qual è una sfida valida per l'autenticazione a 2 fattori?

4

Durante la progettazione del processo di reimpostazione della password:

1- È un indirizzo email o un nome utente assegnato un'informazione valida (identificatore) da richiedere nell'autenticazione a due fattori?

2- In che modo l'autenticazione a due fattori funziona per il ripristino della password in generale? non chiederebbe ulteriori informazioni all'utente essere un eccesso quando hanno già dimenticato la password?

3- L'invio di un codice di ripristino tramite cellulare accoppiato con un identificativo univoco è qualificato come autenticazione a due fattori?

    
posta Okavango 11.12.2014 - 13:13
fonte

1 risposta

10

L'autenticazione a due fattori o a più fattori si basa su tre possibili forme di autenticazione:

  • Qualcosa che sai che è considerato segreto (password)
  • Qualcosa che hai (token, token SMS, scheda, ...)
  • Qualcosa che sei (dati biometrici)

Se due di questi tre sono combinati, puoi parlare dell'autenticazione a due fattori. Dicendo due cose che conosci (come due password o nome utente e password) NON autenticazione a due fattori.

  1. Puoi usare come identificatore ma non puoi usarlo come segreto (se prevedi di usarlo come "password").
  2. Il ripristino della password dipenderà dalla procedura in atto. Può essere lo stesso di una password, hai appena ricevuto un link di reset nella tua email. Questo non significa che il secondo fattore è alterato! La password dovrebbe preferibilmente non essere cambiata sulla base di un altro fattore di autenticazione (specialmente applicabile in caso di qualcosa che si ha in caso di furto).
  3. Sì, ma dovresti assicurarti che il token sia limitato solo per un certo periodo.
risposta data 11.12.2014 - 13:38
fonte

Leggi altre domande sui tag