Question:
Jeton matériel vs jeton logiciel basé sur l'empreinte digitale
Vladimir
2017-11-15 16:08:53 UTC
view on stackexchange narkive permalink

J'ai le choix entre les procédures d'authentification de deux banques et j'ai besoin d'aide pour choisir l'option la plus sûre et la plus pratique.

Option "jeton matériel": l'authentification sur la plate-forme Web se fait via nom d'utilisateur / mot de passe mais les transactions sont effectuées via une combinaison de code PIN et d'une clé de jeton matériel unique.

Option «empreinte digitale»: l'authentification sur la plate-forme Web se fait également via un nom d'utilisateur / mot de passe, mais les transactions sont effectuées par authentification dans un jeton logiciel app sur le téléphone via une empreinte digitale et obtenir une clé de jeton unique.

Je crois comprendre que l'option de jeton matériel est plus sécurisée car les téléphones et les ordinateurs portables de nos jours peuvent facilement être infectés par l'enregistrement de frappe et d'autres types de logiciels à écouter sur mes mots de passe. Cependant, l'authentification par empreinte digitale est une forme d'authentification biométrique et, pour autant que je sache, ne peut être usurpée qu'avec une empreinte digitale physique et non un logiciel, offrant ainsi éventuellement le même niveau de sécurité.

Un autre point faible pourrait éventuellement risque de voler la graine du jeton logiciel.

Que pensez-vous que je devrais choisir? Le jeton matériel est-il toujours la voie à suivre ou l'identification biométrique est-elle une alternative sensée dans mon scénario?

Préférez-vous que votre clé de jeton soit volée, ou votre doigt?;-)
Un jeton matériel qui stocke le certificat ou la clé d'un site (comme U2F) n'est pas phishable, alors qu'un TOTP l'est.De plus, vous ne pouvez pas modifier votre empreinte digitale en cas de vol
Vous devez fournir plus de détails.Comment fonctionne le jeton hw?S'agit-il simplement d'un flux de mot de passe basé sur l'heure, de codes de défi-réponse ou de jeton USB connecté à l'ordinateur client?Comment fonctionne l'application?Fournit-il des informations sur ce que vous autorisez?Fonctionne-t-il en ligne, hors ligne ou autre chose entre les deux?Peut-il utiliser d'autres mesures en plus de l'empreinte digitale?est-il basé sur des services push, SMS?
Le compromis de l'empreinte digitale mettra certaines choses en question pour que la banque évite de couvrir vos pertes.Utilisiez-vous un appareil jailbreaké / rooté à l'époque?Aviez-vous des logiciels malveillants sur votre téléphone?L'exploitation était-elle due à l'API des fournisseurs de système d'exploitation?Bientôt, il leur sera plus facile de ne pas vous payer ou d'enquêter plus longtemps pour éviter de vous payer.Vous ne voudriez pas passer par là.Si votre jeton matériel seul est physiquement volé, ce n'est pas un problème à condition qu'ils n'aient pas votre mot de passe.Si le jeton matériel d’une banque était piraté, ce serait l’actualité mondiale.J'aimerais en savoir plus si jamais cela était fait.
Cinq réponses:
Ben
2017-11-15 16:38:38 UTC
view on stackexchange narkive permalink

Bref: je choisirais le jeton matériel.

Version longue: tout d'abord: les gens ont prouvé qu'il est possible de falsifier les empreintes digitales de plusieurs manières. Le moyen le plus courant consiste probablement à le recréer à partir d'une empreinte digitale avec une imprimante, mais il existe plus d'options. Vous pouvez en voir quelques-uns dans l'article 7 façons de battre la biométrie par empreintes digitales. Cependant, il y a beaucoup plus que cela.

Mais aussi les jetons HW se sont avérés "crackables". C'est un peu difficile à dire d'après le peu d'informations dont nous disposons. Cela dépend vraiment du jeton. Le point le plus important dans cette considération (du moins pour moi) est le suivant: si la graine de votre jeton HW est volée, vous pouvez la changer. Au cas où votre empreinte digitale (ou sa représentation numérique) deviendrait accessible au public, vos options sont assez limitées.

Si elle utilise vraiment l'empreinte digitale pour s'authentifier sur le système, cela devrait être votre considération. Mais si cela est utilisé sur votre téléphone, il peut s'agir simplement d'un jeton qui se trouve dans votre téléphone et est sécurisé par le système d'exploitation à l'aide du lecteur d'empreintes digitales pour remplacer le mot de passe. Dans ce cas, votre téléphone est votre jeton matériel, mais il n'a pas de mémoire protégée en lecture appropriée telle que le jeton (devrait avoir). Dans ce cas: je choisirais également le jeton matériel.

