Ho un account con una banca con un'opzione di sicurezza aggiuntiva.
Quando non riconosce un dispositivo utilizzato per accedere all'account, sarà:
- Chiedi conferma con 1 delle 3 domande di sicurezza
- Invia un token unico via SMS al cellulare.
Ho determinato che "riconosce" un dispositivo tramite cookie (quando cancello i cookie del mio browser è quando mi viene nuovamente richiesto l'opzione di sicurezza aggiuntiva).
Supponiamo che le domande / risposte sulla sicurezza che ho scelto non siano soggette all'ingegneria sociale dalla navigazione su facebook / linkedin / etc.
Ho solo alcune domande:
-
Qualcuno può aiutarmi a enumerare tutti i motivi per cui il token one-time è più sicuro delle domande di sicurezza? Ecco alcuni di quelli che potrei pensare:
- È vero 2 Factor: cosa-sai-(credenziali di accesso / password), cosa-tu-hai (telefono cellulare).
Contrariamente a quanto sapete (credenziali di accesso / password) e un'altra cosa-sapete (domanda / risposta segreta) - È dinamico e fornisce solo l'accesso per un determinato periodo di tempo.
- Ci sono altri che mi mancano?
- È vero 2 Factor: cosa-sai-(credenziali di accesso / password), cosa-tu-hai (telefono cellulare).
-
È il fatto che stanno usando i cookie per "riconoscere" un dispositivo e quindi non richiedono più il token una tantum che sovverte questo meccanismo di sicurezza (come mettere un cancello di ferro davanti e lasciare la porta posteriore sbloccata) ?
-
Avere un account con una banca diversa che utilizza sicurezza simile. Tuttavia, quando cancello i miei cookie, loro riconoscono il mio dispositivo. Suppongo che stiano monitorando i dispositivi noti per indirizzo IP e possibilmente altre informazioni di intestazione HTTP. Questo sarebbe un modo migliore / più sicuro per "riconoscere" rispetto al cookie?
Grazie,