Se l'autenticazione a più fattori è abilitata, come dovrebbe influire sulla reimpostazione della password self-service?

13

Dato che la sicurezza è sicura quanto il suo anello più debole, supponiamo che io abbia un sito Web con autenticazione aggiuntiva abilitata in uno di questi modi: (esempio, possono essere richieste più condizioni)

  1. Messaggio HOTP SMS / vocale a un telefono
  2. Indirizzo email alternativo
  3. Domanda e amp; Risposta
  4. Token soft HOTP (Google Authenticator)
  5. Elenco stampato di password monouso
  6. YubiKey
  7. Token RSA
  8. Computer "conosciuto / fidato" (collegato da un evercookie o simile)
  9. Certificato client
  10. IP affidabile

Supponiamo che un utente dimentichi la propria password, la maggior parte dei siti Web consentirà loro di reimpostare la propria password se una combinazione di # 2 o # 3 riceve una risposta corretta.

Domanda

  1. Supponendo che l'utente abbia un dispositivo multifattore e dimentichi la propria password, come dovrebbe influire sul flusso di lavoro "password dimenticata"?

  2. Cosa succede se l'utente perde il dispositivo multifattore o il token software è danneggiato, come dovrebbe essere ripristinato?

  3. Che cosa succede se l'utente dimentica la password, e perde il token ... come dovrebbe apparire il flusso di lavoro di re-provisioning?

posta random65537 01.02.2013 - 16:10
fonte

3 risposte

8

Assuming the user has a multifactor device and forgets their password, how should that affect the "forgot password" workflow?

Se l'utente sta avviando la reimpostazione della password da un dispositivo / browser non riconosciuto, è necessario un secondo fattore di autenticazione per eseguire una reimpostazione della password. La best practice consiste nel richiedere il secondo fattore in modo coerente in tutti gli scenari: autenticazione normale (dopo aver verificato la password) o reimpostazione della password (dopo aver verificato l'accesso al collegamento di posta elettronica).

Se viene riconosciuto il dispositivo / browser che richiede la reimpostazione della password, l'autenticazione a due fattori può essere saltata dopo aver fatto clic su un link di reimpostazione della password e-mail.

What if the user loses the multi-factor device, or the soft token is corrupted, how should that be re-provisioned?

Se il dispositivo / browser viene riconosciuto o se l'utente dispone già di una sessione autenticata sul dispositivo, l'utente deve essere in grado di annullare il provisioning del dispositivo secondo fattore perso e fornire un dispositivo sostitutivo di secondo fattore.

Se il dispositivo / browser non viene riconosciuto e / o l'utente non dispone di una sessione autenticata su quel dispositivo, è necessario convalidare un metodo di autenticazione a due fattori di backup prima di eseguire nuovamente il provisioning del dispositivo del secondo fattore.

What if the user forgets the password, and loses the token... what should the re-provisioning workflow look like then?

L'invio via e-mail di un link di ripristino è sufficiente per recuperare la password da un dispositivo / browser riconosciuto come attendibile *. Dopo che l'utente ha reimpostato la password, l'utente può eseguire il provisioning del secondo fattore come descritto sopra.

Se il dispositivo / browser dell'utente non è affidabile, l'utente deve verificare un metodo di backup se il dispositivo del secondo fattore non è più disponibile. Potrebbe trattarsi di un SMS inviato a un numero di telefono di backup o di una stringa di backup fornita al momento della registrazione del dispositivo di autenticazione a due fattori. Omettendo questa verifica di un codice di backup si nega che l'autenticazione a due fattori sia mai stata abilitata. Deve essere eseguito.

Vedi Documenti di assistenza di Google su 2- verifica dei passaggi per ulteriori informazioni su come Google gestisce questi scenari. Hanno sicuramente pensato a questo e hanno un sacco di buone informazioni disponibili online.

* Dove "trusted" significa che l'utente precedentemente autenticato utilizzando l'autenticazione a due fattori e ha indicato che il dispositivo / browser deve essere considerato attendibile per le successive autenticazioni (e per non richiedere di nuovo l'autenticazione a due fattori da questo dispositivo).

    
risposta data 03.02.2013 - 23:14
fonte
4

Per una risposta corretta a questo, molte cose devono essere prese in considerazione che vanno oltre lo scopo di questo forum. Condizioni come la capacità degli utenti di accedere immediatamente alla tua applicazione, quanto sia facile (o meno) che gli utenti vengano a trovarci per l'autenticazione di persona, ecc., Dovranno essere valutati insieme alle altre esigenze aziendali della tua organizzazione per decidere come gestirli.

Idealmente, qualsiasi processo di ripristino o ripristino dell'autenticatore in atto deve essere almeno altrettanto strong del normale processo di autenticazione. Se in genere si richiede l'autenticazione a più fattori per l'applicazione, è necessario anche richiedere una qualche forma di autenticazione a più fattori per il ripristino o il ripristino di tali autenticatori.

Per rispondere alle tue domande:

  1. L'utente dovrebbe comunque richiedere l'utilizzo del dispositivo multifactor come parte del processo di autenticazione per la funzione di reimpostazione della password.

  2. Per la massima sicurezza, è necessario un ritiro in prima persona di un nuovo dispositivo. Altrimenti, è necessario decidere quali altre forme accettabili di identificazione e amp; l'autenticazione sarà richiesta per la riemissione remota del dispositivo.

  3. Questa persona ha bisogno di parlare a poppa - usa solo la verifica di persona.

risposta data 01.02.2013 - 17:19
fonte
4

Autenticazione a più fattori significa che per concedere l'accesso sono necessari diversi "fattori" di autenticazione. Quando l'utente dimentica la sua password, o perde il suo token, o entrambi, allora cessa di essere in grado di rispettare tutti i fattori. Qualsiasi metodo utilizzato per ripristinare l'accesso è quindi una violazione del modello di sicurezza. Tali violazioni potrebbero essere tollerabili se sufficientemente vincolate e controllate.

Come risposta generica: all'inizio, l'utente non era registrato e non aveva né password né token. Tuttavia, attraverso un processo che chiameremo registration , l'utente ha ottenuto sia una password che un token. Nel peggiore dei casi , un utente che ha perso la password o il token o entrambi potrebbe semplicemente registrarsi di nuovo attraverso lo stesso processo.

"I flussi di lavoro di riorganizzazione" sono una ricerca di una via di mezzo, che garantirebbe una sicurezza decente, ma sarebbe meno costosa di una nuova registrazione completa. Un metodo comune è quello di mantenere un terzo fattore di autenticazione di backup (sono le cosiddette "domande di sicurezza"). Tra gli altri "fattori di riserva", potresti fargli usare la sua carta di credito per un pagamento minuto (o una grossa mazzetta di denaro, che è la tua scelta), facendo così affidamento sul quadro di autenticazione dolorosamente gestito dalle banche. Chiamate di "attivazione", consegna FedEx / UPS con firma, ... ci sono molte possibilità che offrono varie combinazioni prezzo / sicurezza. Ciò che è una buona idea dipende dal contesto.

    
risposta data 01.02.2013 - 17:27
fonte