Evaluation of observed MFA protocols

In this section, we evaluate the observed MFA protocols in terms of complexity (with the three values related to memory, manual operations and extra devices) and resistance to the attacker models (namely Device Thief, Authenticator Duplicator, Shoulder Surfer, Eavesdropping Software, Social Engineer, Man in the Browser and Man in the Mobile) and their combinations.

Legend: the symbol indicates that a given attacker (or combination of attacker) can successfully compromise the protocol. If an attacker is not able to totally compromise a protocol, the compromised factors are reported with a strikethrough text. Finally, the symbol indicates that a subset of the given combination can successfully compromise the protocol.

Internet Payments

ComplexityThreat Models
Label MFA Protocol representation
MEM
OP
DEV
DT
AD
SS
ES
SE
MB
MM
DT∘AD
DT∘SS
DT∘ES
DT∘SE
DT∘MB
DT∘MM
AD∘SS
AD∘ES
AD∘SE
AD∘MB
AD∘MM
SS∘ES
SS∘SE
SS∘MB
SS∘MM
ES∘SE
ES∘MB
ES∘MM
SE∘MB
SE∘MM
MB∘MM
DT∘AD∘SS
DT∘AD∘ES
DT∘AD∘SE
DT∘AD∘MB
DT∘AD∘MM
DT∘SS∘ES
DT∘SS∘SE
DT∘SS∘MB
DT∘SS∘MM
DT∘ES∘SE
DT∘ES∘MB
DT∘ES∘MM
DT∘SE∘MB
DT∘SE∘MM
DT∘MB∘MM
AD∘SS∘ES
AD∘SS∘SE
AD∘SS∘MB
AD∘SS∘MM
AD∘ES∘SE
AD∘ES∘MB
AD∘ES∘MM
AD∘SE∘MB
AD∘SE∘MM
AD∘MB∘MM
SS∘ES∘SE
SS∘ES∘MB
SS∘ES∘MM
SS∘SE∘MB
SS∘SE∘MM
SS∘MB∘MM
ES∘SE∘MB
ES∘SE∘MM
ES∘MB∘MM
SE∘MB∘MM
IP-1 ; [O] otp 1 1 1 O -- -- O O -- O
IP-2 ; [O,K] otp 2 1 1 O -- -- O O -- O
IP-3
; opid ?[O] otp
1 0 1 O -- K K K K -- O O K K K K -- K K K K K K K K K K O K K K K K K K K K K K K K K K K K K K K
IP-4 ; ; opid ?[O] otp 2 0 1 O -- K2 K2 K2 K2 -- O O K2 K2 K2 K2 -- K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 O K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2
IP-5 ; opid ?[O,K] otp 2 0 1 O -- K2 K K K -- O KO KO KO O K2 K K K -- K2 K2 K2 K2 K K K K K K KO KO KO O KO KO KO KO KO KO K2 K2 K2 K2 K K K K K K K2 K2 K2 K2 K2 K2 K K K K
IP-6 ; opid ?[O] otp 1 1 1 O -- K K K K -- O O K K K K -- K K K K K K K K K K O K K K K K K K K K K K K K K K K K K K K
IP-7 ; opid ?[O,K] otp 2 1 1 O -- K2 K K K -- O KO KO KO O K2 K K K -- K2 K2 K2 K2 K K K K K K KO KO KO O KO KO KO KO KO KO K2 K2 K2 K2 K K K K K K K2 K2 K2 K2 K2 K2 K K K K
