Authy 的 SMS 令牌不安全吗?

信息安全 验证 多因素 短信
2021-09-08 06:18:46

我一直在尝试Authy,这是一种 Google Authenticator 替代品,具有能够备份您的令牌的可选功能。它们有两种类型的令牌:Authy 生成的令牌和您通过扫描 QR 码添加的常规 OTP 令牌(就像您在 Google Authenticator 中一样)。

如果我理解正确,您的标准 OTP 令牌的备份在上传到 Authy 之前会使用密码进行加密。您的备份密码不会发送到他们的服务器,他们只是为您存储一个加密的数据块。到目前为止听起来不错。

但是,在新设备上设置 Authy 时,我注意到 Authy 生成的令牌似乎并没有从相同级别的安全性中受益。当您在新计算机上设置 Authy 时,您可以通过 SMS 验证访问您的帐户(他们批评为不安全)。输入 SMS 密码将使您登录并让您立即访问 Authy 生成的令牌(假设您已启用多设备支持)。Authenticator 令牌此时仍处于加密状态,如果您输入备份密码,它们可以被解密。

这对安全有什么影响?基于 SMS 的登录过程不会使 Authy 生成的令牌很容易被捕获吗?

1个回答

让我们回顾一下威胁:MiTM - SS7 攻击以检索 Authy 的 SMS。如果发生这种情况,攻击者将掌握您的加密令牌,这意味着攻击者需要密码(或加密算法中的缺陷,因为他们使用行业标准算法而不太可能)才能解密它们。

在这种情况下,密码复杂性将决定恢复到令牌需要多长时间。
但是,我同意他们可以像在当前方法中那样增强他们的身份验证机制(使用额外的用户/密码,某种秘密),很容易滥用 SS7 来获取加密令牌,并可能并行化暴力破解过程.

其它你可能感兴趣的问题
上一篇SHA3​​ (Keccak & SHAKE) 与 SHA2 相比如何?我应该使用非 SHAKE 参数吗? 下一篇为什么像国防部这样的组织更喜欢使用自己的根证书?