La maggior parte dei siti Web utilizza un meccanismo di autenticazione basato su un fattore singolo, la password. Alcuni siti Web popolari, tuttavia, implementano anche un meccanismo a due fattori (spesso facoltativo) per l'accesso; di solito richiede l'uso della password e risponde a una sfida che può essere ottenuta da un dispositivo che l'utente ha.
Ci sono alcuni siti web, come Medium, che hanno preso quest'idea di autenticazione a due fattori nell'altro modo, mantenendo solo il secondo fattore. Tuttavia, Medium implementa questo inviando un link all'indirizzo email registrato dell'utente.
Medio argomenta che tale schema è abbastanza sicuro oltre che conveniente per gli utenti. Le loro argomentazioni si riducono principalmente a:
- Mentre i gestori di password sono un modo sicuro per affrontare il problema di dover ricordare e digitare le password, nel caso in cui la memorizzazione della password di un sito Web possa essere compromessa, è comunque necessario modificare le password; e con il fatto che alcuni o altri siti Web vengano compromessi ogni giorno, non rappresenta una buona esperienza da parte dell'utente.
- Un compromesso dell'account e-mail dell'utente implicherebbe il compromesso di tutti gli account ad esso collegati, dal momento che la maggior parte dei siti web consente di reimpostare la password inviando un'e-mail con un link al suo interno.
Ho difficoltà a trovare un buon argomento contro un tale schema in cui il primo fattore viene eliminato / sostituito per il secondo fattore.
Quindi, perché il secondo fattore di autenticazione non è più comunemente l'unico fattore, specialmente nel caso di siti Web che implementano l'autenticazione a un solo fattore mediante l'uso di password? In altre parole, perché non rendere la risposta alla sfida l'unico fattore invece di avere una password?
Quali sono gli svantaggi di un simile schema?
Si discute se un indirizzo email può essere effettivamente considerato come un secondo fattore; tuttavia, sto chiedendo l'idea in generale - la sfida può essere, ad esempio, (inviata ae) recuperata da un dispositivo che l'utente ha.