IP-8 ; opid [O,K] otp 2 2 1 O -- K2 K -- O KO O K2 K -- K2 K2 K KO O KO K2 K2 K K2
IP-9 ; ; opid [O,K] otp 3 2 1 O -- K3 K2 -- O K2O O K3 K2 -- K3 K3 K2 K2O O K2O K3 K3 K2 K3
IP-10 ; opid ?[O,K] otp 2 2 1 O -- K2 K K K -- O KO KO KO O K2 K K K -- K2 K2 K2 K2 K K K K K K KO KO KO O KO KO KO KO KO KO K2 K2 K2 K2 K K K K K K K2 K2 K2 K2 K2 K2 K K K K
IP-11 ; 1 1 1 O O -- O O O O
IP-12 ; ; 2 1 1 O O -- O O O O
IP-13 ; opid ?[O,K] otp 2 0 0 O O K2 K2 K K -- O KO KO O KO KO O K2 K2 K2 K2 K2 K2 K2 K K K KO KO O KO KO KO KO KO KO K2 K2 K2 K2 K2 K2 K2 K2 K2 K
IP-14 ; otp otp 1 1 1 O -- K K O O O K K O K O K
IP-15 ; otp ?[O] otp 1 1 1 O -- K K K K O O O K K K K O K K K K K K O K K K K K K K K K K
IP-16 ; ; otp otp 2 1 1 O -- K2 K2 O O O K2 K2 O K2 O K2
IP-17 ; ; otp otp 2 1 1 O -- K2 K2 O O O K2 K2 O K2 O K2
IP-18 ; [O] otp 1 1 0 O O O O O O O
IP-19 ; [O,K] otp 2 1 0 O O KO O KO KO KO
IP-20 ; [O,I] otp 1 1 0 O O OI O OI OI OI
IP-21 ; opid ?[O] otp 1 1 0 O O K K K K O O O O K K K K K K O K K K K
IP-22 ; opid [O,K] otp 2 1 0 O O K2 K2 KO O KO KO K2 KO
IP-23 ; opid ?[O,K] otp 2 1 0 O O K2 K2 K K KO O KO KO KO KO KO KO K2 K2 K2 K2 K2 K KO KO KO KO KO K2 K2 K2 K2
IP-24 ; opid ?[O,K] otp 2 2 0 O O K2 K2 K K KO O KO KO KO KO KO KO K2 K2 K2 K2 K2 K KO KO KO KO KO K2 K2 K2 K2
IP-25 ; opid ?[O,I] otp 1 2 0 O O K K K K OI O KO KO KO KO OI KO KO KO KO OI K K K K K K KO KO KO KO OI KO KO KO KO KO KO KO KO KO KO KO KO K K K K
IP-26 ; opid ?[O] otp 1 0 0 O O K K K K O O O O K K K K K K O K K K K
IP-27 ; opid ?[O,K] otp 2 0 0 O O K2 K2 K K KO O KO KO KO KO KO KO K2 K2 K2 K2 K2 K KO KO KO KO KO K2 K2 K2 K2
IP-28 ; opid ?[O,I] otp 1 0 0 O O K K K K OI O KO KO KO KO OI KO KO KO KO OI K K K K K K KO KO KO KO OI KO KO KO KO KO KO KO KO KO KO KO KO K K K K
IP-29 ; ; opid [O,K] otp 3 0 0 O O K3 K3 KO O KO KO K3 KO
IP-30 ; ; opid [O,I] otp 2 0 0 O O K2 K2 OI O K2O K2O OI K2O K2O OI K2 K2O K2O OI K2O K2O
IP-31 ; opid ?[O,K] otp 2 1 0 O O K2 K2 K K KO O KO KO KO KO KO KO K2 K2 K2 K2 K2 K KO KO KO KO KO K2 K2 K2 K2
IP-32 ; opid ?[O,I] otp 1 1 0 O O K K K K OI O KO KO KO KO OI KO KO KO KO OI K K K K K K KO KO KO KO OI KO KO KO KO KO KO KO KO KO KO KO KO K K K K

