Autenticazione a due fattori: quando ne vale la pena?

Naviga le tue risposte
6

Stavo leggendo questo articolo e ho attivato la domanda : Perché non utilizzare l'autenticazione a due fattori? Nel suo caso, entrambe le possibilità erano comunque abilitate, quindi questo mi sembra che siano due vettori di attacco.

Ma ancora più importante, la sicurezza non è mai assoluta, ma sempre qualcosa che dovrebbe essere adattato al valore protetto.

Il più grande svantaggio con l'autenticazione a due fattori che posso vedere in questo momento è che potrebbe diventare un po 'più di lavoro per l'utente. Ma quando so che l'autenticazione a due fattori è diventata adatta nella mia vita "normale"? Quando una forma di autenticazione diventa insufficiente / Quando è necessario aggiungere un ulteriore livello di sicurezza?

    
posta user857990 28.11.2012 - 16:43
fonte

3 risposte

8

Risposta: L'autenticazione a due fattori vale la pena quando una forma di autenticazione non è sufficiente o quando ha senso avere un ulteriore livello di sicurezza.

Un esempio di fattore due e perché ne abbiamo bisogno Ad esempio (un provato e vero), un bancomat. Se qualcuno ti ruba il portafoglio, potrebbe andare in città sul tuo conto bancario se ATM Machines non ha bisogno di un pin. Se qualcuno capisce la tua spilla attraverso una specie di attacco passivo, allora sono comunque costretti a prendere la tua carta in qualche modo. Ciò che hai di solito è chiamato un token .

Minuzie di ottenere due fattori corretti È importante notare che l'autenticazione 2factor richiede l'autenticazione di diverso tipo. Nel mio esempio, la tua carta bancomat è qualcosa che hai mentre il tuo spillo è qualcosa che conosci . Si noti inoltre che c'è un acceleratore impostato sui tentativi pin. Puoi solo provare a inserire il pin corretto n di volte prima che tu diventi bloccato.

Ulteriori dettagli Penso che valga la pena avere un'autenticazione a due fattori sul tuo account di posta elettronica. L'autenticazione a due fattori rende davvero difficile per qualcuno indovinare la tua password senza rubare anche il tuo token. Certamente non può ferire e in realtà è diventato abbastanza conveniente. Facebook / Google possono mandare un SMS a un numero pin. Penso che sia dannatamente conveniente (a patto di non registrare il tuo numero di telefono di Google Account 2factor sul tuo account vocale di Google ...). Il motivo per cui l'autenticazione tramite password non è sufficiente sono tutte le cattive pratiche che le persone hanno nella gestione e nella creazione di password. Le password e le password deboli archiviate in testo normale (come in firefox) rendono davvero facile mettersi in una brutta situazione se il tempo non è curato.

Quando dovresti usarlo. Come molte cose nella vita questo è semplicemente un compromesso. Se pensi di apprezzare la sicurezza aggiuntiva rispetto all'onere di dover autenticare due volte allora dovresti assolutamente usare 2fac. Sulla tua email personale? Probabilmente. Su una email spazzatura o su un account del forum di cui non ti interessa, probabilmente no. E 'davvero così semplice.

    
risposta data 28.11.2012 - 17:05
fonte
3

Fai una domanda interessante.

"... quando so che l'autenticazione a due fattori è diventata adatta nella mia vita" regolare "? Quando una forma di autenticazione diventa insufficiente / Quando è necessario aggiungere un ulteriore livello di sicurezza?"

La mia risposta è ... dipende da quanto sei paranoico. Se sei come me, dovresti usare due fattori ovunque tu possa. Letteralmente, ovunque sia disponibile, non importa se avrò informazioni PII, documenti privati, un backup delle mie foto di famiglia o anche informazioni disponibili pubblicamente.

Proprio ora ce l'ho su tutte le mie soluzioni di archiviazione cloud; se una soluzione di cloud storage non ha 2 fattori, io non la uso. Inoltre, l'ho su tutti i miei account di posta elettronica, su tutti i miei siti di social media e con la mia società di hosting di siti web. Se la mia banca avesse la possibilità di utilizzare un token TOTP morbido, lo userei anche lì, ma purtroppo non è ancora arrivato dall'oceano all'Europa.

Il mio suggerimento è che, come minimo, dovresti implementare l'autenticazione a più fattori quando non vuoi che qualunque cosa tu stia proteggendo (archiviazione, accesso a qualcosa, ecc.) per entrare nelle mani di un hacker con intenti nefandi.

Un suggerimento, tuttavia, è quello di assicurarti di conoscere la politica dei prodotti con cui stai utilizzando 2 fattori e di avere una strategia di backup se qualcosa va storto. È possibile che tu perda o spezzi il tuo token (se è un token difficile come un portachiavi), o il tuo token software potrebbe non funzionare (perdi / rompi il telefono che lo ha, il tuo computer viene infettato da un virus , eccetera).

Raccomando Google Authenticator. Ho esaminato la loro documentazione e RFC e l'ho trovata una soluzione di autenticazione a più fattori solida, solida e sicura. Se non si dispone di uno smartphone, è possibile utilizzare anche SMS MFA.

link

    
risposta data 28.11.2012 - 19:35
fonte
1

Se leggi il DBIR di Verizon, vedrai che la stragrande maggioranza degli attacchi usa credenziali perse, rubate o facilmente indovinate. link . I numeri per questo sono stati costantemente intorno al 75%. Se stai parlando di proteggere i sistemi, poche altre cose possono costringere un utente malintenzionato a lavorare più duramente di 2FA.

    
risposta data 27.05.2014 - 15:39
fonte

Leggi altre domande sui tag

Quali sono le implicazioni sulla sicurezza della tecnica POLi Internet Payments? Le migliori fonti per notizie relative alla sicurezza? [chiuso]