L'empreinte digitale n'est pas le jeton - il est impossible qu'elle utilise la technologie moderne.L'empreinte digitale réelle ne peut même pas être lue directement par une application sur iOS.Le jeton est téléchargé dans l'application lors de la configuration (lorsque les utilisateurs doivent entrer des informations d'identification complètes et souvent un code temporel de la banque).Il est stocké dans le trousseau du système d'exploitation crypté avec les informations d'identification de l'utilisateur jusqu'à ce que l'application le demande - ce qui invite le système d'exploitation à demander à l'utilisateur de s'authentifier avec son empreinte digitale.
C'est exactement ce que je pensais, mais je voulais le laisser ouvert juste au cas où ils utiliseraient une solution folle "Nous avons construit notre propre mais-son-android-seulement".
S'ils utilisent l'empreinte digitale directement pour générer le jeton, toute application ayant accès au lecteur d'empreintes digitales / toute personne ayant une image de l'empreinte digitale peut en construire le jeton.Compte tenu de la fréquence de réutilisation des mots de passe, toute banque qui le ferait serait très rapidement inondée de transactions frauduleuses.
+1 pour "vous ne pouvez pas modifier votre empreinte digitale en cas de vol".
@MikeOunsworth - bien que vous en ayez 10 à parcourir avant de commencer à devenir inventif avec ce que les autres parties du corps scanneront;)
@Hector Je ne sais pas s'il faut voter pour ou signaler ...: P
@MikeOunsworth Je ne pense pas qu'il y ait quoi que ce soit digne d'un drapeau dans le recours aux empreintes d'orteils
Le jeton matériel est très basique.Il génère simplement un mot de passe à usage unique qui est entré avec un code PIN dans la banque en ligne.C'est peut-être faux. Je suis plus préoccupé par les attaques en ligne que par le vol physique d'un jeton ou d'un téléphone.
Hector
2017-11-15 16:36:36 UTC
view on stackexchange narkive permalink

L'empreinte digitale ne protège pas directement le jeton (ce n'est pas le cas - à ce jour, nous n'avons aucun moyen fiable de numériser systématiquement une empreinte digitale). Le système d'exploitation chiffre le jeton avec vos informations d'identification. Un appel API dans le système d'exploitation permet aux applications de demander le jeton qui oblige l'utilisateur à se ré-authentifier.

Les risques sur l'application mobile se résument donc à -

  • Comment Faites-vous confiance au système d'exploitation de votre appareil?
  • (En relation avec ci-dessus) Dans quelle mesure faites-vous confiance au sandboxing de l'appareil pour empêcher les applications de lire l'espace mémoire des autres.
  • Dans quelle mesure faites-vous confiance à l'application pour ne pas placer le jeton dans un endroit accessible à d'autres applications?
  • Dans quelle mesure faites-vous confiance aux mécanismes d'empreintes digitales pour empêcher le clonage du téléphone / de l'application (Personnellement, je considérerais cela comme proche à zéro).

Vous devez également contrer cela par rapport à quel est le risque? C'est à dire. si l'application était exploitable en masse, la banque couvrirait-elle les pertes? Et êtes-vous une cible à haut risque (par exemple, un milliardaire a probablement un risque d'attaque plus élevé que Joe moyen).

Pour la grande majorité des utilisateurs, je dirais que l'application associée à un mot de passe unique et fort devrait être considéré comme suffisamment sûr. Si l'application était compromise, la banque prendrait probablement le coup et rembourserait les clients.

Un jeton matériel devrait en théorie être plus sécurisé - c'est en fait un système à vide. Pour un système à clé privée / publique, la clé privée ne doit jamais quitter l'appareil. Cependant, il y a eu des problèmes historiques avec les décisions de conception et les implémentations des fabricants.

Les deux principales réponses ont été utiles, mais celle-ci a donné le meilleur aperçu des facteurs affectant la décision.
Agent_L
2017-11-16 16:22:45 UTC
view on stackexchange narkive permalink

Aucune option n'est intrinsèquement meilleure que l'autre.

  • Le jeton de téléphone est vulnérable aux applications malveillantes sur votre téléphone, mais il peut sécuriser l'ensemble du processus.

  • Le jeton matériel est assez invulnérable lui-même, mais la chaîne entière reste généralement non sécurisée contre le phishing, les attaques MiM et les applications malveillantes sur votre PC / navigateur.

Bien que le jeton matériel lui-même soit sécurisé, le problème est qu'il ne vous indique généralement pas le type d'opération que vous autorisez. Il est très facile pour un attaquant d'inciter l'utilisateur à générer OTP pour lui. C'était une attaque assez courante contre les services bancaires sécurisés par jetons matériels il y a quelques années, un trou majeur nécessitait OTP pour la connexion - il était trivial à exploiter en prétendant à tort que la première tentative était erronée. SI le jeton logiciel fournit des informations clés sur l'opération autorisée, ce risque est éliminé.

La question se résume donc plutôt à "quelle partie de la chaîne est la plus facile à sécuriser? " Si vous êtes sûr de la sécurité de votre ordinateur avec navigateur, de sa connexion à la banque et (surtout) de votre vigilance contre le phishing, alors le jeton matériel est meilleur. Si vous n'installez pas d'applications provenant de sources non fiables, le téléphone est probablement plus facile à sécuriser.

