使用像 Authy Desktop 这样的桌面 2FA 客户端是一个好习惯吗?

信息安全 多因素 正直 手机
2021-09-11 08:25:08

基本上,2FA 依赖于这样一种想法,即使用服务不仅需要您知道的东西,还需要您拥有的东西。

我非常有信心,尤其是在 iOS(具有更好的系统级应用程序隔离)上使用时,这提供了非常好的安全性。虽然我不确定添加桌面 2FA 实用程序。

据我了解,攻击者需要截获我的密码(可能是通过我的台式机上的键盘记录器,我记录最多)和对我手机的访问权,或对我手机上存储的密钥的访问权。但我可以想象,能够设置键盘记录器的人可以窃取足够的信息来重用我台式计算机上可用的任何 2FA 系统。

写这篇文章我理解这是基于这样的看法:

计算机完整性 < 手机完整性 < iOS 完整性

计算机更可能因我在其上安装的一堆垃圾以及它们对系统更改的更重要的“开放性”而损坏。

智能手机具有更严格的生态系统和更短的寿命,因此被感染的可能性更小。

iOS 是相对最封闭的生态系统,与 Android 不同的是,大多数访问都不是在 API 中打开的,并且应用程序检查更加彻底。

1个回答

你做了一个影响你结果的假设,你不能忘记你正在做这个假设:一个“可能”通过台式计算机(即键盘记录器)获取你的密码。如果那是您的威胁分析,那很好,只是不要忘记您已经做出了这种区分。

既然您的威胁分析是基于桌面的,那么是的,您的结论是正确的,即向已经被假定为受到威胁的桌面添加安全功能不会增加安全层。如果有人可以获取您的密码,那么有人可以获取您的 2FA 代码。

但是,如果我们改变我们的假设,桌面 2FA 选项并不是没有用的。如果我们假设一个人更有可能从我们使用的服务(而不是我们的桌面)获取我们的密码,或者甚至可以从我们的移动设备获取密码,那么桌面安全措施合法地增加了一项有用的安全功能。

最终的问题变成了:密码泄露最可能的向量是什么这个问题不断变化。这就是为什么注意我们的威胁评估并不时审查它们非常重要的原因。

因此,桌面 2FA 选项是一个有效的选项,具体取决于您的威胁分析。

其它你可能感兴趣的问题
上一篇会话历史丢失是端到端加密固有的吗? 下一篇CSRF 攻击文件上传功能