omgångar och kunde ofta inte skriva dem innan de gick ut. Det visar hur alltför mycket "säkerhet" är överdrivet och tvingar användare att byta till något mindre säkert.
Fråga inte "vilket är säkrare" om du inte tillhandahåller en mekanism för att definiera "säkrare". Vilken tjej är snyggare? vilken tårta är mer god? vilken bok är mer intressant? vilket fotbollslag är skickligare?
Två svar:
Hybrid
2014-07-28 10:56:39 UTC
view on stackexchange narkive permalink

Jag personligen föredrar Google Authenticator som i grunden är en elegant implementering av tidsbaserad engångslösenordsalgoritm men jag skulle inte känna mig bekväm med att säga att det är "säkrare" .

Att använda ett av mina favoritordord ... allt kommer till Hotmodellering . Vad försöker du skydda dig mot? Är det en teknisk angripare som kanske kan få skadlig kod på din telefon? Eller försöker en av dina kompisar lägga upp smutsiga saker på din Facebook-sida? Jag tror att den viktigaste skillnaden mellan de två metoderna är: är angriparen någon som kan ha fysisk åtkomst?

Det finns också ett stort antal variabler, krypterar du din telefon ? Lås din telefon automatiskt? Lämna du din plånbok obesökt? Det är omöjligt att ge ett begränsat svar men var och en har sina proffs och nackdelar och mässor bättre på vissa områden än andra. Några intressanta punkter är:

Fysisk åtkomst

När en angripare har fysisk åtkomst har du tappat bort, men vissa saker håller bättre än andra.

  • Rutnät : Någon kan ta ett foto. Det tar cirka två sekunder.
  • Authenticator : Såvitt jag vet behöver du root-åtkomst för att ta emot nycklarna. Utan någon serös planering är det osannolikt att du kan få dem på under några minuter. Många telefoner har GPS-spårare så att du kan hitta dem om de blir stulna.

Fjärråtkomst / skadlig programvara

  • Rutnät : I känner inte till någon skadlig kod som infekterar papper. Nog sagt.
  • Authenticator : Det har funnits flera skadliga appar i spelbutiken, generalt de dras ganska snabbt men det händer. Vissa kan till och med få rot. Det finns många sätt att hålla din telefon uppdaterad och ren. Det beror verkligen på dina metoder om du installerar opålitliga appar eller läser manifestet för var och en osv ...

Kompromissat värd

Det här är intressant där jag tycker att Authenticator har en liten kant. Det har funnits flera banktrojaner som använder Man i webbläsaren -attacker. Ingen av dessa kommer att stoppa det men:

  • Rutnät : Om du befinner dig i en komprometterad värd som har en nyckellogger installerad efter ett tag kan den bygga upp en kopia av ditt nät och sedan användas av en angripare vid ett senare tillfälle. (t ex räkna ut vad U7, M8, I5 och så vidare är och gör din egen kopia av rutnätet)
  • Authenticator : Varje kod ska vara urskiljbar från slumpmässig så jämn om du har de senaste 5 000 koder som användes kan du inte räkna ut vad nästa kommer att bli.

Bekvämlighet

Detta är en massiv faktor som ofta förbises i säkerhet. Även om den ena var mycket säkrare än den andra är det viktigt att göra den användbar och sömlös nog för att människor faktiskt ska kunna använda den.

  • Rutnät : Om många olika webbplatser som används detta skulle du behöva en för varje webbplats med två faktorer. Jag tror bara att den inte skalas.
  • Authenticator : Jag har alltid min telefon med mig och jag har några webbplatser som använder två faktorer, du fortsätter bara att lägga till dem, det vågar ganska bra. Som du säger är det också lättare att skriva de 6 siffrorna än att söka i ett rutnät för motsvarande innehåll. Det här är väldigt subjektivt men det tycker jag är bekvämare.
Jeff-Inventor ChromeOS
2014-07-30 08:39:30 UTC
view on stackexchange narkive permalink

(Jag arbetade för Googles kontoteam och specialiserade mig på användbara säkerhetsfrågor precis som den här.)

Vid autentisering finns det tre grundläggande faktorer: "har en", "känner till" eller " är en". De två systemen som diskuteras är båda "har en". När det gäller LastPass har användaren ett papper. När det gäller GAuthenticator har användaren en viss smartphone.

Som sådan skulle jag hävda att de är ungefär lika. Avvägningarna är kanske det,

  1. Alla har redan en smartphone.
  2. Människor lånar inte sin egen smartphone till andra, inte så lätt som att kopiera ett papper ändå.
  3. Att skriva in ett nummer är lättare än att svara på 4-uppslagstabeller.

De är båda fortfarande utsatta för sofistikerade aktiva människa-i-mitten-attacker, eller stöld.



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...