Jump to content
McDaniel

Potencial falla en autenticación de dos pasos Mac OS

Recommended Posts

Hola a todos,

He estado actualizando algunas de mis contraseñas porque recibí algunos correos intentando alguna estafa y me acabo de encontrar con esto:

1625123885_ScreenShot2019-04-08at13_58_03.thumb.png.30bceb9ca57364a37159879a42e3ebc6.png

 

Tal vez no sea evidente, pero el código de verificación que debería haber aparecido en mis dispositivos móviles, también apareció en el monitor de la computadora.
Esto no debería ser así pues si alguien tiene acceso a la computadora el código lo puede ver sin necesidad de otro dispositivo, en otras palabras no sirve de nada porque llega a la computadora en la que se está haciendo.

¿Alguien sabe cómo podemos dar a conocer este fallo a Apple?
MacOS 10.13.6 (High Sierra)
 

Saludos

Share this post


Link to post
Share on other sites

La autenticación de doble factor es para que nadie use tu cuenta simplemente con tu contraseña. Pero si, además de conocer tu contraseña, tiene acceso a un aparato "de confianza" y con tu sesión de iCloud abierta, no queda nada que hacer. Lo que protege el sistema es solo la entrada desde un ordenador no reconocido o de un ordenador con la sesión cerrada.

https://support.apple.com/es-es/HT204915

Share this post


Link to post
Share on other sites
Hace una hora, mock turtle dijo:

La autenticación de doble factor es para que nadie use tu cuenta simplemente con tu contraseña. Pero si, además de conocer tu contraseña, tiene acceso a un aparato "de confianza" y con tu sesión de iCloud abierta, no queda nada que hacer. Lo que protege el sistema es solo la entrada desde un ordenador no reconocido o de un ordenador con la sesión cerrada.

https://support.apple.com/es-es/HT204915

Cuando cambias la contraseña en iOS (incluso si es desde un dispositivo de confianza) y tienes más de un aparato vinculado a la misma cuenta de iCloud, y además tienes activada la "Verificación de Doble Factor", el "Código de Verificación" es enviado al otro aparato (ya sea iPad, iPod, iPhone o Mac), y nunca se ve ese código en el dispositivo que tienes en las manos.

¡No tiene sentido tener una verificación de doble factor si la recibes en el mismo dispositivo!

Pero lo que sucedió es que en el Mac sí recibí el código en el mismo aparato, podrán decirme que así es cómo funciona actualmente pero eso no significa que esté bien. Además, generalmente todos los dispositivos iOS tienen la sesión abierta y tampoco tiene sentido abrirla y cerrarla porque para eso hay otras puertas que deben abrirse antes (contraseña del dispositivo, huella o reconocimiento facial), pero como dije antes no tiene sentido que se reciba un código en el mismo aparato y definitivamente no sucede en iOS.

Saludos

Share this post


Link to post
Share on other sites
Posted (edited)

El problema, lo he reproducido en mi mac, está en que al darte de alta en la web Apple lo considera como un nuevo dispositivo sin tener en cuenta si el equipo ya está vinculado a esa ID. 

Hace 2 horas, McDaniel dijo:

definitivamente no sucede en iOS

También pasa con equipos iOS, mi iPad.

 

Se lo he comunicado desde esta página: https://support.apple.com/es-es/HT201220

Edited by APB
  • Me gusta 1

Share this post


Link to post
Share on other sites
Hace 1 hora, APB dijo:

También pasa con equipos iOS, mi iPad.

A mi no me pasó en iOS, pero probablemente no hice algún paso.

¿Nos darán alguna recompensa en Apple? 😀

Saludos

Share this post


Link to post
Share on other sites

Eso no es un problema si está en la lista de dispositivos de confianza.

En algún momento has hecho login en iCloud y has marcado la casilla "confiar en este dispositivo".

Sobre el acceso a tu ordenador, no es nada nuevo que es un riesgo. Yo tengo una cuenta de invitados por si lo tiene que usar alguien que no sea yo. 

 

Share this post


Link to post
Share on other sites

No es un fallo.


Enviado desde mi Spectum Plus 48K

Share this post


Link to post
Share on other sites

Estoy seguro que es un fallo de seguridad, y lo sé porque justamente me dedico a la protección física y digital de documentos que son susceptibles de falsificación.