Mobile Payments

ComplexityThreat Models
Label MFA Protocol representation
MEM
OP
DEV
DT
AD
SS
ES
SE
MB
MM
DT∘AD
DT∘SS
DT∘ES
DT∘SE
DT∘MB
DT∘MM
AD∘SS
AD∘ES
AD∘SE
AD∘MB
AD∘MM
SS∘ES
SS∘SE
SS∘MB
SS∘MM
ES∘SE
ES∘MB
ES∘MM
SE∘MB
SE∘MM
MB∘MM
DT∘AD∘SS
DT∘AD∘ES
DT∘AD∘SE
DT∘AD∘MB
DT∘AD∘MM
DT∘SS∘ES
DT∘SS∘SE
DT∘SS∘MB
DT∘SS∘MM
DT∘ES∘SE
DT∘ES∘MB
DT∘ES∘MM
DT∘SE∘MB
DT∘SE∘MM
DT∘MB∘MM
AD∘SS∘ES
AD∘SS∘SE
AD∘SS∘MB
AD∘SS∘MM
AD∘ES∘SE
AD∘ES∘MB
AD∘ES∘MM
AD∘SE∘MB
AD∘SE∘MM
AD∘MB∘MM
SS∘ES∘SE
SS∘ES∘MB
SS∘ES∘MM
SS∘SE∘MB
SS∘SE∘MM
SS∘MB∘MM
ES∘SE∘MB
ES∘SE∘MM
ES∘MB∘MM
SE∘MB∘MM
MP-1 ; [O] otp 1 1 1 O -- -- O O -- O
MP-2 ; [O,K] otp 2 1 1 O -- -- O O -- O
MP-3 ; opid [O,K] otp 2 2 1 O -- K2 K -- O KO O K2 K -- K2 K2 K KO O KO K2 K2 K K2
MP-4 ;; opid [O,K] otp 3 2 1 O -- K3 K2 -- O K2O O K3 K2 -- K3 K3 K2 K2O O K2O K3 K3 K2 K3
MP-5 ; opid ?[O,K] otp 2 2 1 O -- K2 K K -- K O KO KO O KO K2 K K -- K K2 K2 K2 K2 K K K K K K KO KO O KO KO KO KO KO KO KO K2 K2 K2 K2 K K K K K K K2 K2 K2 K2 K2 K2 K K K K
MP-6 ; opid ?[O] otp 1 0 1 O -- K K K -- K O O K K K -- K K K K K K K K K K K O K K K K K K K K K K K K K K K K K K K K
MP-7 ;; opid ?[O] otp 2 0 1 O -- K2 K2 K2 -- K2 O O K2 K2 K2 -- K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 O K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2 K2
MP-8 ; opid ?[O] otp 1 1 1 O -- K K K -- K O O K K K -- K K K K K K K K K K K O K K K K K K K K K K K K K K K K K K K K
MP-9 ; opid ?[O,K] otp 2 1 1 O -- K2 K K -- K O KO KO O KO K2 K K -- K K2 K2 K2 K2 K K K K K K KO KO O KO KO KO KO KO KO KO K2 K2 K2 K2 K K K K K K K2 K2 K2 K2 K2 K2 K K K K
MP-10 ; 1 1 1 O O -- O O O O
MP-11 ;; 2 1 1 O O -- O O O O
MP-12 ; otp otp 1 0 1 O -- K K -- O O K K -- K K K O K K K K
MP-13 ; otp ?otp 1 0 1 O -- K K K -- O O K K K -- K K K K K K O K K K K K K K K K K
MP-14 ;; otp otp 2 0 1 O -- K2 K2 -- O O K2 K2 -- K2 K2 K2 O K2 K2 K2 K2
MP-15 ; [O,K] otp 2 0 0 O O K2 K2 -- O O O K2 K2 K2 O K2
MP-16 ; [O,I] otp 1 0 0 O O K K -- O KO KO O KO KO O K K K KO KO O KO KO KO KO KO KO K
MP-17 ; opid [O] otp 1 0 0 O O K K -- O O O K K K O K
MP-18 ; opid [O,K] otp 2 0 0 O O K2 K2 -- O O O K2 K2 K2 O K2
MP-19 ; opid ?[O] otp 1 0 0 O O K K K -- O O O K K K K K K O K K K K
MP-20 ; opid ?[O,K] otp 2 0 0 O O K2 K2 K -- O KO O KO O K2 K2 K2 K2 K2 K KO O KO KO K2 K2 K2 K2
MP-21 ; opid ?[O,I] otp 1 0 0 O O K K K -- O KO KO KO O KO KO KO O K K K K K K KO KO KO O KO KO KO KO KO KO KO KO KO KO KO KO K K K K
MP-22 [I]; opid ?[O] otp 0 1 1 O -- -- -- I -- I O O O O -- -- I -- I -- I -- I I -- I I I I O O O O O O -- I -- I I -- I I I I I -- I I I I I I I I
MP-23 [I]; opid ?[O,K] otp 1 2 1 O -- K -- I -- I O KO O OI O OI K -- I -- I K KI K KI I -- I I I I KO O OI O OI KO KO OI O OI OI OI OI K KI K KI I -- I I I I KI K KI KI KI KI I I I I
MP-24 [I]; opid ?[O,K] otp 1 1 1 O -- K -- I -- I O KO O OI O OI K -- I -- I K KI K KI I -- I I I I KO O OI O OI KO KO OI O OI OI OI OI K KI K KI I -- I I I I KI K KI KI KI KI I I I I
MP-25 [I]; 0 1 1 O O O O -- O O O O O O O O O O O O O O O O O O O O
MP-26 [I]; opid [O] otp 0 0 0 O O -- -- -- O O O O O O O -- -- -- O O O O O O O O O --
MP-27 [I]; opid ?[O] otp 0 0 0 O O -- -- I -- O O O O O O O -- I -- I -- I O O O O O O O O O I -- I I
MP-28 [I]; opid ?[O,K] otp 1 0 0 O O K K I -- O KO KO OI O KO KO OI O K KI K KI K I KO KO OI O KO KO KO OI KO KO KO OI KI K KI KI
MP-29 [I]; opid ?[O,I] otp 0 0 0 O O -- -- I -- O O O OI O O O OI O -- I -- I -- I O O OI O O OI O OI O OI O OI O OI O OI I -- I I
Back to survey table