Si le jeton mobile fonctionne hors ligne (basé sur des codes de défi-réponse) et que vous pouvez dédier un téléphone qui est définitivement hors ligne après l'activation de l'application de jetons (airgap), c'est de loin la solution la plus sécurisée (bien que la plus lourde).

L'empreinte digitale n'est pas la meilleure en termes de sécurité. Un mot de passe ou un code PIN correctement mis en œuvre serait plus sûr. Mais si les données sont correctement stockées dans l'enclave sécurisée matérielle du téléphone, cela suffit.

Fondamentalement, les deux options peuvent être mises en œuvre correctement ou mal.

daniel
2017-11-15 16:34:48 UTC
view on stackexchange narkive permalink

Pour cette authentification multi-facteurs, je choisirais l'option d'empreintes digitales, pour la facilité d'utilisation (vous n'avez rien que vous pourriez égarer). Cela suppose que, comme la banque offre les deux, elle pense que les deux offrent une sécurité adéquate et fourniraient une assurance pour une attaque réussie contre l'un ou l'autre. Je ne pense pas qu'une application de lecteur d'empreintes biométrique soit aussi sécurisée qu'un jeton matériel, car il existe des attaques en ligne si le mobile est compromis par exemple. Le jeton matériel devrait vous être volé physiquement pour toute attaque dont je suis au courant (comme une autre réponse l'a souligné, il devrait créer un espace entre Internet et le secret qu'il contient).

Aussi avec l'option d'empreinte digitale, vous avez toujours la possibilité que cela se produise C'est une vieille histoire mais ça me donne encore des frissons.

«croyez-les également en sécurité» - ce n'est pas nécessairement vrai.Ce qu'ils pensent, c'est que les deux sont suffisamment sûrs."une application de lecteur d'empreintes biométrique pourrait probablement être simulée par un ordinateur en ligne" - l'empreinte digitale vous authentifie uniquement auprès du système d'exploitation qui stocke le jeton dans un porte-clés crypté.Si vous pouviez extraire ce jeton, vous pourriez faire tout ce que l'application pourrait.
Je ne voterai pas contre, mais comme les scanners d'empreintes digitales n'offrent pratiquement aucune sécurité (vous pouvez utiliser un doigt levé de l'écran pour l'usurper), recommander à quelqu'un de l'utiliser est un peu inapproprié pour un forum de sécurité.
Tom
2017-11-15 21:42:53 UTC
view on stackexchange narkive permalink

C'est en fait un choix très facile.

Jeton matériel: vous pouvez le perdre, ou il peut être volé. Mais si cela se produit, il peut être remplacé.

Empreinte digitale: Très peu probable de perdre, peu susceptible d'être volée. Peut être copié sans que vous vous en rendiez compte. Ne peut pas être remplacé.

La sécurité est toujours relative. Aujourd'hui, celui-ci est plus sécurisé, demain quelqu'un découvre une nouvelle attaque contre lui. Mais les faits de base ne changent pas.

Si vous effectuez la totalité ou la quasi-totalité de vos opérations bancaires à domicile, où vous pouvez conserver le jeton matériel en toute sécurité, prenez-le. Si vous en faites beaucoup sur la route ou à partir de divers endroits, la facilité et la commodité de l'empreinte digitale l'emportent. C'est bien à mon humble avis à partir d'un POV de sécurité car avec l'empreinte digitale seule personne ne peut voler votre argent (aurait encore besoin du combo nom d'utilisateur / mot de passe). L'empreinte digitale seule que je ne considère pas comme très sûre.

Bien que je pense de la même manière que vous remplacez un jeton matériel perdu / volé, vous pouvez passer d'une empreinte digitale à un jeton matériel.Donc, si l'empreinte digitale était moins susceptible d'être perdue / volée, pourquoi ne pas attendre que cela se produise, puis passer à la plus susceptible de perdre du matériel?
Parce que si votre empreinte digitale est copiée, vous ne le remarquerez probablement pas.L'absence de jeton matériel, vous le ferez.Le scénario selon lequel votre doigt est volé / coupé s'est produit plusieurs fois, mais ce n'est pas exactement un scénario courant ou réaliste.
Pas vraiment pertinent dans ce cas car si quelqu'un a accès à l'empreinte digitale, cela ne lui donnera pas accès au compte bancaire.Pour accéder au compte bancaire, ils ont besoin d'une clé secrète qui est détenue par le téléphone et que le logiciel du téléphone ne divulgue que si quelqu'un présente l'empreinte digitale, si le logiciel a un bogue ou si quelqu'un parvient à extraire la clé du téléphone (ce qui peut être plus ou moins difficile selon la technologie utilisée).
Les équipes de police scientifique ne copient-elles pas les empreintes digitales tout le temps?


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...