La maggior parte del pensiero IT.Sec convenzionale che ho visto afferma che un utente può avere solo un dispositivo di autenticazione a più fattori. Mi piacerebbe sfidare quel de facto-pensiero e chiedere se c'è un'occasione in cui:
-
Più di un dispositivo multifattore (token) verrebbe rilasciato a un singolo utente (o account utente)
-
In uno scenario ASP (o servizio come Amazon Web Services) quando verrebbero registrati più di un token?
La differenza principale che sto illustrando sopra è il controllo aziendale vs il servizio web come bancario, IAAS, SAAS, ecc.
- Gli utenti dovrebbero avere un token di "backup" se perdono o dimenticano il loro token principale? Quanti token dovrebbero essere offerti?
Questo ultimo punto sarebbe valido anche dove un YubiKey Nano (o simile) è installato su un PC da lavoro e da casa. Questo utente può anche avere un token di viaggio. Il concetto è che l'impronta della minaccia è ridotta (anche se non "perfetta")