Pourquoi utiliser une carte à puce pour (Two Factor) Auth au lieu d'un autre support?
J'ai récemment installé Bitlocker sur ma machine Windows 8.1, en utilisant uniquement un mot de passe. Je pensais obtenir autre chose qu'un simple mot de passe pour mon lecteur de stockage, quelque chose de physique, comme une clé USB, une carte SD ou une carte à puce!
J'ai demandé et fouillé, et les gens affirment ce qui suit:
Lorsque vous avez le choix entre une carte à puce et un autre support de stockage pour 2FA, ou une authentification régulière, optez pour la carte à puce, car elle est plus sûre.
Je ne peux pas vraiment trouver pourquoi ce serait plus sûr, une carte SD cryptée commutée en "lecture seule" avec l'interrupteur latéral serait aussi sûre que la carte à puce, correct? (C'est-à-dire qu'une clé USB peut être remplacée par un logiciel malveillant, etc.).
Ce conseil est-il exact? Pourquoi ou pourquoi pas? Une carte à puce est-elle vraiment plus sûre?
Une carte à puce fonctionne en gardant un secret caché et en répondant à un défi qui prouve qu'elle a le secret. En théorie, il ne devrait jamais révéler ce secret à personne et il devrait être irrécupérable. Il existe des moyens techniques de contourner ce problème, mais la plupart sont destructeurs pour la carte. Cela signifie que vous savez si votre carte à puce a été compromise.
En revanche, une clé USB ou une carte mémoire cryptée peut simplement être copiée. Il n'y a aucun mécanisme qui le protège contre le clonage par un attaquant. Il existe des clés USB qui offrent une protection matérielle pour empêcher tout accès non autorisé et celles-ci constitueraient une option plus viable, mais ce serait une question de savoir si même celles-ci étaient aussi bien protégées qu'une bonne carte à puce.
Il est (théoriquement) plus difficile de dupliquer une carte à puce. Vous pouvez facilement dupliquer une clé USB.
Si je vole les deux, vous avez également des ennuis, mais si je vole l'USB, le dupliquez, puis le remplacez à votre insu, vous avez des ennuis et vous ne le savez pas.
Le chiffrement du disque nécessite que l'hôte conserve ou dérive une clé principale qui est conservée quelque part en mémoire, c'est donc votre plus gros problème. J'ai implémenté des aspects du produit SafeNet ProtectFile et d'autres piles de cartes à puce, donc je suis intimement conscient des défis.
Ne pensez pas une minute que vous avez une réelle sécurité. Il existe des "dispositifs numériques médico-légaux" qui prennent des instantanés et analysent la mémoire système simplement en branchant une clé USB dans un port de périphérique, ils exploitent les "bogues" matériels USB. Les banques sont connues pour supprimer les ports USB Aryldyte sur les postes de travail en raison de ces problèmes connus. Il est presque trivial d'acquérir la clé de chiffrement du disque hors de la mémoire, puis de déchiffrer un disque dur avec les outils disponibles. C'est l'un des aspects de la manière dont les forces de l'ordre peuvent recueillir des preuves et traduire les criminels en justice.
Pour votre cas d'utilisation particulier, rien n'est plus sûr que ce que vous pouvez tenir dans votre tête. C'est donc une question de savoir si vous pensez que votre cerveau est plus susceptible de perdre des informations qu'une technologie.
J'utiliserais une longue phrase vide de sens et la changerais périodiquement en fonction de votre niveau de paranoïa. Les phrases de passe prononçables sont plus faciles à retenir et à condition que vous en utilisiez une suffisamment longue, vous avez une meilleure sécurité que n'importe quel appareil (y compris les cartes à puce) peut fournir dans ce cas. J'inclus la disponibilité comme dimension de sécurité et pour un usage personnel, je préfère les caractéristiques de disponibilité de ma personne plus que le flash qui pourrait être acquis si je suis incapable. Les entreprises peuvent préférer un modèle alternatif qui ne repose pas sur des éléments humides pour être en vie et fonctionner pour maintenir la disponibilité.
Les protocoles de messagerie par carte à puce ne peuvent pas empêcher une attaque MITM entre la puce de la carte et l'ordinateur hôte sans secret pré-convenu (ceci est distinct de la carte PIN et est en fait utilisé pour protéger le flux de messages entre carte et hôte/ordinateur) et il existe de nombreuses façons clandestines d'écouter l'USB. La configuration de ce secret sur toutes les cartes à utiliser sur toutes les machines/postes de travail représente un cauchemar de configuration royale dans les déploiements en entreprise, donc il est rarement fait et réparé bien connu les clés intégrées dans la pile de cartes à puce sont utilisées. Même si vous avez eu des ennuis, vous avez maintenant un secret installé partout, donc ce n'est plus un secret. Pour ce cas d'utilisation, une carte à puce ne fait qu'agiter à la main, et vraiment pas mieux que de taper quelque chose sur un clavier, mais cela peut échouer plus facilement ou être "perdu"/"volé".
Donc, étant donné qu'une carte à puce ne peut pas vous donner plus de sécurité que le niveau du clavier dans ce cas d'utilisation particulier, j'utiliserais soit une longue phrase de passe, soit un bâton flash en lecture seule contenant un gros morceau de données aléatoires avec une phrase de passe/mot de passe et je ferais assurez-vous de conserver une sauvegarde hors ligne sécurisée de ce flash chinois bon marché!
Je vois deux points:
vous pouvez définir un PIN pour le déverrouillage des cartes à puce. Contrairement aux mots de passe, ce PIN ne peut pas être forcé hors ligne brutalement, tant que la carte à puce n'est pas ouvert et modifié. Il a des protections intégrées pour éviter cela. Ils ne sont pas impossibles à casser, mais ils offrent une très bonne protection.
Cela dépend de la configuration de la carte à puce elle-même, mais vous avez très probablement une carte à puce non copiable (comme dans le cas d'une copie très difficile à copier). Cependant, le contenu des clés USB peut toujours être copié, et lorsque vous essayez d'introduire une protection contre la copie sur les clés USB, vous voulez essentiellement créer une carte à puce.