Ho esaminato i vari pro / contro dell'innevamento basato su tokenless (in particolare basato su SMS) e tradizionale basato su token (si pensi a RSA SecurID). Dopo aver fatto qualche ricerca, penso di avere una migliore comprensione delle due opzioni in termini di usabilità, costo, ecc., Ma ho difficoltà a trovare una buona analisi approfondita indipendente della sicurezza di ciascuna soluzione.
Come ho capito finora, la 2FA tokenless è più economica e facile da implementare. Apprezzo anche il fatto che alcune persone hanno meno probabilità di dimenticare il proprio telefono cellulare piuttosto che dimenticare il proprio token OTP. Gli svantaggi includono il fatto che è richiesto un certo livello di ricezione SMS, sebbene i venditori abbiano prodotto soluzioni per gestire questo problema, incluso inviare il codice successivo immediatamente dopo l'ultimo, codici di "uso quotidiano" e l'invio di più codici in ciascun SMS. Ho ragione nel pensare che queste "soluzioni" sono in realtà un po 'un compromesso sulla sicurezza? Se è così, quanto di un compromesso sono, realisticamente? Ho anche sentito alcuni dire che passare il processo di ricezione degli SMS ogni volta può essere un problema per gli utenti regolari, con i token tradizionali che sono più pratici. Qualcuno ha trovato questo per caso?
I vantaggi dei token OTP tradizionali includono il fatto che non è necessaria la ricezione del telefono e sono pratici per gli utenti regolari. Raccomanderesti l'utilizzo di token tradizionali per i dipendenti che viaggiano all'estero (a causa di problemi di ricezione mobile)?
Con 2FA tokenless che sono entrambi più economici e facili da schierare, penseresti che i token tradizionali sarebbero andati fuori moda molto più velocemente di loro. Se si dovesse credere al materiale di marketing di aziende come SecureEnvoy, i giorni dei token OTP tradizionali sono numerati. Tuttavia, ho l'impressione che non sia proprio così. Questo mi porta a pensare che molte aziende si attengano ai tradizionali token fisici perché credono che siano più sicuri dei semplici 2FA. È questo il caso, o è dovuto ad un altro fattore? Le soluzioni tradizionali come RSA SecurID si limitano a negoziare sulla posizione di mercato che hanno stabilito in passato, o esiste ancora un caso per i token fisici?
Durante la prima ispezione, i token soft sembrano offrire alcuni dei vantaggi dei token basati su SMS, senza il requisito per la ricezione di SMS. Se gli utenti hanno uno smartphone, sarebbe un'opzione migliore? È un gioco da ragazzi implementare soft token su SMS basati sugli utenti di smartphone o ci sono altri fattori da considerare?
Sono consapevole del fatto che ho fatto davvero alcune domande correlate, quindi, per riassumere, le mie domande sono:
a) Il tokenless 2FA (in particolare basato su SMS) è un compromesso di sicurezza rispetto ai token tradizionali?
b) I tokens fisici sono ancora popolari solo perché sono provati e testati, con aziende come RSA che fanno trading sulla reputazione che hanno stabilito, o c'è ancora un motivo oggettivo per attaccare con i token fisici?
c) Le persone hanno scoperto che la funzione 2FA basata su SMS non è pratica per gli utenti regolari e si è trovata a distribuire token fisici a quegli utenti?
d) Le soluzioni come i codici di "uso quotidiano" e più codici in un singolo SMS sono molto più di un compromesso di sicurezza rispetto al default dei singoli codici inviati e memorizzati in un SMS?
e) Per gli utenti di smartphone, è un gioco da ragazzi non implementare token soft piuttosto che fare affidamento su SMS basato su 2FA?
f) Qualcuno può indirizzarmi ad una letteratura appropriata che dovrei leggere per avere un'idea di alcuni dei problemi sopra riportati?
Le domande sono strettamente correlate, quindi le ho mantenute tutte insieme. Per favore fatemi sapere se ritenete che dovrei separare quanto sopra in domande separate su StackExchange.