Como he dicho antes, tal vez así es como pensaron que funcione, pero eso no significa que sea seguro, y la verificación de dos pasos tiene un propósito específico, que sea más seguro, o en otras palabras muy difícil.

Sin embargo esto no se logra con la actual forma de enviar los códigos de verificación.

Por poner un ejemplo: una persona está hablando por teléfono o viendo su pantalla en el iPad, y alguien le arrebata el dispositivo y evita que se bloquee, entonces con toda tranquilidad puede modificar la contraseña porque el dispositivo es “confiable”.

Así no funcionan las cosas cuando se habla de seguridad.

Saludos

 

Share this post


Link to post
Share on other sites

Supongo que Apple no quiere tener a dos mil usuarios diarios quejándose de no tener cerca otro "device" y que necesitan conectarse a iCloud. ¿Inseguro? Evidentemente. Pero mejor que nada.

Share this post


Link to post
Share on other sites
Posted (edited)
Hace 17 horas, mock turtle dijo:

Supongo que Apple no quiere tener a dos mil usuarios diarios quejándose de no tener cerca otro "device" y que necesitan conectarse a iCloud. ¿Inseguro? Evidentemente. Pero mejor que nada.

Se me ocurren “mejores” soluciones.

Por ejemplo si solo se tiene un equipo que no se pueda activar la autenticación de doble factor o que al conectarse desde un equipo “confiable” sea necesario verificar al usuario (con la contraseña del equipo, Face ID, etc.) para ver el código de verificación. (Así se soluciona el ejemplo de McDaniel)

Lo que no tiene ningún sentido es el actual funcionamiento. 

Edited by APB

Share this post


Link to post
Share on other sites
Hace 12 horas, McDaniel dijo:

Por poner un ejemplo: una persona está hablando por teléfono o viendo su pantalla en el iPad, y alguien le arrebata el dispositivo y evita que se bloquee, entonces con toda tranquilidad puede modificar la contraseña porque el dispositivo es “confiable”.

 

Lo que estás pidiendo entonces no es autentificación de dos pasos, sino una especie de quorum. Complicado. Es decir, imagina que tengo un Mac y un iPhone. Se me rompe el iPhone. ¿Pierdo la posibilidad de hacer cambios con el Mac, que teóricamente era un dispositivo de confianza?

Share this post


Link to post
Share on other sites
Hace 10 horas, borjam dijo:

Complicado. Es decir, imagina que tengo un Mac y un iPhone. Se me rompe el iPhone. ¿Pierdo la posibilidad de hacer cambios con el Mac, que teóricamente era un dispositivo de confianza?

Complicado…

Por supuesto, así es mundo de seguridad.
Para el ejemplo específico que planteas ya existe la opción "No tengo acceso a ese dispositivo", no recuerdo si la tiene Apple pero Google usa algo similar.

Para mi es un tema que puede ser visto desde dos puntos de vista: la verificación de dos pasos es para incrementar la seguridad o, simplemente es una forma que Apple recomienda pero no tiene nada que ver con seguridad.

Si no tiene nada que ver con seguridad entonces no tenga nada que decir simplemente así es como trabaja y punto, fin del tema. Pero si por el contrario, se trata de hacer más seguro el acceso a iCloud, entonces definitivamente es una falla de seguridad.

Hay que entender que es seguridad y, como ejemplo se me ocurre el control en los aeropuertos, hace años yo llegaba apenas unos minutos antes del abordaje al aeropuerto, entraba rápido y nunca tuve problemas, ahora definitivamente debo estar al menos una hora antes en vuelos domésticos y por lo menos hora y media antes en vuelos internacionales y todo esto es porque debemos pasar el control de seguridad (de lo que estoy completamente de cuerdo).

Hacer que algo sea más seguro requiere de más esfuerzo para muchas de las partes involucradas, tanto desarrolladores como también de los usuarios, no puede ser dejada de un solo lado.

Y como APB mencionó arriba, hay mejores formas de hacer esto.
Saludos

  • Me gusta 1

Share this post


Link to post
Share on other sites

La respuesta de Apple es:

Gracias pero como es el comportamiento esperado no hay ningún problema.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.