Email per il secondo fattore nei sistemi 2FA

6

lo scenario è in un ambiente aziendale e non connesso a Internet. L'altro giorno stavo discutendo con il mio collega sul fatto che l'e-mail fosse abbastanza buona da essere il secondo fattore in un sistema 2FA.

I miei amministratori accederanno al sistema tramite la nostra rete aziendale, quindi un OTP verrà inviato alla sua e-mail che utilizzerà per accedere al sistema.

Tuttavia il mio collega è per l'OTP da inviare al telefono cellulare. Ho detto che anche se sta per usare un telefono cellulare, sarà ancora nella rete interna a digitare l'OTP. Non sarà molto diverso perché il server di posta elettronica si trova anche nella rete interna. Ho anche detto che è molto più facile perdere un telefono cellulare, mentre un server di posta elettronica non fallirà così facilmente poiché può essere eseguito in ridondanza.

Quali sono le tue opinioni? Oggi le organizzazioni più sicure si affidano maggiormente ai telefoni cellulari per OTP?

    
posta Pang Ser Lark 15.07.2015 - 14:39
fonte

2 risposte

5

Per definizione, 2FA è se autentichi gli utenti in base a due dei seguenti:

  • Qualcosa che conosci (come una password)

  • Qualcosa che hai (come una chiave)

  • Qualcosa che sei (biometrica)

Vedo che le persone spesso discutono su quale categoria di e-mail dovrebbe appartenere. Anche se molti sostengono che appartenga alla categoria "Qualcosa che hai", penso che dovrebbe piuttosto appartenere alla categoria "Qualcosa che conosci" perché è spesso protetta solo da una password. Pertanto, password + email OTP non è in realtà 2FA. Inoltre, una persona potrebbe utilizzare la stessa password per la sua e-mail come per l'accesso al sistema?

Utilizzare password + telefono mobile OTP sarebbe reale 2FA (Qualcosa che conosci + Qualcosa che hai)

    
risposta data 15.07.2015 - 15:00
fonte
2

Scorro anche l'uso della posta elettronica in questo scenario.

Ovviamente, se lo si utilizza solo internamente, l'autore dell'attacco potrebbe essere solo interno (oppure un esterno deve prima diventare interal). Il flusso di posta elettronica internamente è probabilmente più facile da sniffare rispetto al BTS per la consegna degli SMS.

Ma entrambi i modi forniscono il secondo componente (per evitare la discussione sui "fattori" ;-) tramite un canale non necessariamente sicuro.

Quindi potresti prendere in considerazione la possibilità di autenticare in modo ancora più sicuro. È possibile ottenere questo risultato utilizzando app per smartphone, token hardware o token hardware seedable. In caso di token hardware seedable come Yubikey , sei tu a creare la crittografia segreta che viene utilizzata per generare le One Time Passwords, mentre in caso di hardware "preconfigurato", il venditore ha fatto.

Potresti dare un'occhiata a privacyIDEA , che è una soluzione open source, che supporta tutti questi tipi di token, email, sms, smartphone, hardware, seedable. Quindi puoi decidere quale sistema o quale amministratore richiede quale livello di sicurezza.

    
risposta data 21.07.2015 - 15:30
fonte

Leggi altre domande sui tag